信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

統(tǒng)一身份和訪問管理（Identity and access management，IAM）在當(dāng)今“數(shù)字優(yōu)先”的世界中正變得越來越重要。現(xiàn)代企業(yè)員工需要在任何設(shè)備（服務(wù)）上實(shí)現(xiàn)“隨時(shí)隨地工作”（work-from-anywhere）的訪問模式。這就迫使組織考慮構(gòu)建新一代的IAM平臺(tái)，通過更加科學(xué)的方式，為數(shù)字資源賦予適當(dāng)?shù)脑L問權(quán)限，從而發(fā)揮保護(hù)數(shù)字資產(chǎn)的重要作用。

新一代IAM發(fā)展趨勢

早期的IAM技術(shù)是建立在傳統(tǒng)IT架構(gòu)平臺(tái)上的，主要負(fù)責(zé)管理人的身份。而隨著數(shù)字化業(yè)務(wù)系統(tǒng)和物聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，IAM系統(tǒng)不僅需要給數(shù)量龐大的“機(jī)器”和業(yè)務(wù)系統(tǒng)賦予身份并實(shí)現(xiàn)有效管理，還需要從組織數(shù)字化業(yè)務(wù)開展的整體視角，統(tǒng)一制定出各種數(shù)字資源的訪問規(guī)則和策略。為了滿足以上應(yīng)用需求，新一代IAM技術(shù)快速發(fā)展并呈現(xiàn)以下趨勢：

1、去中心化身份

去中心化身份是對(duì)個(gè)人、應(yīng)用服務(wù)和機(jī)器身份擴(kuò)展響應(yīng)的關(guān)鍵特征。隨著各種新型身份數(shù)量的激增，IAM底層技術(shù)需要徹底轉(zhuǎn)型，以滿足組織數(shù)字化發(fā)展和隱私保護(hù)的身份管理需求。支持區(qū)塊鏈的身份和去中心化身份是新一代IAM系統(tǒng)變革發(fā)展的關(guān)健特征，使用戶能夠自主創(chuàng)建、驗(yàn)證和注冊(cè)他們所需要的任何類型身份。這種模式的轉(zhuǎn)變不僅能夠降低用戶的運(yùn)營成本，還能夠降低原來集中式身份管理模式的一些固有風(fēng)險(xiǎn)，從而增強(qiáng)了數(shù)字生態(tài)系統(tǒng)的彈性和安全性。

2、零信任安全架構(gòu)

零信任安全代表了網(wǎng)絡(luò)安全防護(hù)的理念轉(zhuǎn)變，體現(xiàn)了“永不信任，永遠(yuǎn)驗(yàn)證”的原則。這種方法需要基于持續(xù)不斷地用戶身份驗(yàn)證活動(dòng)，以加強(qiáng)安全管控措施。在零信任安全架構(gòu)下，IAM系統(tǒng)需要通過根據(jù)用戶特征和權(quán)限管理審查訪問請(qǐng)求，在用戶體驗(yàn)和網(wǎng)絡(luò)安全之間取得了微妙的平衡。采用零信任安全模型的IAM系統(tǒng)，可以幫助組織培養(yǎng)主動(dòng)的安全文化，以減輕未經(jīng)授權(quán)的破壞風(fēng)險(xiǎn)，并加強(qiáng)其整體安全態(tài)勢。

3、增強(qiáng)的用戶體驗(yàn)

提升IAM系統(tǒng)的用戶體驗(yàn)是組織的當(dāng)務(wù)之急。為了完成這一目標(biāo)，IAM策略必須與業(yè)務(wù)和IT目標(biāo)緊密結(jié)合，確保以用戶為中心的優(yōu)先級(jí)在組織功能中產(chǎn)生共鳴。

組織還應(yīng)為所有外部用戶（消費(fèi)者、業(yè)務(wù)客戶和合作伙伴）制定統(tǒng)一連貫的策略。例如，確保IAM優(yōu)先事項(xiàng)與業(yè)務(wù)優(yōu)先事項(xiàng)和IT優(yōu)先事項(xiàng)都相一致，提供全方位渠道體驗(yàn)，并統(tǒng)一客戶畫像資料。通過統(tǒng)一的客戶數(shù)據(jù)流，組織可以編排個(gè)性化的交互，無縫地跨越各種接觸點(diǎn)，在提高整體運(yùn)營效率的同時(shí)，培養(yǎng)用戶之間更深層次的參與度和忠誠度。

4、無密碼身份認(rèn)證

無密碼身份認(rèn)證標(biāo)志著對(duì)傳統(tǒng)密碼依賴的重大轉(zhuǎn)變，提供了一種更強(qiáng)大、用戶友好的身份認(rèn)證方法。為了實(shí)現(xiàn)這種變革轉(zhuǎn)變，新一代IAM方案需要深入研究利用生物識(shí)別技術(shù)進(jìn)行創(chuàng)新的身份驗(yàn)證，最大限度地減少與傳統(tǒng)基于密碼的系統(tǒng)相關(guān)的安全性漏洞。例如，采用快速在線身份識(shí)別（FIDO）是實(shí)現(xiàn)完全無密碼體驗(yàn)的關(guān)鍵一步，可以抵御無處不在的網(wǎng)絡(luò)釣魚攻擊威脅。通過采用無密碼身份認(rèn)證方法，IAM不僅可以幫助組織增強(qiáng)其安全態(tài)勢，還可以簡化用戶交互，培養(yǎng)無摩擦的身份認(rèn)證體驗(yàn)，同時(shí)增強(qiáng)應(yīng)對(duì)網(wǎng)絡(luò)威脅變化的整體彈性。

5、隨時(shí)隨地連接計(jì)算（Connect Anywhere Computing）

企業(yè)數(shù)字化轉(zhuǎn)型和云應(yīng)用需要更多的支持，包括支持混合IT環(huán)境中的身份、多個(gè)云平臺(tái)中的身份和計(jì)算設(shè)備身份。向遠(yuǎn)程和互聯(lián)計(jì)算的過渡強(qiáng)調(diào)了更復(fù)雜的訪問控制機(jī)制的必要性。為了應(yīng)對(duì)這種不斷變化的環(huán)境，組織正在轉(zhuǎn)向能夠區(qū)分合法用戶和惡意機(jī)器人的高級(jí)IAM管理平臺(tái)，從而加強(qiáng)其網(wǎng)絡(luò)安全防御。通過支持隨時(shí)隨地連接計(jì)算（Connect Anywhere Computing）功能，IAM可以為員工提供無縫的遠(yuǎn)程訪問，還可以保護(hù)其數(shù)字資產(chǎn)免受新出現(xiàn)的威脅，確保在日益互聯(lián)的環(huán)境中提供強(qiáng)大的保護(hù)。

6、自適應(yīng)訪問控制機(jī)制

實(shí)現(xiàn)零信任架構(gòu)需要采用行業(yè)最佳實(shí)踐來最小化安全風(fēng)險(xiǎn)并加強(qiáng)組織防御。這涉及強(qiáng)制將多因素身份驗(yàn)證（MFA）作為特權(quán)訪問的基本要求，在傳統(tǒng)的密碼身份驗(yàn)證方法之外添加額外的安全層。

此外，利用自適應(yīng)訪問控制機(jī)制作為零信任體系結(jié)構(gòu)的組成部分，通過基于上下文因素（如用戶行為和設(shè)備狀態(tài)）不斷評(píng)估和調(diào)整訪問權(quán)限，進(jìn)一步增強(qiáng)了安全性。通過自適應(yīng)訪問控制策略，組織可以建立更強(qiáng)大的安全態(tài)勢，不僅可以降低未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)，還可以與不斷發(fā)展的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)保持一致，保護(hù)敏感數(shù)據(jù)和關(guān)鍵資產(chǎn)免受復(fù)雜的網(wǎng)絡(luò)威脅。

新一代IAM應(yīng)用實(shí)踐

因?yàn)镮AM涉及了多方利益相關(guān)者的日常工作，因此，它的應(yīng)用往往被認(rèn)為是復(fù)雜的、困難的并且會(huì)帶來較大成本性投入的。為了更好地建設(shè)應(yīng)用IAM，最大限度發(fā)揮其價(jià)值，建議企業(yè)組織遵循以下最佳實(shí)踐：

