《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 新一代IAM技術(shù)發(fā)展面面觀

新一代IAM技術(shù)發(fā)展面面觀

2022-11-10
來源:安全牛
關(guān)鍵詞: IAM技術(shù)

  統(tǒng)一身份和訪問管理(Identity and access management,,IAM)并非一個新安全概念,,但它在當(dāng)今“數(shù)字優(yōu)先”的世界中正變得越來越重要。現(xiàn)代企業(yè)員工需要在任何設(shè)備(服務(wù))上實現(xiàn)“隨時隨地工作”(work-from-anywhere)的訪問模式,。這就需要比以往更加安全地賦予和驗證數(shù)字身份,以實現(xiàn)安全的數(shù)字連接,。

  早期的IAM技術(shù)是建立在傳統(tǒng)IT架構(gòu)平臺上的,,無法支持組織新的身份管理和應(yīng)用要求,這迫使組織考慮如何構(gòu)建新一代的IAM平臺,。在本篇文章中,,我們旨在從IAM的定義、IAM的技術(shù)組成,、IAM的技術(shù)演進(jìn)以及IAM的應(yīng)用挑戰(zhàn)等維度,,對新一代IAM技術(shù)的應(yīng)用和發(fā)展進(jìn)行描述。

  一 IAM的理念與意義

  IAM是一個整體學(xué)科,,不僅包括工具和技術(shù),,還包括定義和管理數(shù)字身份以提供對數(shù)字資源訪問的過程。在最初階段,,IAM主要負(fù)責(zé)管理人的身份,,但隨著數(shù)字化業(yè)務(wù)系統(tǒng)和物聯(lián)網(wǎng)應(yīng)用的快速發(fā)展,IAM系統(tǒng)需要給數(shù)量龐大的“機(jī)器”和業(yè)務(wù)系統(tǒng)賦予身份并實現(xiàn)有效管理,。

  IAM對于定義數(shù)字身份配置文件和管理其整個生命周期(即IAM中的“IM”身份管理)至關(guān)重要,。它需要能夠確保訪問者的真實合法性(authentication,身份驗證),,并且可以正確訪問他們嘗試訪問的資源(authorization,,授權(quán)),這也稱為訪問管理(即IAM中的“A”),。

  在實現(xiàn)身份管理的基礎(chǔ)上,,一些安全服務(wù)商正在向IAM系統(tǒng)整合更多的能力,身份治理和管理(Identity Governance and Administration,,IGA)的概念也隨之產(chǎn)生,,IGA方案能夠證明身份治理的合規(guī)性并支持持續(xù)審查訪問權(quán)限的過程,以確保數(shù)字身份沒有被錯誤配置訪問權(quán)限,,從而避免安全隱患的形成,。

  在實際應(yīng)用中,新一代IAM系統(tǒng)正在通過更加科學(xué)的方式,,為數(shù)字資源賦予適當(dāng)?shù)脑L問權(quán)限,,從而發(fā)揮保護(hù)數(shù)字資產(chǎn)的重要作用。IAM需要從數(shù)字化業(yè)務(wù)開展的整體視角,,為組織管理各種數(shù)字化身份,,并統(tǒng)一制定數(shù)字資源的訪問規(guī)則和策略,。

  鑒于IAM的關(guān)鍵特質(zhì),,它已經(jīng)成為組織新一代網(wǎng)絡(luò)安全能力體系構(gòu)建的基礎(chǔ)要求和重要組成部分,。在穩(wěn)定有效的組織網(wǎng)絡(luò)安全體系中,完善的IAM策略和能力是不可或缺的,,可以讓所有身份都使用一致的策略和工具進(jìn)行管理,,讓安全領(lǐng)導(dǎo)者清晰了解企業(yè)數(shù)字化資源的訪問和應(yīng)用情況。

  二 IAM的關(guān)鍵技術(shù)組成

  IAM是一組實現(xiàn)系統(tǒng)化身份安全能力的工具集,,它由多個關(guān)鍵技術(shù)能力模塊組成:

  1,、訪問管理

  訪問管理(Access Management,AM)被稱為IAM的“運行時”或“訪問時間”組件,,其中數(shù)字身份經(jīng)過身份驗證以識別嘗試訪問資源的實體,,并且僅允許必要的訪問。組件包括雙因素認(rèn)證,、多因素身份驗證(MFA)等,,其中除了用戶ID和密碼外,還需要一個或多個額外的因素(令牌或設(shè)備)可以增強身份驗證過程,;另一個常見的AM組件是單點登錄(SSO),,它在通過身份驗證后建立安全會話,可以訪問多個資源,,而無需對每個資源重新進(jìn)行身份驗證,。

  2、身份管理

  身份管理負(fù)責(zé)處理身份和訪問權(quán)限(也稱為訪問授權(quán))的管理和治理,。它會在用戶加入組織時自動為其提供正確的訪問權(quán)限,,從而提高用戶工作效率。然后,,它會在身份的整個生命周期(包括入職,、轉(zhuǎn)移和離開階段)中嚴(yán)格執(zhí)行被授予的權(quán)限模型。

  身份管理解決方案通常會包括一個用戶界面和工作流引擎,,提供請求和批準(zhǔn)訪問的能力,。這可能包括對特定資源的臨時請求以及基于角色的訪問,這些工具可以定義和管理業(yè)務(wù)和技術(shù)角色的生命周期,。

  身份管理的一個重要功能是訪問認(rèn)證,,它可以自動化審查身份訪問的過程,使管理人員能夠?qū)彶楹妥C明其員工的訪問權(quán)限,。同時,,這也可以實現(xiàn)監(jiān)管合規(guī)性,因為許多法律都要求對金融系統(tǒng)的任何訪問進(jìn)行定期審查,。

  身份管理的另一個功能是配置和取消配置過程,。身份管理技術(shù)模塊使用“連接器”來定位應(yīng)用程序,在這些應(yīng)用程序中可以建立訪問權(quán)限,,使正確的用戶能夠獲得正確的訪問權(quán)限,。它可以對各種復(fù)雜的應(yīng)用程序(例如ERP系統(tǒng)),,提供細(xì)粒度級別的訪問控制,同時定義出職責(zé)分離(SOD)的控制規(guī)則,,以確保在組織的應(yīng)用程序內(nèi)或跨組織的應(yīng)用程序之間不存在有害的訪問行為,。

  3、特權(quán)訪問管理

  在新一代IAM方案中,,大多融合了一個重要組件專門解決對敏感資源和用戶的訪問,,稱為特權(quán)訪問管理(Privileged Access Management,PAM),。Gartner將可用的PAM技術(shù)分為兩種不同的方法,,并逐漸成為領(lǐng)導(dǎo)者考慮PAM工具的主要關(guān)注點:

  特權(quán)賬號和會話管理(PASM):特權(quán)賬號通過安全存儲憑據(jù)來保護(hù)。通過代理方式為用戶,、服務(wù)和應(yīng)用提供賬號的訪問,。通過憑據(jù)注入和完整會話記錄建立會話。特權(quán)賬號的密碼和其他憑據(jù)可主動管理(定期更改或發(fā)生特定事件時更改),。

  權(quán)限提升和委托管理(PEDM):基于主機(jī)的代理在托管系統(tǒng)上向登錄用戶授予特定權(quán)限,,包括基于主機(jī)的命令控制(篩選)和權(quán)限提升。

  綜合來看,,PAM的功能特性集合包括:共享賬戶密碼管理,、應(yīng)用到應(yīng)用密碼管理、特權(quán)賬號發(fā)現(xiàn)和生命周期管理,、特權(quán)SSO,、特權(quán)提升管理、特權(quán)用戶行為分析,、會話監(jiān)控分析和記錄,、端點特權(quán)管理、報告審計和合規(guī),。

