统一身份和访问管理(Identity and access management,IAM)并非一个新安全概念,但它在当今“数字优先”的世界中正变得越来越重要。现代企业员工需要在任何设备(服务)上实现“随时随地工作”(work-from-anywhere)的访问模式。这就需要比以往更加安全地赋予和验证数字身份,以实现安全的数字连接。 早期的IAM技术是建立在传统IT架构平台上的,无法支持组织新的身份管理和应用要求,这迫使组织考虑如何构建新一代的IAM平台。在本篇文章中,我们旨在从IAM的定义、IAM的技术组成、IAM的技术演进以及IAM的应用挑战等维度,对新一代IAM技术的应用和发展进行描述。
一、IAM的理念与意义
IAM是一个整体学科,不仅包括工具和技术,还包括定义和管理数字身份以提供对数字资源访问的过程。在最初阶段,IAM主要负责管理人的身份,但随着数字化业务系统和物联网应用的快速发展,IAM系统需要给数量庞大的“机器”和业务系统赋予身份并实现有效管理。 IAM对于定义数字身份配置文件和管理其整个生命周期(即IAM中的“IM”身份管理)至关重要。它需要能够确保访问者的真实合法性(authentication,身份验证),并且可以正确访问他们尝试访问的资源(authorization,授权),这也称为访问管理(即IAM中的“A”)。 在实现身份管理的基础上,一些安全服务商正在向IAM系统整合更多的能力,身份治理和管理(Identity Governance and Administration,IGA)的概念也随之产生,IGA方案能够证明身份治理的合规性并支持持续审查访问权限的过程,以确保数字身份没有被错误配置访问权限,从而避免安全隐患的形成。 在实际应用中,新一代IAM系统正在通过更加科学的方式,为数字资源赋予适当的访问权限,从而发挥保护数字资产的重要作用。IAM需要从数字化业务开展的整体视角,为组织管理各种数字化身份,并统一制定数字资源的访问规则和策略。 鉴于IAM的关键特质,它已经成为组织新一代网络安全能力体系构建的基础要求和重要组成部分。在稳定有效的组织网络安全体系中,完善的IAM策略和能力是不可或缺的,可以让所有身份都使用一致的策略和工具进行管理,让安全领导者清晰了解企业数字化资源的访问和应用情况。
二、IAM的关键技术组成
IAM是一组实现系统化身份安全能力的工具集,它由多个关键技术能力模块组成: 1.访问管理 访问管理(Access Management,AM)被称为IAM的“运行时”或“访问时间”组件,其中数字身份经过身份验证以识别尝试访问资源的实体,并且仅允许必要的访问。组件包括双因素认证、多因素身份验证(MFA)等,其中除了用户ID和密码外,还需要一个或多个额外的因素(令牌或设备)可以增强身份验证过程;另一个常见的AM组件是单点登录(SSO),它在通过身份验证后建立安全会话,可以访问多个资源,而无需对每个资源重新进行身份验证。 2.身份管理 身份管理负责处理身份和访问权限(也称为访问授权)的管理和治理。它会在用户加入组织时自动为其提供正确的访问权限,从而提高用户工作效率。然后,它会在身份的整个生命周期(包括入职、转移和离开阶段)中严格执行被授予的权限模型。 身份管理解决方案通常会包括一个用户界面和工作流引擎,提供请求和批准访问的能力。这可能包括对特定资源的临时请求以及基于角色的访问,这些工具可以定义和管理业务和技术角色的生命周期。 身份管理的一个重要功能是访问认证,它可以自动化审查身份访问的过程,使管理人员能够审查和证明其员工的访问权限。同时,这也可以实现监管合规性,因为许多法律都要求对金融系统的任何访问进行定期审查。 身份管理的另一个功能是配置和取消配置过程。身份管理技术模块使用“连接器”来定位应用程序,在这些应用程序中可以建立访问权限,使正确的用户能够获得正确的访问权限。它可以对各种复杂的应用程序(例如ERP系统),提供细粒度级别的访问控制,同时定义出职责分离(SOD)的控制规则,以确保在组织的应用程序内或跨组织的应用程序之间不存在有害的访问行为。 3.特权访问管理 在新一代IAM方案中,大多融合了一个重要组件专门解决对敏感资源和用户的访问,称为特权访问管理(Privileged Access Management,PAM)。Gartner将可用的PAM技术分为两种不同的方法,并逐渐成为领导者考虑PAM工具的主要关注点: 特权账号和会话管理(PASM):特权账号通过安全存储凭据来保护。通过代理方式为用户、服务和应用提供账号的访问。通过凭据注入和完整会话记录建立会话。特权账号的密码和其他凭据可主动管理(定期更改或发生特定事件时更改)。 权限提升和委托管理(PEDM):基于主机的代理在托管系统上向登录用户授予特定权限,包括基于主机的命令控制(筛选)和权限提升。 综合来看,PAM的功能特性集合包括:共享账户密码管理、应用到应用密码管理、特权账号发现和生命周期管理、特权SSO、特权提升管理、特权用户行为分析、会话监控分析和记录、端点特权管理、报告审计和合规。 PAM也在不断发展以支持即时(Just-In-Time,JIT)访问模型,从而避免了对凭据进行保管和定义不必要的永久性身份账号。在JIT模型中,账户都是动态创建的,或者非管理账户在特定时间段内被授予临时管理权限,工作完成后及时删除。如此一来,管理员账户数量会大大减少,从而降低了高级账户泄露的风险。 4.客户IAM(CIAM) 根据组织的业务需求,IAM系统中还应包括面向其客户的外部IAM管理模块,通常称为客户IAM(Customer IAM,CIAM)。消费者关注的重点通常是用户体验感,CIAM解决方案需要提供成熟的工具包或第三方软件开发工具包(SDK),允许组织自定义身份验证的界面和人机交互模式。 对CIAM的另一个要求是支持自适应访问,通过大数据分析和机器学习提供检测异常行为并在需要时实施更严格的访问验证(例如MFA)能力。同时,鉴于隐私关注度和法规遵从性的提升,CIAM解决方案需要提供一个界面,供客户查看和控制他们的个人信息应用和保护情况。 5.云基础设施授权管理 为了IAM获得更好的实际应用效果,有许多关联技术同样重要,其中就包括了云基础设施授权管理(Cloud Infrastructure Entitlement Management,CIEM),它旨在收集和规范IaaS平台中的数千个权限,了解访问模式,并就如何减少这些环境中存在的过度访问提出基于机器学习的判断。
三、新一代IAM技术的演进
可以认为,从第一台计算机出现开始,对使用者身份管理的需求就开始出现。但直到客户端/服务器时代,随着应用程序变得更加分散并形成各自的身份孤岛,统一身份管理的需求和重要性才开始彰显。每个用户和权利/权限都可以通过程序进行管理,这大大促进了用户身份认证模式和密码应用的发展。 目录服务旨在通过提供集中的用户存储库以及称为轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)的方式来解决此问题。目录服务被用于实现跨多个平台的单点登录,包括操作系统、数据库和Web服务器。在此期间,Microsoft的Active Directory 成为管理计算机以及提供管理用户、组和访问策略的体系结构的企业标准。在互联网时代早期,多重凭证和登录的问题更加严重,由此开发了Web单点登录(SSO)以促进跨组织应用程序的用户身份验证和授权,其在大多数情况下利用LDAP目录作为身份存储。 此外,管理用户生命周期治理和访问策略的问题大多通过定制应用程序实现自动化,并最终成为产品化的用户配置和管理解决方案。加上需要治理功能来满足监管要求,其最终与身份管理和配置解决方案融合,形成如今称为IGA的解决方案。 在过去十年中,这些解决方案作为云解决方案提供,利用了云的所有优势。但在大多数情况下,这些解决方案(包括IAM平台)仍需要专门的资源来维护。为了进一步简化身份和访问管理用例和部署,并减少与实施多种解决方案相关的成本和负担,这些解决方案开始融合以提供更完整的IAM解决方案组合,例如IGA、PAM以及AM和CIAM。 考虑到基于云的解决方案不断激增,以及转向远程办公的进一步加速,许多组织在采用应用程序和安全解决方案时正在采取更积极的云优先战略。此外,云平台也在实施IAM解决方案来管理每个平台独有的用户和权利/权限。 目前,许多组织都在努力对跨多个云平台的用户和权利进行正确的可见性和管理。因此,新一代IAM解决方案必须包括跨云服务——例如容器、无服务器基础设施以及DevOps和CI/CD工具的访问管理,所有这些都需要配置合适的访问策略才能发挥作用。
四、IAM的应用挑战
尽管IAM的建设和应用通常由企业IT或安全部门发起,但IAM应用几乎涉及与组织业务相关的各个部门和环节,甚至还包括了外部合作伙伴和客户:
-
需要访问公司资源的业务用户(包括员工及其经理)通过IAM流程安全地执行此操作;
第三方用户也是如此,例如承包商、合作伙伴、供应商和客户;
安全、合规和HR等专业部门同样需要利用IAM流程,来满足其组织的安全、隐私和合规目标;
内部和外部审计员利用IAM工具和流程提供的信息,来审计组织对各种法规的遵守情况;
业务部门需要利用IAM来保护他们的业务系统和资源,并确保只有正确的用户才能在正确的时间访问他们的资源。
因为IAM涉及了多方利益相关者的日常工作,因此,它的应用往往被认为是复杂的、困难的并且会带来较大成本性投入的。造成这种情况的主要原因之一是IAM系统本身的设计定位。 IAM最初主要是为了满足监管要求和确保安全性。用户体验和业务支持的需求是随着数字化应用发展而后续产生的。实施IAM项目建设会涉及功能模块开发、系统应用集成、定制化接口,以及系统应用后持续性的运营维护工作,这都导致IAM项目实施过程变得昂贵且耗时。 但这些情况已经在发生积极的变化。在当前的数字和云优先环境中,身份安全被视为基础性的保障因素,越来越多的业务人员开始认同IAM的价值。此外,除了安全性和合规性之外, IAM方案商也开始更关注系统应用的便捷性和用户体验,并将这些视为未来IAM方案的核心竞争力体现。随着IAM能力以云服务方式提供,其对用户的维护和使用成本也会进一步降低。
转载请注明:IT运维空间 » 安全防护 » 新一代IAM技术发展面面观
发表评论