1、徹底審計(jì)組織資產(chǎn)

當(dāng)組織將新的IAM工具集成到數(shù)字化業(yè)務(wù)中時(shí)，第一步應(yīng)該是對(duì)組織的資產(chǎn)和應(yīng)用程序進(jìn)行徹底的審計(jì)檢查，特別是組織中的用戶身份，因?yàn)樗鼈冎械脑S多可能早已過期。這些身份賬戶會(huì)對(duì)整個(gè)體系構(gòu)成真正的風(fēng)險(xiǎn)，清理這些賬戶會(huì)讓組織收獲頗豐。一旦了解了歷史身份庫存情況，組織就可以著手部署新的IAM工具。在此過程中，安全管理者必須構(gòu)建好身份治理管理和特權(quán)訪問管理，防范可能出現(xiàn)違規(guī)的訪問。

2、“從點(diǎn)到面”試點(diǎn)

開展新一代IAM建設(shè)時(shí)建議從小事做起——確定四到五個(gè)最廣泛使用的應(yīng)用程序。從試點(diǎn)工作開始，安全團(tuán)隊(duì)可以與那些應(yīng)用程序團(tuán)隊(duì)密切合作，構(gòu)建和啟動(dòng)集成。通過早期的使用經(jīng)驗(yàn)也將有助于在內(nèi)部為其他項(xiàng)目提供動(dòng)力。

具體來說，組織可以選擇一種技術(shù)，比如多因素身份驗(yàn)證（MFA）或特權(quán)管理，然后按部門或地區(qū)采取分階段的方法，利用從每次小型部署中吸取的經(jīng)驗(yàn)教訓(xùn)，使后續(xù)部署更加成功。從哪里開始并不重要，重要的是要堅(jiān)持下去。

3、選擇合適的服務(wù)提供商

明智地選擇IAM服務(wù)供應(yīng)商也很重要，要比較市場和每個(gè)平臺(tái)或工具套件提供的內(nèi)容。安全團(tuán)隊(duì)還應(yīng)該努力回答以下基本問題：

它是否具有您組織所需的所有組件和功能？

它能否管理組織的所有環(huán)境應(yīng)用需求？

是否能提供一個(gè)統(tǒng)一的身份管理“界面”來管理所有身份？

系統(tǒng)是否與環(huán)境中已有的業(yè)務(wù)系統(tǒng)有效集成？

如果不事先充分考慮上述因素，在IAM系統(tǒng)建設(shè)過程中就可能會(huì)消耗IT和安全團(tuán)隊(duì)的大量資源。

4、贏得公司管理層支持

IAM系統(tǒng)要想整合應(yīng)用成功，必需要得到公司董事會(huì)和相關(guān)業(yè)務(wù)部門的支持。大量實(shí)踐表明，IAM項(xiàng)目成功的最大挑戰(zhàn)就是文化阻力和員工們對(duì)新事物的恐懼。從戰(zhàn)略上講，IAM項(xiàng)目關(guān)鍵的一點(diǎn)是要與董事會(huì)和高級(jí)管理層充分溝通，確保他們理解項(xiàng)目努力實(shí)現(xiàn)的目標(biāo)的價(jià)值。

對(duì)于許多安全團(tuán)隊(duì)來說，讓董事會(huì)了解網(wǎng)絡(luò)風(fēng)險(xiǎn)及其與業(yè)務(wù)風(fēng)險(xiǎn)的關(guān)系仍然是一個(gè)挑戰(zhàn)。對(duì)于這種情況，建議使用一些數(shù)據(jù)驅(qū)動(dòng)的實(shí)際案例來引起管理層的共鳴，比如如果敏感數(shù)據(jù)因身份攻擊而泄露，監(jiān)管機(jī)構(gòu)會(huì)對(duì)組織進(jìn)行什么處罰，或者如果組織的知識(shí)產(chǎn)權(quán)泄露會(huì)發(fā)生什么？組織是否會(huì)失去競爭優(yōu)勢甚至客戶?

除了董事會(huì)的參與外，還需要取得組織業(yè)務(wù)部門的支持。這將確保員工們不會(huì)試圖尋找規(guī)避IAM的方法，增加系統(tǒng)的運(yùn)行難度。