身份訪問與管理(IAM)的定義、應用與提供商

企業IT中的IAM基本上就是定義和管理個人網路用戶的角色和訪問權限,以及規定用戶獲得授權(或被拒絕授權)的條件。IAM系統的核心目標是為每個用戶賦予一個身份。該數字身份一經建立,在用戶的整個「訪問生命周期」存續期間都應受到良好的維護、調整與監視。

身份訪問與管理(IAM)的定義、應用與提供商

因此,身份管理的首要目標就是:從用戶登錄系統到權限授予到登出系統的整個過程中,根據需要在恰當的條件下及時賦予正確的用戶對企業內適當資產的訪問權。

IAM系統為管理員提供了修改用戶角色、跟蹤用戶活動、創建用戶活動報告和貫徹管理策略的工具及技術。這些系統的出現就是為了能夠管理整個企業內的用戶訪問,並確保用戶活動符合企業規章制度與政府監管規定。

IAM產品和服務能做什麼?

身份與管理技術包括(但不局限於)口令管理工具、配置軟體、安全策略實施應用程序、報告及監視App和身份存儲。身份管理系統既可以在企業內部署,比如微軟SharePoint,也有雲端系統,比如微軟的 Office 365。

佛瑞斯特研究所的《科技浪潮:身份與訪問管理,2017第四季度》報告中,有6種IAM技術被認為具備發展潛力,目前雖然成熟度低,但具備很高的商業價值。

1. API安全

驅動IAM應用於B2B商業模式,促成IAM與雲的融合,並催生出基於微服務的IAM架構。佛瑞斯特研究所看到API安全解決方案用於移動應用可能用戶托管訪問之間的單點登錄(SSO)。這將使安全團隊得以管理IoT設備授權和個人可識別數據。

2. 客戶身份與訪問管理(CIAM)

可對用戶進行全面的管理與身份驗證,可施行自服務與資料管理,還能與CRM、ERP和其他客戶管理系統及數據庫集成。

3. 身份分析(IA)

能夠讓安全團隊運用規則、機器學習和其他統計算法來檢測並阻止危險身份行為。

4. 身份即服務(IDaaS)

包含提供SSO的軟體即服務(SaaS)解決方案,可從一個門戶即登錄Web應用和原生移動應用,還能提供一定程度的用戶帳戶資料和訪問請求管理。

5. 身份管理與治理

提供可重復的自動化方式來監管身份生命周期。在身份及隱私合規方面非常重要。

6. 基於風險的身份驗證(RBA)

解決方案在給出風險評級時會將用戶會話和身份驗證上下文考慮在內。於是公司就可要求高風險用戶進行雙因子身份驗證(2FA)而允許低風險用戶僅以單因子憑證驗證身份(比如用戶名+口令)。

今天這種複雜的計算環境下,IAM系統必須足夠靈活和健壯。原因之一:企業計算環境曾經很大程度上都只在企業內部部署,身份管理系統僅在用戶來公司上班時對其進行身份驗證和跟蹤。曾經,有一道安全圍牆阻隔著企業外面的各種風險,而現在,隨著移動辦公和雲的興起,圍牆消失了。

因此,今天的身份管理系統應能讓管理員方便地管理各類用戶的訪問權限,包括在公司上班的員工和世界各地的承包商;融合了內部計算、SaaS應用和影子IT及BYOD用戶的混合計算環境;混合了UNIX、Windows、Macintosh、iOS、安卓甚至IoT設備的計算架構。

最終,身份與訪問管理系統應能以持續和可擴展的方式對整個企業的用戶進行集中式管理。

最近幾年,IDaaS作為第三方托管服務通過雲以訂閱的方式提供逐漸發展起來,同時滿足了客戶的現場與雲端兩類系統的身份管理需求。

為什麼需要IAM?

身份與訪問管理是任何企業安全計劃的重要一環,因為在今天的數字化經濟中,它與企業的安全和生產力密不可分。

被盜用戶憑證往往是進入企業網路及其信息資產的入口點。企業運用身份管理來守護信息資產,使其不受日漸增多的勒索軟體、犯罪黑客活動、網路釣魚和其他惡意軟體攻擊的影響。Cybersecurity Ventures 曾預測,今年全球勒索軟體所致損失將超50億美元,比2016年上升15%。

很多企業裡,用戶有時候會擁有超出工作所需的訪問權限。而健壯的IAM系統可以貫徹用戶訪問規則和策略,為整個企業加上一層重要的防護。

身份與訪問管理系統可以增強業務生產力。此類系統的中央管理能力能夠減少守護用戶憑證與訪問權限的複雜性和成本。同時,身份管理系統也能提升員工在各種環境的生產力(保證安全的情況下),無論他們是在家辦公還是在公司裡上班,或者是在外地出差。

IAM對合規管理的意義何在?

很多政府都要求企業關注身份管理。關於上市公司財務審計的《薩班斯-奧克斯利法案》、金融服務現代化法案(Gramm-Leach-Bliley),還有美國健康保險流通與責任法案(HIPAA)等立法,規定了公司企業需對客戶及雇員信息的訪問控制負責。身份管理系統能幫助企業符合這些規定。

《通用數據保護條例》(GDPR)是更近一些的法規,對安全和用戶訪問控制要求得更加嚴格了。GDPR將於今年5月生效,強制企業保護歐盟公民的個人數據和隱私,影響到每一家在歐盟做生意或客戶中有歐盟公民的公司。

2017年3月1日,紐約州金融服務署(NYDFS)的新網路安全規定開始生效。在紐約州營業的金融服務公司都要遵守這些規定中提出的安全經營要求,包括監視授權用戶的活動和維護審計日志——都是身份管理系統的典型職能。

用戶對企業網路及數據的安全訪問有很多方面都可經由身份管理系統加以自動化,這樣就可將IT部門從重要但單調繁瑣的工作中解脫出來,還能幫助公司符合政府的各項規定。鑒於現如今每個IT崗位同時也是安全崗位,加之網路安全人才持續緊缺,而且對不合規的處罰堪稱天文數字,IAM系統所起到的作用就非常關鍵了。

使用IAM系統的好處有哪些?

做到身份與訪問管理及相關最佳實踐,能在很多方面給公司帶來巨大的競爭優勢。如今,大多數公司都需要給外部用戶以公司內部系統的訪問權。將網路開放給客戶、合作夥伴、供應商、承包商和雇員,可以提升經營效率並降低經營成本。

身份管理系統可在不傷及安全的情況下,將對公司信息系統的訪問擴展至一系列內部應用、移動App和SaaS工具上。而提供更好的外部訪問體驗,能驅動整個公司的協作,增加生產力,提升雇員滿意度,促進研究與開發,並最終推升盈利。

身份管理還可減輕IT支持團隊處理密碼重置之類瑣碎事務的工作量。管理員可以利用身份管理系統自動化這些耗時耗力的繁瑣事兒。

身份管理系統可謂安全網路的基石,因為管理用戶身份是訪問控制中的基礎。身份管理系統基本上就是要求公司定義出自身訪問策略,尤其是規定好誰對哪些數據資源有訪問權,以及在何種條件下才可以訪問。

因此,管理良好的身份意味著更好的用戶訪問控制,也就是內部和外部數據泄露風險的降低。這很重要,因為隨著外部威脅的上升,內部攻擊也日趨頻繁了。IBM的《2016網路安全情報索引》中指出,大約60%的數據泄露是內部員工導致。當然,75%是惡意的,25%是無意的。

正如上文提及的,IAM系統通過提供做到全面安全、審計與訪問策略的工具,可以加強監管合規。很多系統如今都提供確保企業合規的各種功能。

IAM系統運作機制是什麼?

過去幾年,典型的身份管理系統由4個基本部分組成:系統用以定義個人用戶的個人數據目錄(可將之想像為一個身份倉庫);用來添加、修改和刪除該數據的工具(與訪問生命周期管理相關);監管用戶訪問的系統(實施安全策略和分配訪問權限);還有審計與報告系統(為核驗公司系統中發生的事件)。

監管用戶訪問通常涉及一系列的身份驗證方法,包括口令、數字證書、令牌和智能卡。硬體令牌和信用卡大小的智能卡是雙因子身份驗證(2FA)所需兩個部分的其中一個,需要結合上你所知道的(比如口令)才能夠驗證你的身份。智能卡裡埋有集成電路晶片,該晶片要麼是安全微控制器,要麼是存有相關信息內部存儲器一類的東西。軟體令牌出現於2005年,可存在於有存儲能力的任何設備上,從隨身碟到手機都可加載。

強用戶名和口令已經不足以應付今天這麼複雜的計算環境和越來越多的安全威脅。現如今,身份管理系統往往引入了生物特徵識別、機器學習與人工智能以及基於風險的身份驗證等技術。

在用戶端,最近的用戶身份驗證方法可以更好地保護身份。比如說,iPhone Touch-ID 的流行就讓很多人都習慣了用自己的指紋來驗證身份。據說今年晚些時候推出的下一代iPhone還會摒棄指紋掃描,而採用虹膜掃描或人臉識別技術來驗證用戶身份。

邁向多因子身份驗證

有些公司企業開始從雙因子身份驗證邁向多因子身份驗證,驗證過程需要融合你知道的(比如你的口令)、你擁有的(比如智慧型手機)以及你本身(人臉識別、虹膜掃描或指紋傳感)。從雙因子到多因子,就又多了一層保障,可以更加確定面對的是正確的用戶。

在管理端,得益於上下文感知網路訪問控制和基於風險的身份驗證(RBA)之類技術,今天的身份管理系統可以提供更先進的用戶審計和報告功能。

上下文感知網路訪問控制是基於策略的一種技術。該技術基於各種屬性預先確定事件及其後果。比如說,如果某IP地址不在白名單當中,就可能會被封鎖。或者,若某設備沒有證書證明是受監管的,上下文感知網路訪問控制就會上馬其身份驗證過程。

相比之下,RBA則更加靈活,往往加入了一定程度的人工智能。應用RBA,意味著你開始在身份驗證中啟用風險評分和機器學習。

基於風險的身份驗證會根據當前風險情況對驗證過程動態應用不同等級的嚴格度。風險越高,用戶身份驗證過程就越嚴格。用戶地理位置或IP地址的改變會觸發額外的身份驗證要求,只有通過這些驗證要求,用戶才可以訪問公司的信息資源。

聯合身份管理是什麼?

聯合身份管理可使公司企業與可信合作夥伴共享數字ID。這是一種身份驗證共享機制,用戶可利用同一套用戶名/口令或其他ID來訪問多個網路。

單點登錄(SSO)是聯合ID管理的重要組成部分。SSO標準可使在某一網路/網站/App通過了身份驗證的用戶將此經驗證的狀態沿用至其他網路/網站/App。該模型僅限於在有合作關係的企業間應用,也就是在可信合作夥伴間應用——相互都能擔保其用戶可信度的企業間。

IAM平台是基於開放標準的嗎?

可信合作夥伴間的身份驗證消息往往用安全斷言標記語言(SAML)發送。該開放規範為安全機構間交換安全斷言定義了一個XML框架。SAML做到了不同身份驗證與授權服務提供商之間的跨平台互操作。

不過,開放標準身份協議不止SAML一個。其他還有OpenID、WS-Trust(Web服務信任)和WS-Federation(有來自微軟和IBM的企業支持),以及無需暴露口令即可供Facebook之類第三方服務使用用戶帳戶信息的OAuth協議。

做到IAM的挑戰或風險有哪些?

想要成功做到IAM,公司需要深謀遠慮,各部門間也需通力合作。若能在IAM項目啟動之前先制定好統一的身份管理策略——目標明確、利益相關者支持、業務過程定義明晰,這樣的公司就最有可能成功。而身份管理只有在人力資源、IT、安全和其他部門都參與進來的情況下才能取得最好的效果。

身份信息往往從多個管道湧來,比如微軟活動目錄(AD)或人力資源應用。身份管理系統必須能夠同步所有系統中的用戶身份信息,提供可靠的單一數據源。

鑒於當今IT人才短缺的情況,身份與訪問管理系統需保障企業能夠管理多個不同場景和計算環境下的大量用戶,而且是實時的自動化管理。手動調整成千上萬用戶的訪問權限和控制措施是不現實的。

比如說,離職員工的訪問權限撤銷工作就有可能因疏忽而忘了做,尤其是在人工手動處理的情況下,而人工撤銷還是大多數企業的常態。報告員工的離職情況並隨後自動撤銷該員工對所有App、訪問和硬體的訪問權限,需要全面的自動化身份管理解決方案。

身份驗證過程必須即讓用戶易於執行,又令IT部門方便部署,而且最重要的是,一定要安全。智慧型手機因能提供用戶的當前地理位置、IP地址和可用於身份驗證的其他信息,而成為了用戶身份驗證的「中心」。

需謹記的一個風險是:集中式操作為黑客和破解者提供了誘人的目標。IAM系統用一個儀表盤就能總覽並操作整個公司的身份管理活動,方便了公司管理員的同時,也給黑客和破解者大開了方便之門。一旦這些系統被攻破,入侵者便能創建高權限的ID,訪問公司各類資源。

有哪些IAM術語是應該了解的?

熱詞變化不定,但身份管理領域中一些關鍵術語還是值得了解一下的: