在企業中(zhōng)，身份和訪問管理或者IAM，是用于定義和管理單個網絡用戶的角色和訪問特權，以及用戶被授予（或拒絕）這些特權的環境。IAM系統的核心目标是每個人的一(yī)個身份。一(yī)旦建立了數字身份，就必須對每個用戶的“訪問生(shēng)命周期”進行維護、修改和監控。

因此，身份管理的首要目标是在适當的環境中(zhōng)，向正确的用戶授予正确的企業資(zī)産，從用戶的系統入職到許可授權，再到需要的時候及時隔離(lí)該用戶企業身份和訪問管理提供商(shāng)Okta的高級副總裁兼首席安全官Yassir Abousselham這樣解釋道。

 

IAM系統爲管理員(yuán)提供了工(gōng)具和技術來改變用戶的角色，跟蹤用戶活動，創建關于這些活動的報告，并在持續的基礎上實施策略。

這些系統的設計目的是提供一(yī)種管理整個企業用戶訪問的方法，并确保遵守公司政策和政府法規。

 

IAM産品和服務的用途

身份和管理技術包括（但不限于）密碼管理工(gōng)具、供應軟件、安全策略執行應用程序、報告和監視應用程序和身份存儲庫。身份管理系統可用于内部系統，如微軟SharePoint，以及基于雲的系統，如Microsoft Office 365。

Forrester Research 在其《Tech Tide: Identity and Access Management, Q4 2017》的報告中(zhōng)，确定了6個低成熟度的IAM技術，但目前的商(shāng)業價值很高。

API安全性，使IAM可用于B2B商(shāng)務，與雲集成以及基于微服務的IAM架構。Forrester認爲，在移動應用程序或用戶管理的訪問之間，API安全解決方案被用于單點登錄（SSO）。這将允許安全團隊管理物(wù)聯網設備授權和個人識别數據。

客戶身份和訪問管理（CIAM），允許對用戶進行全面的管理和認證，自助式和檔案管理以及與CRM，ERP和其他客戶管理系統和數據庫的集成。

身份分(fēn)析（IA）将允許安全團隊使用規則、機器學習和其他統計算法來檢測和阻止危險的身份行爲。

身份驗證安全服務(IDaaS)包括軟件即服務（SaaS）解決方案，從門戶網站到web應用程序和本機移動應用程序，以及一(yī)些用戶帳戶供應和訪問請求管理，提供SSO。

身份管理和治理（IMG）提供了管理身份生(shēng)命周期的自動化和可重複的方法，這對于遵守身份和隐私規定是很重要的。

基于風險的認證（RBA）解決方案在用戶會話(huà)和認證的環境中(zhōng)進行，并形成一(yī)個風險分(fēn)值。根據報告，該公司可以向高風險用戶提供雙因子驗證，并允許低風險用戶使用單一(yī)因素認證（如用戶名和密碼）。

“IAM系統必須足夠靈活和足夠強大(dà)，以适應當今計算環境的複雜(zá)性。一(yī)個原因是：企業的計算環境過去(qù)基本上是在本地運行的，而身份管理系統在用戶工(gōng)作的前提下(xià)進行了身份驗證和跟蹤。”身份和訪問管理提供商(shāng)One Identity的産品管理高級總監傑克遜肖說，“以前在該場所周圍有一(yī)個安全圍欄，今天，這個栅欄已經不在了。”

因此，今天的身份管理系統應該能夠使管理員(yuán)能夠輕松地管理各種各樣的用戶的訪問權限，包括本地的現場員(yuán)工(gōng)和國際外(wài)的承包商(shāng)；混合計算環境，包括本地計算、軟件即服務（SaaS）應用程序，以及影子IT和BYOD用戶；以及包括UNIX、Windows、Macintosh、iOS、Android甚至物(wù)聯網設備的計算架構。

最終，身份和訪問管理系統應該能夠以一(yī)種一(yī)緻的、可擴展的方式在整個企業中(zhōng)實現對用戶的集中(zhōng)管理。近年來，身份即服務（IDaaS）已經發展成爲基于訂閱的雲服務提供的第三方托管服務，爲客戶的現場和基于雲的系統提供身份管理。