  PAM也在不斷發(fā)展以支持即時(Just-In-Time,,JIT)訪問模型,從而避免了對憑據(jù)進(jìn)行保管和定義不必要的永久性身份賬號,。在JIT模型中,,賬戶都是動態(tài)創(chuàng)建的,或者非管理賬戶在特定時間段內(nèi)被授予臨時管理權(quán)限,,工作完成后及時刪除,。如此一來,管理員賬戶數(shù)量會大大減少,,從而降低了高級賬戶泄露的風(fēng)險,。

  4、客戶IAM(CIAM)

  根據(jù)組織的業(yè)務(wù)需求,IAM系統(tǒng)中還應(yīng)包括面向其客戶的外部IAM管理模塊,,通常稱為客戶IAM(Customer IAM,,CIAM)。消費者關(guān)注的重點通常是用戶體驗感,,CIAM解決方案需要提供成熟的工具包或第三方軟件開發(fā)工具包(SDK),允許組織自定義身份驗證的界面和人機(jī)交互模式,。

  對CIAM的另一個要求是支持自適應(yīng)訪問,,通過大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)提供檢測異常行為并在需要時實施更嚴(yán)格的訪問驗證(例如MFA)能力。同時,,鑒于隱私關(guān)注度和法規(guī)遵從性的提升,,CIAM解決方案需要提供一個界面,供客戶查看和控制他們的個人信息應(yīng)用和保護(hù)情況,。

  5,、云基礎(chǔ)設(shè)施授權(quán)管理

  為了IAM獲得更好的實際應(yīng)用效果,有許多關(guān)聯(lián)技術(shù)同樣重要,,其中就包括了云基礎(chǔ)設(shè)施授權(quán)管理(Cloud Infrastructure Entitlement Management,,CIEM),它旨在收集和規(guī)范IaaS平臺中的數(shù)千個權(quán)限,,了解訪問模式,,并就如何減少這些環(huán)境中存在的過度訪問提出基于機(jī)器學(xué)習(xí)的判斷。

  三 新一代IAM技術(shù)的演進(jìn)

  可以認(rèn)為,,從第一臺計算機(jī)出現(xiàn)開始,,對使用者身份管理的需求就開始出現(xiàn)。但直到客戶端/服務(wù)器時代,,隨著應(yīng)用程序變得更加分散并形成各自的身份孤島,,統(tǒng)一身份管理的需求和重要性才開始彰顯。每個用戶和權(quán)利/權(quán)限都可以通過程序進(jìn)行管理,,這大大促進(jìn)了用戶身份認(rèn)證模式和密碼應(yīng)用的發(fā)展,。

  目錄服務(wù)旨在通過提供集中的用戶存儲庫以及稱為輕量級目錄訪問協(xié)議(Lightweight Directory Access Protocol,LDAP)的方式來解決此問題,。目錄服務(wù)被用于實現(xiàn)跨多個平臺的單點登錄,,包括操作系統(tǒng)、數(shù)據(jù)庫和Web服務(wù)器,。在此期間,,Microsoft的Active Directory 成為管理計算機(jī)以及提供管理用戶、組和訪問策略的體系結(jié)構(gòu)的企業(yè)標(biāo)準(zhǔn),。在互聯(lián)網(wǎng)時代早期,,多重憑證和登錄的問題更加嚴(yán)重,由此開發(fā)了Web單點登錄(SSO)以促進(jìn)跨組織應(yīng)用程序的用戶身份驗證和授權(quán),,其在大多數(shù)情況下利用LDAP目錄作為身份存儲,。

  此外,,管理用戶生命周期治理和訪問策略的問題大多通過定制應(yīng)用程序?qū)崿F(xiàn)自動化,并最終成為產(chǎn)品化的用戶配置和管理解決方案,。加上需要治理功能來滿足監(jiān)管要求,,其最終與身份管理和配置解決方案融合,形成如今稱為IGA的解決方案,。

