在企業中，身份和訪問管理或者IAM，是用于定義和管理單個網絡用戶的角色和訪問特權，以及用戶被(bèi)授予（或拒絕）這(zhè)些特權的環境。IAM系統的核心目标是每個人的一個身份。一旦建立了數字身份，就必須對(duì)每個用戶的“訪問生命周期”進(jìn)行維護、修改和監控。

因此，身份管理的首要目标是在适當的環境中，向(xiàng)正确的用戶授予正确的企業資産，從用戶的系統入職到許可授權，再到需要的時候及時隔離該用戶企業身份和訪問管理提供商Okta的高級副總裁兼首席安全官Yassir Abousselham這(zhè)樣(yàng)解釋道(dào)。

 

IAM系統爲管理員提供了工具和技術來改變用戶的角色，跟蹤用戶活動，創建關于這(zhè)些活動的報告，并在持續的基礎上實施策略。

這(zhè)些系統的設計目的是提供一種(zhǒng)管理整個企業用戶訪問的方法，并确保遵守公司政策和政府法規。

 

IAM産品和服務的用途

身份和管理技術包括（但不限于）密碼管理工具、供應軟件、安全策略執行應用程序、報告和監視應用程序和身份存儲庫。身份管理系統可用于内部系統，如微軟SharePoint，以及基于雲的系統，如Microsoft Office 365。

Forrester Research 在其《Tech Tide: Identity and Access Management, Q4 2017》的報告中，确定了6個低成(chéng)熟度的IAM技術，但目前的商業價值很高。

API安全性，使IAM可用于B2B商務，與雲集成(chéng)以及基于微服務的IAM架構。Forrester認爲，在移動應用程序或用戶管理的訪問之間，API安全解決方案被(bèi)用于單點登錄（SSO）。這(zhè)將(jiāng)允許安全團隊管理物聯網設備授權和個人識别數據。

客戶身份和訪問管理（CIAM），允許對(duì)用戶進(jìn)行全面(miàn)的管理和認證，自助式和檔案管理以及與CRM，ERP和其他客戶管理系統和數據庫的集成(chéng)。

身份分析（IA）將(jiāng)允許安全團隊使用規則、機器學(xué)習和其他統計算法來檢測和阻止危險的身份行爲。

身份驗證安全服務(IDaaS)包括軟件即服務（SaaS）解決方案，從門戶網站到web應用程序和本機移動應用程序，以及一些用戶帳戶供應和訪問請求管理，提供SSO。

身份管理和治理（IMG）提供了管理身份生命周期的自動化和可重複的方法，這(zhè)對(duì)于遵守身份和隐私規定是很重要的。

基于風險的認證（RBA）解決方案在用戶會(huì)話和認證的環境中進(jìn)行，并形成(chéng)一個風險分值。根據報告，該公司可以向(xiàng)高風險用戶提供雙因子驗證，并允許低風險用戶使用單一因素認證（如用戶名和密碼）。

“IAM系統必須足夠靈活和足夠強大，以适應當今計算環境的複雜性。一個原因是：企業的計算環境過(guò)去基本上是在本地運行的，而身份管理系統在用戶工作的前提下進(jìn)行了身份驗證和跟蹤。”身份和訪問管理提供商One Identity的産品管理高級總監傑克遜肖說，“以前在該場所周圍有一個安全圍欄，今天，這(zhè)個栅欄已經(jīng)不在了。”

因此，今天的身份管理系統應該能(néng)夠使管理員能(néng)夠輕松地管理各種(zhǒng)各樣(yàng)的用戶的訪問權限，包括本地的現場員工和國(guó)際外的承包商；混合計算環境，包括本地計算、軟件即服務（SaaS）應用程序，以及影子IT和BYOD用戶；以及包括UNIX、Windows、Macintosh、iOS、Android甚至物聯網設備的計算架構。

最終，身份和訪問管理系統應該能(néng)夠以一種(zhǒng)一緻的、可擴展的方式在整個企業中實現對(duì)用戶的集中管理。近年來，身份即服務（IDaaS）已經(jīng)發(fā)展成(chéng)爲基于訂閱的雲服務提供的第三方托管服務，爲客戶的現場和基于雲的系統提供身份管理。

 

爲什麼(me)我需要IAM？

身份和訪問管理是任何企業安全計劃的關鍵部分，因爲它與當今數字化經(jīng)濟中的組織的安全性和生産力密不可分。

網絡安全風險投資公司預測，受損害的用戶憑證通常會(huì)成(chéng)爲組織網絡及其信息資産的入口點。企業使用身份管理來保護自己的信息資産，以應對(duì)勒索軟件、犯罪黑客、網絡釣魚和其他惡意軟件攻擊的威脅。全球勒索軟件的損失預計今年將(jiāng)超過(guò)50億美元，比2016年增加15%。

在許多組織中，用戶有時擁有比必要更多的訪問權限。一個健壯的IAM系統可以通過(guò)确保在組織中一緻地應用用戶訪問規則和策略，從而增加一個重要的保護層。

身份和訪問管理系統可以提高企業的生産力。系統的中央管理能(néng)力可以降低保護用戶憑證和訪問的複雜性和成(chéng)本。同時，身份管理系統使員工在各種(zhǒng)環境中更有效率（同時保持安全），無論他們是在家工作，還(hái)是在辦公室工作或者在路上。

 

IAM對(duì)法規遵循管理的意義

許多政府要求企業關注身份管理，如Sarbanes-Oxley、格萊姆-萊利-布利利和HIPAA等監管機構，要求企業負責控制對(duì)客戶和員工信息的訪問。身份管理系統可以幫助組織遵守這(zhè)些規定。

通用數據保護條例（GDPR）是一項最新的規定，要求嚴格的安全性和用戶訪問控制。GDPR要求各組織保護歐盟公民的個人數據和隐私。2018年5月生效，GDPR影響到所有在歐盟國(guó)家開(kāi)展業務的公司，或者有歐洲公民作爲客戶。

在2017年3月1日，紐約州金融服務局（NYDFS）的新網絡安全監管規定生效。該規定對(duì)在紐約運營的金融服務公司的安全運營提出了許多要求，包括監控授權用戶的活動和維護審計日志——這(zhè)是身份管理系統通常所做的事(shì)情。

通過(guò)許多方面(miàn)自動化，爲企業網絡和數據提供安全的用戶訪問，身份管理系統減輕了簡單但重要的任務，并幫助他們遵守政府規定。這(zhè)些都(dōu)是至關重要的好(hǎo)處，因爲今天，每一個IT職位都(dōu)是安全的，全球網絡安全人員短缺；對(duì)不遵守相關規定的懲罰會(huì)使組織損失數百萬甚至數十億美元。

 

IAM系統的好(hǎo)處是什麼(me)

實現身份和訪問管理以及相關的最佳實踐可以在幾個方面(miàn)給您帶來顯著的競争優勢。現在，大多數企業需要向(xiàng)組織之外的用戶提供内部系統，例如客戶、合作夥伴、供應商、承包商開(kāi)放您的網絡，當然，員工可以提高效率和降低運營成(chéng)本。

身份管理系統可以讓公司在不損害安全的前提下，擴展其信息系統的訪問範圍。通過(guò)提供更多的外部訪問，你可以推動整個組織的協作，提高生産力、員工滿意度、研究和開(kāi)發(fā)以及最終的收入。

身份管理可以減少對(duì)IT支持團隊關于密碼重置的求助電話的數量，允許管理員自動完成(chéng)這(zhè)些耗時、耗錢的任務。

身份管理系統可以成(chéng)爲安全網絡的基礎，因爲管理用戶身份是訪問控制的一個重要部分。身份管理系統要求公司定義他們的訪問策略，特别是概述誰有權訪問哪些數據資源，以及在哪些條件下可以訪問這(zhè)些資源。

因此，管理良好(hǎo)的身份意味著(zhe)對(duì)用戶訪問的更大控制，這(zhè)意味著(zhe)内部和外部風險的降低。這(zhè)一點很重要，因爲随著(zhe)外部威脅的不斷增加，内部攻擊的頻率也非常高。根據IBM 2016年網絡安全情報索引，大約60%的數據洩露是由一個組織的員工造成(chéng)的，其中75%是惡意的，25%是意外的。

正如前面(miàn)提到的，IAM系統可以通過(guò)提供工具來實現全面(miàn)的安全性、審計和訪問策略，從而增強法規遵從性。許多系統現在提供了一些特性，以确保組織的遵從性。

 

IAM系統是如何工作的？

在過(guò)去的幾年裡(lǐ)，一個典型的身份管理系統包含四個基本元素：系統用來定義個人用戶的個人數據的目錄（將(jiāng)其視爲一個身份存儲庫）；一組用于添加、修改和删除數據的工具（與訪問生命周期管理相關）；一個管理用戶訪問（安全策略和訪問特權的執行）的系統；以及一個審計和報告系統（以驗證系統中正在發(fā)生的事(shì)情）。

規範用戶訪問傳統上涉及到驗證用戶身份的多種(zhǒng)身份驗證方法，包括密碼、數字證書、令牌和智能(néng)卡。硬件令牌和信用卡大小的智能(néng)卡是雙重認證的一個組成(chéng)部分，它將(jiāng)你知道(dào)的（你的密碼）與你擁有的東西（令牌或卡片）相結合，以驗證你的身份。

在當今複雜的計算環境中，随著(zhe)安全威脅的加劇，一個強大的用戶名和密碼并不能(néng)減少它。今天，身份管理系統通常包含了生物識别、機器學(xué)習和人工智能(néng)以及基于風險的認證的元素。

在用戶層面(miàn)，最近的用戶身份驗證方法有助于更好(hǎo)地保護身份。例如，iPhone的流行讓許多人熟悉使用指紋作爲認證方法，包括最新的Face ID 推動的人臉識别驗證。較新的Windows 10電腦提供指紋傳感器或虹膜掃描，以進(jìn)行生物識别用戶的驗證。

 

轉向(xiàng)多因素身份驗證

Abousselham說，一些組織正在從二因素到三因素認證，結合你知道(dào)的（你的密碼），你擁有的東西（智能(néng)手機），以及你的一些東西（面(miàn)部識别，虹膜掃描或指紋傳感器）。當你從2個因素變成(chéng)3個因素時，你就能(néng)更确信你在和正确的用戶打交道(dào)。

在管理級别上，由于諸如上下文感知的網絡訪問控制和基于風險的認證（RBA）等技術，今天的身份管理系統提供了更高級的用戶審計和報告。

Okta的産品總監Joe Diamond說：“上下文感知的網絡訪問控制是基于策略的，它根據不同的屬性預先确定事(shì)件和結果。”例如，如果一個IP地址不是白名單，它可能(néng)被(bèi)阻塞，或者如果沒(méi)有證書表明設備被(bèi)管理，那麼(me)上下文感知的網絡訪問控制可能(néng)會(huì)加強身份驗證過(guò)程。

相比之下，RBA更有活力，而且通常是通過(guò)某種(zhǒng)程度的aiba來實現的。Diamond說：“你開(kāi)始將(jiāng)風險評分和機器學(xué)習打開(kāi)到一個認證事(shì)件中。”

基于風險的身份驗證可以根據當前的風險文件動态地將(jiāng)不同級别的嚴格程度應用到身份驗證過(guò)程中。風險越高，對(duì)用戶的認證過(guò)程就越嚴格。用戶的地理位置或IP地址的改變可能(néng)會(huì)在用戶訪問公司的信息資源之前觸發(fā)額外的認證要求。

 

什麼(me)是聯邦身份管理？

聯邦身份管理允許您與可信的合作夥伴共享數字ID，這(zhè)是一種(zhǒng)身份驗證機制，允許用戶使用相同的用戶名、密碼或其他ID來訪問多個網絡。

單點登錄（SSO）是聯邦ID管理的一個重要部分。單點登錄标準允許在一個網絡、網站或應用程序中驗證其身份的人在移動到另一個網絡時進(jìn)行身份驗證。該模型隻在協作組織中工作，即所謂的可信合作夥伴，這(zhè)實際上是爲彼此的用戶提供擔保。

 

IAM平台是否基于開(kāi)放标準？

可信合作夥伴之間的授權消息通常使用安全斷言标記語言（SAML）發(fā)送，這(zhè)個開(kāi)放規範定義了一個XML框架，用于在安全authori之間交換安全斷言。SAML實現了跨不同供應商平台的互操作性，提供了身份驗證和授權服務。

SAML并不是唯一的開(kāi)放标準的身份協議，其他的包括OpenID、WS-Trust（Web服務信任的縮寫）和WS-Federation以及OAuth，它允許用戶的帳戶信息被(bèi)第三方服務使用，比如Facebook，而不暴露密碼。

 

實現IAM的挑戰或風險是什麼(me)？

成(chéng)功地實現身份和訪問管理需要跨部門的預先考慮和協作。在開(kāi)始項目之前，建立一個有凝聚力的身份管理策略，具備明确的目标、利益相關者的購買、定義的業務流程可能(néng)是最成(chéng)功的。當你擁有人力資源、IT、安全以及其他相關部門時，身份管理是最有效的。

通常，身份信息可能(néng)來自多個存儲庫，比如Microsoft Active Directory（AD）或人力資源應用程序。身份管理系統必須能(néng)夠在所有這(zhè)些系統中同步用戶标識信息，提供一個單一的事(shì)實來源。

由于當今IT人員的短缺，身份和訪問管理系統必須使組織能(néng)夠在不同的情況和計算環境中自動和實時地管理各種(zhǒng)各樣(yàng)的用戶。手動調整對(duì)成(chéng)百上千用戶的訪問權限和控制是不可行的。

例如，對(duì)于即將(jiāng)離職的員工來說，取消供應訪問權限可能(néng)會(huì)出現問題，尤其是在手動操作的情況下，這(zhè)通常是一種(zhǒng)情況。報告員工離開(kāi)公司，然後(hòu)自動取消對(duì)他或她使用的所有應用、服務和硬件的訪問，需要一個自動化的、全面(miàn)的身份管理解決方案。

認證也必須易于用戶執行，它必須易于部署，而且最重要的是它必須是安全的，Abousselham說，這(zhè)解釋了爲什麼(me)移動設備正在成(chéng)爲用戶認證的中心，他補充說，因爲智能(néng)手機可以提供用戶當前的地理位置、IP地址和其他信息，這(zhè)些信息可以用于身份驗證。

一個值得牢記的風險是：集中的操作爲黑客和破解者提供了誘人的目标。通過(guò)在公司的所有身份管理活動中設置一個指示闆，這(zhè)些系統比管理員更容易降低複雜性。一旦妥協，他們就可以允許入侵者創建具有廣泛特權和訪問許多資源的id。

 

IAM關鍵術語

流行詞的出現和消失一直都(dōu)不間斷，但在身份管理領域的一些關鍵術語是值得了解的：

訪問管理：訪問管理是指用于控制和監視網絡訪問的過(guò)程和技術。訪問管理特性，如認證、授權、信任和安全審計，是本地和基于雲系統的頂級ID管理系統的一部分。

雲訪問安全代理（CASB）:CASB概念在2012年由 Gartner 提出，定義了在新的雲計算時代，企業或用戶掌控雲上數據安全的解決方案模型。CASB産品有兩(liǎng)種(zhǒng)工作模式：一種(zhǒng)是Proxy模式，另一鍾是API模式。

Active Directory（AD）：微軟將(jiāng)AD作爲Windows域網絡的用戶身份目錄服務開(kāi)發(fā)，盡管專有，AD包含在Windows服務器操作系統中，因此被(bèi)廣泛部署。

生物識别認證：一種(zhǒng)基于用戶獨特特征的認證用戶的安全過(guò)程。生物識别認證技術包括指紋傳感器、虹膜和視網膜掃描，以及面(miàn)部識别。

上下文感知的網絡訪問控制：上下文感知的網絡訪問控制是一種(zhǒng)基于策略的方法，根據用戶尋求訪問的當前上下文授予對(duì)網絡資源的訪問。例如，試圖從沒(méi)有白名單的IP地址進(jìn)行身份驗證的用戶將(jiāng)被(bèi)阻塞。

憑證：用戶用來訪問網絡的标識符，如用戶的密碼、公鑰基礎設施（PKI）證書或生物特征信息（指紋、虹膜掃描）。

解除供應：從ID存儲庫中删除标識并終止訪問特權的過(guò)程。

數字身份：ID本身，包括用戶和他/她/其訪問特權的描述（“Its”，因爲一個端點，如筆記本或智能(néng)手機，可以有自己的數字身份。）

權限：指定一個經(jīng)過(guò)身份驗證的安全主體的訪問權限和特權的屬性集。

身份作爲服務（IDaaS）：基于雲的IDaaS爲駐留在本地和/或雲中的組織系統提供身份和訪問管理功能(néng)。

身份生命周期管理：類似于訪問生命周期管理，術語指的是維護和更新數字标識的整個過(guò)程和技術。身份生命周期管理包括身份同步、供應、解除供應，以及對(duì)用戶屬性、憑證和權利的持續管理。

身份同步：确保多個身份存儲的過(guò)程，例如獲取的結果包含給定數字ID的一緻數據。

輕量級目錄訪問協議（LDAP）：LDAP是開(kāi)放的基于标準的協議，用于管理和訪問分布式目錄服務，比如Microsoft的AD。

多因素身份驗證（MFA）：MFA不僅僅是一個單一的因素，如用戶名和密碼，需要認證到一個網絡或系統，至少還(hái)需要一個額外的步驟，例如接收通過(guò)SMS發(fā)送到智能(néng)手機的代碼，插入智能(néng)卡或u盤，或者滿足一個生物識别認證要求，比如指紋掃描。

密碼重置：在這(zhè)種(zhǒng)情況下，它是一個ID管理系統的一個特性，它允許用戶重新建立自己的密碼，解除工作的管理員，減少支持的調用。重新設置的應用程序通常是通過(guò)浏覽器訪問的。應用程序要求一個秘密的單詞或一組問題來驗證用戶的身份。

特權帳戶管理：這(zhè)一術語指的是基于用戶的特權管理和審計帳戶和數據訪問。一般來說，由于他或她的工作或功能(néng)，特權用戶已被(bèi)授予對(duì)系統的管理訪問權。

基于風險的身份驗證（RBA）：基于風險的身份驗證，基于用戶當前的情況，動态地調整身份驗證需求。例如，當用戶試圖從一個以前沒(méi)有關聯的地理位置或IP地址進(jìn)行身份驗證時，這(zhè)些用戶可能(néng)會(huì)面(miàn)臨額外的身份驗證要求。

安全主體：具有一個或多個憑證的數字身份，可以通過(guò)身份驗證和授權與網絡交互。

單點登錄（SSO）：針對(duì)多個相關但獨立的系統的訪問控制類型。使用單個用戶名和密碼，用戶可以訪問系統或系統而不使用不同的憑證。

用戶行爲分析（UBA）：UBA技術檢測用戶行爲的模式，并自動應用算法和分析來檢測可能(néng)存在潛在安全威脅的重要異常，而與其他安全技術不同的是，該技術專注于追蹤設備或安全事(shì)件。此外，它有時還(hái)與實體行爲分析和UEBA相結合。

 

 

-原文作者：James A. Martin, John K. Waters. 原文取自網絡