 

爲什麽我(wǒ)(wǒ)需要IAM？

身份和訪問管理是任何企業安全計劃的關鍵部分(fēn)，因爲它與當今數字化經濟中(zhōng)的組織的安全性和生(shēng)産力密不可分(fēn)。

網絡安全風險投資(zī)公司預測，受損害的用戶憑證通常會成爲組織網絡及其信息資(zī)産的入口點。企業使用身份管理來保護自己的信息資(zī)産，以應對勒索軟件、犯罪黑客、網絡釣魚和其他惡意軟件攻擊的威脅。全球勒索軟件的損失預計今年将超過50億美元，比2016年增加15%。

在許多組織中(zhōng)，用戶有時擁有比必要更多的訪問權限。一(yī)個健壯的IAM系統可以通過确保在組織中(zhōng)一(yī)緻地應用用戶訪問規則和策略，從而增加一(yī)個重要的保護層。

身份和訪問管理系統可以提高企業的生(shēng)産力。系統的中(zhōng)央管理能力可以降低保護用戶憑證和訪問的複雜(zá)性和成本。同時，身份管理系統使員(yuán)工(gōng)在各種環境中(zhōng)更有效率（同時保持安全），無論他們是在家工(gōng)作，還是在辦公室工(gōng)作或者在路上。

 

IAM對法規遵循管理的意義

許多政府要求企業關注身份管理，如Sarbanes-Oxley、格萊姆-萊利-布利利和HIPAA等監管機構，要求企業負責控制對客戶和員(yuán)工(gōng)信息的訪問。身份管理系統可以幫助組織遵守這些規定。

通用數據保護條例（GDPR）是一(yī)項最新的規定，要求嚴格的安全性和用戶訪問控制。GDPR要求各組織保護歐盟公民的個人數據和隐私。2018年5月生(shēng)效，GDPR影響到所有在歐盟國家開(kāi)展業務的公司，或者有歐洲公民作爲客戶。

在2017年3月1日，紐約州金融服務局（NYDFS）的新網絡安全監管規定生(shēng)效。該規定對在紐約運營的金融服務公司的安全運營提出了許多要求，包括監控授權用戶的活動和維護審計日志(zhì)——這是身份管理系統通常所做的事情。

通過許多方面自動化，爲企業網絡和數據提供安全的用戶訪問，身份管理系統減輕了簡單但重要的任務，并幫助他們遵守政府規定。這些都是至關重要的好處，因爲今天，每一(yī)個IT職位都是安全的，全球網絡安全人員(yuán)短缺；對不遵守相關規定的懲罰會使組織損失數百萬甚至數十億美元。

 

IAM系統的好處是什麽

實現身份和訪問管理以及相關的最佳實踐可以在幾個方面給您帶來顯著的競争優勢。現在，大(dà)多數企業需要向組織之外(wài)的用戶提供内部系統，例如客戶、合作夥伴、供應商(shāng)、承包商(shāng)開(kāi)放(fàng)您的網絡，當然，員(yuán)工(gōng)可以提高效率和降低運營成本。

身份管理系統可以讓公司在不損害安全的前提下(xià)，擴展其信息系統的訪問範圍。通過提供更多的外(wài)部訪問，你可以推動整個組織的協作，提高生(shēng)産力、員(yuán)工(gōng)滿意度、研究和開(kāi)發以及最終的收入。

身份管理可以減少對IT支持團隊關于密碼重置的求助電(diàn)話(huà)的數量，允許管理員(yuán)自動完成這些耗時、耗錢的任務。

身份管理系統可以成爲安全網絡的基礎，因爲管理用戶身份是訪問控制的一(yī)個重要部分(fēn)。身份管理系統要求公司定義他們的訪問策略，特别是概述誰有權訪問哪些數據資(zī)源，以及在哪些條件下(xià)可以訪問這些資(zī)源。