  在過去十年中,,這些解決方案作為云解決方案提供,利用了云的所有優(yōu)勢,。但在大多數(shù)情況下,,這些解決方案(包括IAM平臺)仍需要專門的資源來維護(hù)。為了進(jìn)一步簡化身份和訪問管理用例和部署,,并減少與實施多種解決方案相關(guān)的成本和負(fù)擔(dān),,這些解決方案開始融合以提供更完整的IAM解決方案組合,例如IGA,、PAM以及AM和CIAM,。

  考慮到基于云的解決方案不斷激增,以及轉(zhuǎn)向遠(yuǎn)程辦公的進(jìn)一步加速,,許多組織在采用應(yīng)用程序和安全解決方案時正在采取更積極的云優(yōu)先戰(zhàn)略,。此外,云平臺也在實施IAM解決方案來管理每個平臺獨有的用戶和權(quán)利/權(quán)限,。

  目前,,許多組織都在努力對跨多個云平臺的用戶和權(quán)利進(jìn)行正確的可見性和管理。因此,,新一代IAM解決方案必須包括跨云服務(wù)——例如容器,、無服務(wù)器基礎(chǔ)設(shè)施以及DevOps和CI/CD工具的訪問管理,所有這些都需要配置合適的訪問策略才能發(fā)揮作用,。

  四 IAM的應(yīng)用挑戰(zhàn)

  盡管IAM的建設(shè)和應(yīng)用通常由企業(yè)IT或安全部門發(fā)起,,但I(xiàn)AM應(yīng)用幾乎涉及與組織業(yè)務(wù)相關(guān)的各個部門和環(huán)節(jié),甚至還包括了外部合作伙伴和客戶:

  需要訪問公司資源的業(yè)務(wù)用戶(包括員工及其經(jīng)理)通過IAM流程安全地執(zhí)行此操作,;

  第三方用戶也是如此,,例如承包商、合作伙伴,、供應(yīng)商和客戶,;

  安全、合規(guī)和HR等專業(yè)部門同樣需要利用IAM流程,,來滿足其組織的安全,、隱私和合規(guī)目標(biāo);

  內(nèi)部和外部審計員利用IAM工具和流程提供的信息,來審計組織對各種法規(guī)的遵守情況,;

  業(yè)務(wù)部門需要利用IAM來保護(hù)他們的業(yè)務(wù)系統(tǒng)和資源,,并確保只有正確的用戶才能在正確的時間訪問他們的資源。

  因為IAM涉及了多方利益相關(guān)者的日常工作,,因此,,它的應(yīng)用往往被認(rèn)為是復(fù)雜的、困難的并且會帶來較大成本性投入的,。造成這種情況的主要原因之一是IAM系統(tǒng)本身的設(shè)計定位,。

  IAM最初主要是為了滿足監(jiān)管要求和確保安全性。用戶體驗和業(yè)務(wù)支持的需求是隨著數(shù)字化應(yīng)用發(fā)展而后續(xù)產(chǎn)生的,。實施IAM項目建設(shè)會涉及功能模塊開發(fā)、系統(tǒng)應(yīng)用集成,、定制化接口,,以及系統(tǒng)應(yīng)用后持續(xù)性的運營維護(hù)工作,這都導(dǎo)致IAM項目實施過程變得昂貴且耗時,。

  但這些情況已經(jīng)在發(fā)生積極的變化,。在當(dāng)前的數(shù)字和云優(yōu)先環(huán)境中,身份安全被視為基礎(chǔ)性的保障因素,,越來越多的業(yè)務(wù)人員開始認(rèn)同IAM的價值,。此外,除了安全性和合規(guī)性之外,, IAM方案商也開始更關(guān)注系統(tǒng)應(yīng)用的便捷性和用戶體驗,,并將這些視為未來IAM方案的核心競爭力體現(xiàn)。隨著IAM能力以云服務(wù)方式提供,,其對用戶的維護(hù)和使用成本也會進(jìn)一步降低,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected]