在企業中，身份和訪問管理或者IAM，是用于定義和管理單個網絡用戶的角色和訪問特權，以及用戶被授予（或拒絕）這些特權的環境。IAM系統的核心目标是每個人的一個身份。一旦建立了數字身份，就(jiù)必須對每個用戶的“訪問生(shēng)命周期”進行維護、修改和監控。

因此，身份管理的首要目标是在适當的環境中，向正确的用戶授予正确的企業資産，從用戶的系統入職到許可(kě)授權，再到需要的時候及時隔離(lí)該用戶企業身份和訪問管理提供商Okta的高級副總裁兼首席安全官Yassir Abousselham這樣解釋道。

 

IAM系統爲管理員提供了工具和技術來改變用戶的角色，跟蹤用戶活動，創建關于這些活動的報告，并在持續的基礎上實施策略。

這些系統的設計目的是提供一種管理整個企業用戶訪問的方法，并确保遵守公司政策和政府法規。

 

IAM産品和服務的用途

身份和管理技術包括（但(dàn)不限于）密碼管理工具、供應軟件(jiàn)、安全策略執行應用程序、報告和監視應用程序和身份存儲庫。身份管理系統可(kě)用于内部系統，如(rú)微軟SharePoint，以及基于雲的系統，如(rú)Microsoft Office 365。

Forrester Research 在其《Tech Tide: Identity and Access Management, Q4 2017》的報告中，确定了6個低成熟度的IAM技術，但(dàn)目前的商業價值很高。

API安全性，使IAM可(kě)用于B2B商務，與雲集成以及基于微服務的IAM架構。Forrester認爲，在移動應用程序或用戶管理的訪問之間，API安全解決方案被用于單點登錄（SSO）。這将允許安全團隊管理物聯網設備授權和個人識别數據。

客戶身份和訪問管理（CIAM），允許對用戶進行全面的管理和認證，自助式和檔案管理以及與CRM，ERP和其他(tā)客戶管理系統和數據庫的集成。

身份分析（IA）将允許安全團隊使用規則、機(jī)器學習和其他(tā)統計算法來檢測和阻止危險的身份行爲。

身份驗證安全服務(IDaaS)包括軟件(jiàn)即服務（SaaS）解決方案，從門戶網站(zhàn)到web應用程序和本機(jī)移動應用程序，以及一些用戶帳戶供應和訪問請(qǐng)求管理，提供SSO。

身份管理和治理（IMG）提供了管理身份生(shēng)命周期的自動化和可(kě)重複的方法，這對于遵守身份和隐私規定是很重要的。

基于風險的認證（RBA）解決方案在用戶會話(huà)和認證的環境中進行，并形成一個風險分值。根據報告，該公司可(kě)以向高風險用戶提供雙因子驗證，并允許低風險用戶使用單一因素認證（如(rú)用戶名和密碼）。

“IAM系統必須足夠靈活和足夠強大，以适應當今計算環境的複雜性。一個原因是：企業的計算環境過去(qù)基本上是在本地運行的，而身份管理系統在用戶工作的前提下進行了身份驗證和跟蹤。”身份和訪問管理提供商One Identity的産品管理高級總監傑克遜肖說(shuō)，“以前在該場所周圍有一個安全圍欄，今天，這個栅欄已經不在了。”

因此，今天的身份管理系統應該能夠使管理員能夠輕松地管理各種各樣的用戶的訪問權限，包括本地的現場員工和國際外的承包商；混合計算環境，包括本地計算、軟件(jiàn)即服務（SaaS）應用程序，以及影(yǐng)子IT和BYOD用戶；以及包括UNIX、Windows、Macintosh、iOS、Android甚至物聯網設備的計算架構。

最終，身份和訪問管理系統應該能夠以一種一緻的、可(kě)擴展的方式在整個企業中實現對用戶的集中管理。近年來，身份即服務（IDaaS）已經發展成爲基于訂閱的雲服務提供的第三方托管服務，爲客戶的現場和基于雲的系統提供身份管理。

 

爲什麽我需要IAM？

身份和訪問管理是任何企業安全計劃的關鍵部分，因爲它與當今數字化經濟中的組織的安全性和生(shēng)産力密不可(kě)分。

網絡安全風險投資公司預測，受損害的用戶憑證通常會成爲組織網絡及其信息資産的入口點。企業使用身份管理來保護自己的信息資産，以應對勒索軟件(jiàn)、犯罪黑(hēi)客、網絡釣魚和其他(tā)惡意軟件(jiàn)攻擊的威脅。全球勒索軟件(jiàn)的損失預計今年将超過50億美元，比2016年增加15%。