因此，管理良好的身份意味着對用戶訪問的更大(dà)控制，這意味着内部和外(wài)部風險的降低。這一(yī)點很重要，因爲随着外(wài)部威脅的不斷增加，内部攻擊的頻(pín)率也非常高。根據IBM 2016年網絡安全情報索引，大(dà)約60%的數據洩露是由一(yī)個組織的員(yuán)工(gōng)造成的，其中(zhōng)75%是惡意的，25%是意外(wài)的。

正如前面提到的，IAM系統可以通過提供工(gōng)具來實現全面的安全性、審計和訪問策略，從而增強法規遵從性。許多系統現在提供了一(yī)些特性，以确保組織的遵從性。

 

IAM系統是如何工(gōng)作的？

在過去(qù)的幾年裏，一(yī)個典型的身份管理系統包含四個基本元素：系統用來定義個人用戶的個人數據的目錄（将其視爲一(yī)個身份存儲庫）；一(yī)組用于添加、修改和删除數據的工(gōng)具（與訪問生(shēng)命周期管理相關）；一(yī)個管理用戶訪問（安全策略和訪問特權的執行）的系統；以及一(yī)個審計和報告系統（以驗證系統中(zhōng)正在發生(shēng)的事情）。

規範用戶訪問傳統上涉及到驗證用戶身份的多種身份驗證方法，包括密碼、數字證書(shū)、令牌和智能卡。硬件令牌和信用卡大(dà)小(xiǎo)的智能卡是雙重認證的一(yī)個組成部分(fēn)，它将你知(zhī)道的（你的密碼）與你擁有的東西（令牌或卡片）相結合，以驗證你的身份。

在當今複雜(zá)的計算環境中(zhōng)，随着安全威脅的加劇，一(yī)個強大(dà)的用戶名和密碼并不能減少它。今天，身份管理系統通常包含了生(shēng)物(wù)識别、機器學習和人工(gōng)智能以及基于風險的認證的元素。

在用戶層面，最近的用戶身份驗證方法有助于更好地保護身份。例如，iPhone的流行讓許多人熟悉使用指紋作爲認證方法，包括最新的Face ID 推動的人臉識别驗證。較新的Windows 10電(diàn)腦提供指紋傳感器或虹膜掃描，以進行生(shēng)物(wù)識别用戶的驗證。

 

轉向多因素身份驗證

Abousselham說，一(yī)些組織正在從二因素到三因素認證，結合你知(zhī)道的（你的密碼），你擁有的東西（智能手機），以及你的一(yī)些東西（面部識别，虹膜掃描或指紋傳感器）。當你從2個因素變成3個因素時，你就能更确信你在和正确的用戶打交道。

在管理級别上，由于諸如上下(xià)文感知(zhī)的網絡訪問控制和基于風險的認證（RBA）等技術，今天的身份管理系統提供了更高級的用戶審計和報告。

Okta的産品總監Joe Diamond說：“上下(xià)文感知(zhī)的網絡訪問控制是基于策略的，它根據不同的屬性預先确定事件和結果。”例如，如果一(yī)個IP地址不是白(bái)名單，它可能被阻塞，或者如果沒有證書(shū)表明設備被管理，那麽上下(xià)文感知(zhī)的網絡訪問控制可能會加強身份驗證過程。

相比之下(xià)，RBA更有活力，而且通常是通過某種程度的aiba來實現的。Diamond說：“你開(kāi)始将風險評分(fēn)和機器學習打開(kāi)到一(yī)個認證事件中(zhōng)。”

基于風險的身份驗證可以根據當前的風險文件動态地将不同級别的嚴格程度應用到身份驗證過程中(zhōng)。風險越高，對用戶的認證過程就越嚴格。用戶的地理位置或IP地址的改變可能會在用戶訪問公司的信息資(zī)源之前觸發額外(wài)的認證要求。

 

什麽是聯邦身份管理？

聯邦身份管理允許您與可信的合作夥伴共享數字ID，這是一(yī)種身份驗證機制，允許用戶使用相同的用戶名、密碼或其他ID來訪問多個網絡。

單點登錄（SSO）是聯邦ID管理的一(yī)個重要部分(fēn)。單點登錄标準允許在一(yī)個網絡、網站或應用程序中(zhōng)驗證其身份的人在移動到另一(yī)個網絡時進行身份驗證。該模型隻在協作組織中(zhōng)工(gōng)作，即所謂的可信合作夥伴，這實際上是爲彼此的用戶提供擔保。

 

IAM平台是否基于開(kāi)放(fàng)标準？

可信合作夥伴之間的授權消息通常使用安全斷言标記語言（SAML）發送，這個開(kāi)放(fàng)規範定義了一(yī)個XML框架，用于在安全authori之間交換安全斷言。SAML實現了跨不同供應商(shāng)平台的互操作性，提供了身份驗證和授權服務。

SAML并不是唯一(yī)的開(kāi)放(fàng)标準的身份協議，其他的包括OpenID、WS-Trust（Web服務信任的縮寫）和WS-Federation以及OAuth，它允許用戶的帳戶信息被第三方服務使用，比如Facebook，而不暴露密碼。

 

實現IAM的挑戰或風險是什麽？

成功地實現身份和訪問管理需要跨部門的預先考慮和協作。在開(kāi)始項目之前，建立一(yī)個有凝聚力的身份管理策略，具備明确的目标、利益相關者的購買、定義的業務流程可能是最成功的。當你擁有人力資(zī)源、IT、安全以及其他相關部門時，身份管理是最有效的。

通常，身份信息可能來自多個存儲庫，比如Microsoft Active Directory（AD）或人力資(zī)源應用程序。身份管理系統必須能夠在所有這些系統中(zhōng)同步用戶标識信息，提供一(yī)個單一(yī)的事實來源。

由于當今IT人員(yuán)的短缺，身份和訪問管理系統必須使組織能夠在不同的情況和計算環境中(zhōng)自動和實時地管理各種各樣的用戶。手動調整對成百上千用戶的訪問權限和控制是不可行的。

例如，對于即将離(lí)職的員(yuán)工(gōng)來說，取消供應訪問權限可能會出現問題，尤其是在手動操作的情況下(xià)，這通常是一(yī)種情況。報告員(yuán)工(gōng)離(lí)開(kāi)公司，然後自動取消對他或她使用的所有應用、服務和硬件的訪問，需要一(yī)個自動化的、全面的身份管理解決方案。

認證也必須易于用戶執行，它必須易于部署，而且最重要的是它必須是安全的，Abousselham說，這解釋了爲什麽移動設備正在成爲用戶認證的中(zhōng)心，他補充說，因爲智能手機可以提供用戶當前的地理位置、IP地址和其他信息，這些信息可以用于身份驗證。

一(yī)個值得牢記的風險是：集中(zhōng)的操作爲黑客和破解者提供了誘人的目标。通過在公司的所有身份管理活動中(zhōng)設置一(yī)個指示闆，這些系統比管理員(yuán)更容易降低複雜(zá)性。一(yī)旦妥協，他們就可以允許入侵者創建具有廣泛特權和訪問許多資(zī)源的id。

 

IAM關鍵術語

流行詞的出現和消失一(yī)直都不間斷，但在身份管理領域的一(yī)些關鍵術語是值得了解的：

訪問管理：訪問管理是指用于控制和監視網絡訪問的過程和技術。訪問管理特性，如認證、授權、信任和安全審計，是本地和基于雲系統的頂級ID管理系統的一(yī)部分(fēn)。

雲訪問安全代理（CASB）:CASB概念在2012年由 Gartner 提出，定義了在新的雲計算時代，企業或用戶掌控雲上數據安全的解決方案模型。CASB産品有兩種工(gōng)作模式：一(yī)種是Proxy模式，另一(yī)鍾是API模式。

Active Directory（AD）：微軟将AD作爲Windows域網絡的用戶身份目錄服務開(kāi)發，盡管專有，AD包含在Windows服務器操作系統中(zhōng)，因此被廣泛部署。

生(shēng)物(wù)識别認證：一(yī)種基于用戶獨特特征的認證用戶的安全過程。生(shēng)物(wù)識别認證技術包括指紋傳感器、虹膜和視網膜掃描，以及面部識别。

上下(xià)文感知(zhī)的網絡訪問控制：上下(xià)文感知(zhī)的網絡訪問控制是一(yī)種基于策略的方法，根據用戶尋求訪問的當前上下(xià)文授予對網絡資(zī)源的訪問。例如，試圖從沒有白(bái)名單的IP地址進行身份驗證的用戶将被阻塞。

憑證：用戶用來訪問網絡的标識符，如用戶的密碼、公鑰基礎設施（PKI）證書(shū)或生(shēng)物(wù)特征信息（指紋、虹膜掃描）。

解除供應：從ID存儲庫中(zhōng)删除标識并終止訪問特權的過程。

數字身份：ID本身，包括用戶和他/她/其訪問特權的描述（“Its”，因爲一(yī)個端點，如筆記本或智能手機，可以有自己的數字身份。）

權限：指定一(yī)個經過身份驗證的安全主體(tǐ)的訪問權限和特權的屬性集。

身份作爲服務（IDaaS）：基于雲的IDaaS爲駐留在本地和/或雲中(zhōng)的組織系統提供身份和訪問管理功能。

身份生(shēng)命周期管理：類似于訪問生(shēng)命周期管理，術語指的是維護和更新數字标識的整個過程和技術。身份生(shēng)命周期管理包括身份同步、供應、解除供應，以及對用戶屬性、憑證和權利的持續管理。

身份同步：确保多個身份存儲的過程，例如獲取的結果包含給定數字ID的一(yī)緻數據。

輕量級目錄訪問協議（LDAP）：LDAP是開(kāi)放(fàng)的基于标準的協議，用于管理和訪問分(fēn)布式目錄服務，比如Microsoft的AD。

多因素身份驗證（MFA）：MFA不僅僅是一(yī)個單一(yī)的因素，如用戶名和密碼，需要認證到一(yī)個網絡或系統，至少還需要一(yī)個額外(wài)的步驟，例如接收通過SMS發送到智能手機的代碼，插入智能卡或u盤，或者滿足一(yī)個生(shēng)物(wù)識别認證要求，比如指紋掃描。

密碼重置：在這種情況下(xià)，它是一(yī)個ID管理系統的一(yī)個特性，它允許用戶重新建立自己的密碼，解除工(gōng)作的管理員(yuán)，減少支持的調用。重新設置的應用程序通常是通過浏覽器訪問的。應用程序要求一(yī)個秘密的單詞或一(yī)組問題來驗證用戶的身份。

特權帳戶管理：這一(yī)術語指的是基于用戶的特權管理和審計帳戶和數據訪問。一(yī)般來說，由于他或她的工(gōng)作或功能，特權用戶已被授予對系統的管理訪問權。

基于風險的身份驗證（RBA）：基于風險的身份驗證，基于用戶當前的情況，動态地調整身份驗證需求。例如，當用戶試圖從一(yī)個以前沒有關聯的地理位置或IP地址進行身份驗證時，這些用戶可能會面臨額外(wài)的身份驗證要求。

安全主體(tǐ)：具有一(yī)個或多個憑證的數字身份，可以通過身份驗證和授權與網絡交互。

單點登錄（SSO）：針對多個相關但獨立的系統的訪問控制類型。使用單個用戶名和密碼，用戶可以訪問系統或系統而不使用不同的憑證。

用戶行爲分(fēn)析（UBA）：UBA技術檢測用戶行爲的模式，并自動應用算法和分(fēn)析來檢測可能存在潛在安全威脅的重要異常，而與其他安全技術不同的是，該技術專注于追蹤設備或安全事件。此外(wài)，它有時還與實體(tǐ)行爲分(fēn)析和UEBA相結合。

 

 

-原文作者：James A. Martin, John K. Waters. 原文取自網絡