在許多組織中，用戶有時擁有比必要更多的訪問權限。一個健壯的IAM系統可(kě)以通過确保在組織中一緻地應用用戶訪問規則和策略，從而增加一個重要的保護層。

身份和訪問管理系統可(kě)以提高企業的生(shēng)産力。系統的中央管理能力可(kě)以降低保護用戶憑證和訪問的複雜性和成本。同時，身份管理系統使員工在各種環境中更有效率（同時保持安全），無論他(tā)們是在家工作，還(hái)是在辦公室工作或者在路(lù)上。

 

IAM對法規遵循管理的意義

許多政府要求企業關注身份管理，如(rú)Sarbanes-Oxley、格萊姆-萊利-布利利和HIPAA等監管機(jī)構，要求企業負責控制對客戶和員工信息的訪問。身份管理系統可(kě)以幫助組織遵守這些規定。

通用數據保護條例（GDPR）是一項最新的規定，要求嚴格的安全性和用戶訪問控制。GDPR要求各組織保護歐盟公民(mín)的個人數據和隐私。2018年5月生(shēng)效，GDPR影(yǐng)響到所有在歐盟國家開展業務的公司，或者有歐洲公民(mín)作爲客戶。

在2017年3月1日，紐約州金融服務局（NYDFS）的新網絡安全監管規定生(shēng)效。該規定對在紐約運營的金融服務公司的安全運營提出了許多要求，包括監控授權用戶的活動和維護審計日志——這是身份管理系統通常所做的事情。

通過許多方面自動化，爲企業網絡和數據提供安全的用戶訪問，身份管理系統減輕了簡單但(dàn)重要的任務，并幫助他(tā)們遵守政府規定。這些都是至關重要的好處，因爲今天，每一個IT職位都是安全的，全球網絡安全人員短(duǎn)缺；對不遵守相(xiàng)關規定的懲罰會使組織損失數百萬甚至數十億美元。

 

IAM系統的好處是什麽

實現身份和訪問管理以及相(xiàng)關的最佳實踐可(kě)以在幾個方面給您帶來顯著的競争優勢。現在，大多數企業需要向組織之外的用戶提供内部系統，例如(rú)客戶、合作夥伴、供應商、承包商開放(fàng)您的網絡，當然，員工可(kě)以提高效率和降低運營成本。

身份管理系統可(kě)以讓公司在不損害安全的前提下，擴展其信息系統的訪問範圍。通過提供更多的外部訪問，你可(kě)以推動整個組織的協作，提高生(shēng)産力、員工滿意度、研究和開發以及最終的收入。

身份管理可(kě)以減少對IT支持團隊關于密碼重置的求助電話(huà)的數量，允許管理員自動完成這些耗時、耗錢的任務。

身份管理系統可(kě)以成爲安全網絡的基礎，因爲管理用戶身份是訪問控制的一個重要部分。身份管理系統要求公司定義他(tā)們的訪問策略，特别是概述誰有權訪問哪些數據資源，以及在哪些條件(jiàn)下可(kě)以訪問這些資源。

因此，管理良好的身份意味着對用戶訪問的更大控制，這意味着内部和外部風險的降低。這一點很重要，因爲随着外部威脅的不斷增加，内部攻擊的頻率也非常高。根據IBM 2016年網絡安全情報索引，大約60%的數據洩露是由一個組織的員工造成的，其中75%是惡意的，25%是意外的。

正如(rú)前面提到的，IAM系統可(kě)以通過提供工具來實現全面的安全性、審計和訪問策略，從而增強法規遵從性。許多系統現在提供了一些特性，以确保組織的遵從性。

 

IAM系統是如(rú)何工作的？

在過去(qù)的幾年裡，一個典型的身份管理系統包含四個基本元素：系統用來定義個人用戶的個人數據的目錄（将其視爲一個身份存儲庫）；一組用于添加、修改和删除數據的工具（與訪問生(shēng)命周期管理相(xiàng)關）；一個管理用戶訪問（安全策略和訪問特權的執行）的系統；以及一個審計和報告系統（以驗證系統中正在發生(shēng)的事情）。

規範用戶訪問傳統上涉及到驗證用戶身份的多種身份驗證方法，包括密碼、數字證書(shū)、令牌和智能卡。硬件(jiàn)令牌和信用卡大小的智能卡是雙重認證的一個組成部分，它将你知道的（你的密碼）與你擁有的東西（令牌或卡片）相(xiàng)結合，以驗證你的身份。

在當今複雜的計算環境中，随着安全威脅的加劇，一個強大的用戶名和密碼并不能減少它。今天，身份管理系統通常包含了生(shēng)物識别、機(jī)器學習和人工智能以及基于風險的認證的元素。

在用戶層面，最近的用戶身份驗證方法有助于更好地保護身份。例如(rú)，iPhone的流行讓許多人熟悉使用指紋作爲認證方法，包括最新的Face ID 推動的人臉識别驗證。較新的Windows 10電腦提供指紋傳感器或虹膜掃描，以進行生(shēng)物識别用戶的驗證。

 

轉向多因素身份驗證

Abousselham說(shuō)，一些組織正在從二因素到三因素認證，結合你知道的（你的密碼），你擁有的東西（智能手機(jī)），以及你的一些東西（面部識别，虹膜掃描或指紋傳感器）。當你從2個因素變成3個因素時，你就(jiù)能更确信你在和正确的用戶打交道。

在管理級别上，由于諸如(rú)上下文感知的網絡訪問控制和基于風險的認證（RBA）等技術，今天的身份管理系統提供了更高級的用戶審計和報告。

Okta的産品總監Joe Diamond說(shuō)：“上下文感知的網絡訪問控制是基于策略的，它根據不同的屬性預先确定事件(jiàn)和結果。”例如(rú)，如(rú)果一個IP地址不是白(bái)名單，它可(kě)能被阻塞，或者如(rú)果沒有證書(shū)表明設備被管理，那麽上下文感知的網絡訪問控制可(kě)能會加強身份驗證過程。

相(xiàng)比之下，RBA更有活力，而且通常是通過某種程度的aiba來實現的。Diamond說(shuō)：“你開始将風險評分和機(jī)器學習打開到一個認證事件(jiàn)中。”

基于風險的身份驗證可(kě)以根據當前的風險文件(jiàn)動态地将不同級别的嚴格程度應用到身份驗證過程中。風險越高，對用戶的認證過程就(jiù)越嚴格。用戶的地理位置或IP地址的改變可(kě)能會在用戶訪問公司的信息資源之前觸發額外的認證要求。

 

什麽是聯邦身份管理？

聯邦身份管理允許您與可(kě)信的合作夥伴共享數字ID，這是一種身份驗證機(jī)制，允許用戶使用相(xiàng)同的用戶名、密碼或其他(tā)ID來訪問多個網絡。

單點登錄（SSO）是聯邦ID管理的一個重要部分。單點登錄标準允許在一個網絡、網站(zhàn)或應用程序中驗證其身份的人在移動到另一個網絡時進行身份驗證。該模型隻在協作組織中工作，即所謂的可(kě)信合作夥伴，這實際上是爲彼此的用戶提供擔保。

 

IAM平台是否基于開放(fàng)标準？

可(kě)信合作夥伴之間的授權消息通常使用安全斷言标記語言（SAML）發送，這個開放(fàng)規範定義了一個XML框架，用于在安全authori之間交換安全斷言。SAML實現了跨不同供應商平台的互操作性，提供了身份驗證和授權服務。

SAML并不是唯一的開放(fàng)标準的身份協議(yì)，其他(tā)的包括OpenID、WS-Trust（Web服務信任的縮寫）和WS-Federation以及OAuth，它允許用戶的帳戶信息被第三方服務使用，比如(rú)Facebook，而不暴露密碼。

 

實現IAM的挑戰或風險是什麽？

成功地實現身份和訪問管理需要跨部門的預先考慮和協作。在開始項目之前，建立一個有凝聚力的身份管理策略，具備明确的目标、利益相(xiàng)關者的購(gòu)買、定義的業務流程可(kě)能是最成功的。當你擁有人力資源、IT、安全以及其他(tā)相(xiàng)關部門時，身份管理是最有效的。

通常，身份信息可(kě)能來自多個存儲庫，比如(rú)Microsoft Active Directory（AD）或人力資源應用程序。身份管理系統必須能夠在所有這些系統中同步用戶标識信息，提供一個單一的事實來源。

由于當今IT人員的短(duǎn)缺，身份和訪問管理系統必須使組織能夠在不同的情況和計算環境中自動和實時地管理各種各樣的用戶。手動調整對成百上千用戶的訪問權限和控制是不可(kě)行的。

例如(rú)，對于即将離(lí)職的員工來說(shuō)，取消供應訪問權限可(kě)能會出現問題，尤其是在手動操作的情況下，這通常是一種情況。報告員工離(lí)開公司，然後自動取消對他(tā)或她使用的所有應用、服務和硬件(jiàn)的訪問，需要一個自動化的、全面的身份管理解決方案。

認證也必須易于用戶執行，它必須易于部署，而且最重要的是它必須是安全的，Abousselham說(shuō)，這解釋了爲什麽移動設備正在成爲用戶認證的中心，他(tā)補充說(shuō)，因爲智能手機(jī)可(kě)以提供用戶當前的地理位置、IP地址和其他(tā)信息，這些信息可(kě)以用于身份驗證。

一個值得(de)牢記的風險是：集中的操作爲黑(hēi)客和破解者提供了誘人的目标。通過在公司的所有身份管理活動中設置一個指示闆，這些系統比管理員更容易降低複雜性。一旦妥協，他(tā)們就(jiù)可(kě)以允許入侵者創建具有廣泛特權和訪問許多資源的id。

 

IAM關鍵術語

流行詞的出現和消失一直都不間斷，但(dàn)在身份管理領域的一些關鍵術語是值得(de)了解的：

訪問管理：訪問管理是指用于控制和監視網絡訪問的過程和技術。訪問管理特性，如(rú)認證、授權、信任和安全審計，是本地和基于雲系統的頂級ID管理系統的一部分。

雲訪問安全代理（CASB）:CASB概念在2012年由 Gartner 提出，定義了在新的雲計算時代，企業或用戶掌控雲上數據安全的解決方案模型。CASB産品有兩種工作模式：一種是Proxy模式，另一鍾是API模式。

Active Directory（AD）：微軟将AD作爲Windows域網絡的用戶身份目錄服務開發，盡管專有，AD包含在Windows服務器操作系統中，因此被廣泛部署。

生(shēng)物識别認證：一種基于用戶獨特特征的認證用戶的安全過程。生(shēng)物識别認證技術包括指紋傳感器、虹膜和視網膜掃描，以及面部識别。

上下文感知的網絡訪問控制：上下文感知的網絡訪問控制是一種基于策略的方法，根據用戶尋求訪問的當前上下文授予對網絡資源的訪問。例如(rú)，試圖從沒有白(bái)名單的IP地址進行身份驗證的用戶将被阻塞。

憑證：用戶用來訪問網絡的标識符，如(rú)用戶的密碼、公鑰基礎設施（PKI）證書(shū)或生(shēng)物特征信息（指紋、虹膜掃描）。

解除供應：從ID存儲庫中删除标識并終止訪問特權的過程。

數字身份：ID本身，包括用戶和他(tā)/她/其訪問特權的描述（“Its”，因爲一個端點，如(rú)筆記本或智能手機(jī)，可(kě)以有自己的數字身份。）

權限：指定一個經過身份驗證的安全主體的訪問權限和特權的屬性集。

身份作爲服務（IDaaS）：基于雲的IDaaS爲駐留在本地和/或雲中的組織系統提供身份和訪問管理功能。

身份生(shēng)命周期管理：類似于訪問生(shēng)命周期管理，術語指的是維護和更新數字标識的整個過程和技術。身份生(shēng)命周期管理包括身份同步、供應、解除供應，以及對用戶屬性、憑證和權利的持續管理。

身份同步：确保多個身份存儲的過程，例如(rú)獲取的結果包含給定數字ID的一緻數據。

輕量級目錄訪問協議(yì)（LDAP）：LDAP是開放(fàng)的基于标準的協議(yì)，用于管理和訪問分布式目錄服務，比如(rú)Microsoft的AD。

多因素身份驗證（MFA）：MFA不僅僅是一個單一的因素，如(rú)用戶名和密碼，需要認證到一個網絡或系統，至少還(hái)需要一個額外的步驟，例如(rú)接收通過SMS發送到智能手機(jī)的代碼，插入智能卡或u盤，或者滿足一個生(shēng)物識别認證要求，比如(rú)指紋掃描。

密碼重置：在這種情況下，它是一個ID管理系統的一個特性，它允許用戶重新建立自己的密碼，解除工作的管理員，減少支持的調用。重新設置的應用程序通常是通過浏覽器訪問的。應用程序要求一個秘密的單詞或一組問題來驗證用戶的身份。

特權帳戶管理：這一術語指的是基于用戶的特權管理和審計帳戶和數據訪問。一般來說(shuō)，由于他(tā)或她的工作或功能，特權用戶已被授予對系統的管理訪問權。

基于風險的身份驗證（RBA）：基于風險的身份驗證，基于用戶當前的情況，動态地調整身份驗證需求。例如(rú)，當用戶試圖從一個以前沒有關聯的地理位置或IP地址進行身份驗證時，這些用戶可(kě)能會面臨額外的身份驗證要求。

安全主體：具有一個或多個憑證的數字身份，可(kě)以通過身份驗證和授權與網絡交互。

單點登錄（SSO）：針對多個相(xiàng)關但(dàn)獨立的系統的訪問控制類型。使用單個用戶名和密碼，用戶可(kě)以訪問系統或系統而不使用不同的憑證。

用戶行爲分析（UBA）：UBA技術檢測用戶行爲的模式，并自動應用算法和分析來檢測可(kě)能存在潛在安全威脅的重要異常，而與其他(tā)安全技術不同的是，該技術專注于追蹤設備或安全事件(jiàn)。此外，它有時還(hái)與實體行爲分析和UEBA相(xiàng)結合。

 

 

-原文作者：James A. Martin, John K. Waters. 原文取自網絡