企業IT中的IAM基本上就是定義和管理個人網絡用戶的角色和訪問權限,以及規定用戶獲得授權(或被拒絕授權)的條件。IAM系統的核心目標是爲每個用戶賦予一個身份。該數字身份一經建立,在用戶的整個“訪問生命週期”存續期間都應受到良好的維護、調整與監視。
因此,身份管理的首要目標就是:從用戶登錄系統到權限授予到登出系統的整個過程中,根據需要在恰當的條件下及時賦予正確的用戶對企業內適當資產的訪問權。
IAM系統爲管理員提供了修改用戶角色、跟蹤用戶活動、創建用戶活動報告和貫徹管理策略的工具及技術。這些系統的出現就是爲了能夠管理整個企業內的用戶訪問,並確保用戶活動符合企業規章制度與政府監管規定。
IAM產品和服務能做什麼?
身份與管理技術包括(但不侷限於)口令管理工具、配置軟件、安全策略實施應用程序、報告及監視App和身份存儲。身份管理系統既可以在企業內部署,比如微軟SharePoint,也有云端系統,比如微軟的 Office 365。
佛瑞斯特研究所的《科技浪潮:身份與訪問管理,2017第四季度》報告中,有6種IAM技術被認爲具備發展潛力,目前雖然成熟度低,但具備很高的商業價值。
1. API安全
驅動IAM應用於B2B商業模式,促成IAM與雲的融合,並催生出基於微服務的IAM架構。佛瑞斯特研究所看到API安全解決方案用於移動應用或用戶託管訪問之間的單點登錄(SSO)。這將使安全團隊得以管理IoT設備授權和個人可識別數據。
2. 客戶身份與訪問管理(CIAM)
可對用戶進行全面的管理與身份驗證,可施行自服務與資料管理,還能與CRM、ERP和其他客戶管理系統及數據庫集成。
3. 身份分析(IA)
能夠讓安全團隊運用規則、機器學習和其他統計算法來檢測並阻止危險身份行爲。
4. 身份即服務(IDaaS)
包含提供SSO的軟件即服務(SaaS)解決方案,可從一個門戶即登錄Web應用和原生移動應用,還能提供一定程度的用戶賬戶資料和訪問請求管理。
5. 身份管理與治理
提供可重複的自動化方式來監管身份生命週期。在身份及隱私合規方面非常重要。
6. 基於風險的身份驗證(RBA)
解決方案在給出風險評級時會將用戶會話和身份驗證上下文考慮在內。於是公司就可要求高風險用戶進行雙因子身份驗證(2FA)而允許低風險用戶僅以單因子憑證驗證身份(比如用戶名+口令)。
今天這種複雜的計算環境下,IAM系統必須足夠靈活和健壯。原因之一:企業計算環境曾經很大程度上都只在企業內部部署,身份管理系統僅在用戶來公司上班時對其進行身份驗證和跟蹤。曾經,有一道安全圍牆阻隔着企業外面的各種風險,而現在,隨着移動辦公和雲的興起,圍牆消失了。
因此,今天的身份管理系統應能讓管理員方便地管理各類用戶的訪問權限,包括在公司上班的員工和世界各地的承包商;融合了內部計算、SaaS應用和影子IT及BYOD用戶的混合計算環境;混合了UNIX、Windows、Macintosh、iOS、安卓甚至IoT設備的計算架構。
最終,身份與訪問管理系統應能以持續和可擴展的方式對整個企業的用戶進行集中式管理。
最近幾年,IDaaS作爲第三方託管服務通過雲以訂閱的方式提供逐漸發展起來,同時滿足了客戶的現場與雲端兩類系統的身份管理需求。
爲什麼需要 IAM?
身份與訪問管理是任何企業安全計劃的重要一環,因爲在今天的數字化經濟中,它與企業的安全和生產力密不可分。
被盜用戶憑證往往是進入企業網絡及其信息資產的入口點。企業運用身份管理來守護信息資產,使其不受日漸增多的勒索軟件、犯罪黑客活動、網絡釣魚和其他惡意軟件攻擊的影響。Cybersecurity Ventures 曾預測,今年全球勒索軟件所致損失將超50億美元,比2016年上升15%。
很多企業裏,用戶有時候會擁有超出工作所需的訪問權限。而健壯的IAM系統可以貫徹用戶訪問規則和策略,爲整個企業加上一層重要的防護。
身份與訪問管理系統可以增強業務生產力。此類系統的中央管理能力能夠減少守護用戶憑證與訪問權限的複雜性和成本。同時,身份管理系統也能提升員工在各種環境的生產力(保證安全的情況下),無論他們是在家辦公還是在公司裏上班,或者是在外地出差。
IAM對合規管理的意義何在?
很多政府都要求企業關注身份管理。關於上市公司財務審計的《薩班斯-奧克斯利法案》、金融服務現代化法案(Gramm-Leach-Bliley),還有美國健康保險流通與責任法案(HIPAA)等立法,規定了公司企業需對客戶及僱員信息的訪問控制負責。身份管理系統能幫助企業符合這些規定。
《通用數據保護條例》(GDPR)是更近一些的法規,對安全和用戶訪問控制要求得更加嚴格了。GDPR將於今年5月生效,強制企業保護歐盟公民的個人數據和隱私,影響到每一家在歐盟做生意或客戶中有歐盟公民的公司。
2017年3月1日,紐約州金融服務署(NYDFS)的新網絡安全規定開始生效。在紐約州營業的金融服務公司都要遵守這些規定中提出的安全運營要求,包括監視授權用戶的活動和維護審計日誌——都是身份管理系統的典型職能。
用戶對企業網絡及數據的安全訪問有很多方面都可經由身份管理系統加以自動化,這樣就可將IT部門從重要但單調繁瑣的工作中解脫出來,還能幫助公司符合政府的各項規定。鑑於現如今每個IT崗位同時也是安全崗位,加之網絡安全人才持續緊缺,而且對不合規的處罰堪稱天文數字,IAM系統所起到的作用就非常關鍵了。
使用IAM系統的好處有哪些?
實現身份與訪問管理及相關最佳實踐,能在很多方面給公司帶來巨大的競爭優勢。如今,大多數公司都需要給外部用戶以公司內部系統的訪問權。將網絡開放給客戶、合作伙伴、供應商、承包商和僱員,可以提升運營效率並降低運營成本。
身份管理系統可在不傷及安全的情況下,將對公司信息系統的訪問擴展至一系列內部應用、移動App和SaaS工具上。而提供更好的外部訪問體驗,能驅動整個公司的協作,增加生產力,提升僱員滿意度,促進研究與開發,並最終推升盈利。
身份管理還可減輕IT支持團隊處理密碼重置之類瑣碎事務的工作量。管理員可以利用身份管理系統自動化這些耗時耗力的繁瑣事兒。
身份管理系統可謂安全網絡的基石,因爲管理用戶身份是訪問控制中的基礎。身份管理系統基本上就是要求公司定義出自身訪問策略,尤其是規定好誰對哪些數據資源有訪問權,以及在何種條件下纔可以訪問。
因此,管理良好的身份意味着更好的用戶訪問控制,也就是內部和外部數據泄露風險的降低。這很重要,因爲隨着外部威脅的上升,內部攻擊也日趨頻繁了。IBM的《2016網絡安全情報索引》中指出,大約60%的數據泄露是內部員工導致。當然,75%是惡意的,25%是無意的。
正如上文提及的,IAM系統通過提供實現全面安全、審計與訪問策略的工具,可以加強監管合規。很多系統如今都提供確保企業合規的各種功能。
IAM系統運作機制是什麼?
過去幾年,典型的身份管理系統由4個基本部分組成:
- 系統用以定義個人用戶的個人數據目錄(可將之想象爲一個身份倉庫);
- 用來添加、修改和刪除該數據的工具(與訪問生命週期管理相關);
- 監管用戶訪問的系統(實施安全策略和分配訪問權限);
- 還有審計與報告系統(爲覈驗公司系統中發生的事件)。
監管用戶訪問通常涉及一系列的身份驗證方法,包括口令、數字證書、令牌和智能卡。硬件令牌和信用卡大小的智能卡是雙因子身份驗證(2FA)所需兩個部分的其中一個,需要結合上你所知道的(比如口令)才能夠驗證你的身份。智能卡里埋有集成電路芯片,該芯片要麼是安全微控制器,要麼是存有相關信息內部存儲器一類的東西。軟件令牌出現於2005年,可存在於有存儲能力的任何設備上,從U盤到手機都可加載。
強用戶名和口令已經不足以應付今天這麼複雜的計算環境和越來越多的安全威脅。現如今,身份管理系統往往引入了生物特徵識別、機器學習與人工智能以及基於風險的身份驗證等技術。
在用戶端,最近的用戶身份驗證方法可以更好地保護身份。比如說,iPhone Touch-ID 的流行就讓很多人都習慣了用自己的指紋來驗證身份。據說今年晚些時候推出的下一代iPhone還會摒棄指紋掃描,而採用虹膜掃描或人臉識別技術來驗證用戶身份。
邁向多因子身份驗證
有些公司企業開始從雙因子身份驗證邁向多因子身份驗證,驗證過程需要融合你知道的(比如你的口令)、你擁有的(比如智能手機)以及你本身(人臉識別、虹膜掃描或指紋傳感)。從雙因子到多因子,就又多了一層保障,可以更加確定面對的是正確的用戶。
在管理端,得益於上下文感知網絡訪問控制和基於風險的身份驗證(RBA)之類技術,今天的身份管理系統可以提供更先進的用戶審計和報告功能。
上下文感知網絡訪問控制是基於策略的一種技術。該技術基於各種屬性預先確定事件及其後果。比如說,如果某IP地址不在白名單當中,就可能會被封鎖。或者,若某設備沒有證書證明是受監管的,上下文感知網絡訪問控制就會上馬其身份驗證過程。
相比之下,RBA則更加靈活,往往加入了一定程度的人工智能。應用RBA,意味着你開始在身份驗證中啓用風險評分和機器學習。
基於風險的身份驗證會根據當前風險情況對驗證過程動態應用不同等級的嚴格度。風險越高,用戶身份驗證過程就越嚴格。用戶地理位置或IP地址的改變會觸發額外的身份驗證要求,只有通過這些驗證要求,用戶纔可以訪問公司的信息資源。
聯合身份管理是什麼?
聯合身份管理可使公司企業與可信合作伙伴共享數字ID。這是一種身份驗證共享機制,用戶可利用同一套用戶名/口令或其他ID來訪問多個網絡。
單點登錄(SSO)是聯合ID管理的重要組成部分。SSO標準可使在某一網絡/網站/App通過了身份驗證的用戶將此經驗證的狀態沿用至其他網絡/網站/App。該模型僅限於在有合作關係的企業間應用,也就是在可信合作伙伴間應用——相互都能擔保其用戶可信度的企業間。
IAM平臺是基於開放標準的嗎?
可信合作伙伴間的身份驗證消息往往用安全斷言標記語言(SAML)發送。該開放規範爲安全機構間交換安全斷言定義了一個XML框架。SAML實現了不同身份驗證與授權服務提供商之間的跨平臺互操作。
不過,開放標準身份協議不止SAML一個。其他還有OpenID、WS-Trust(Web服務信任)和WS-Federation(有來自微軟和IBM的企業支持),以及無需暴露口令即可供Facebook之類第三方服務使用用戶賬戶信息的OAuth協議。
實現IAM的挑戰或風險有哪些?
想要成功實現IAM,公司需要深謀遠慮,各部門間也需通力合作。若能在IAM項目啓動之前先制定好統一的身份管理策略——目標明確、利益相關者支持、業務過程定義明晰,這樣的公司就最有可能成功。而身份管理只有在人力資源、IT、安全和其他部門都參與進來的情況下才能取得最好的效果。
身份信息往往從多個渠道涌來,比如微軟活動目錄(AD)或人力資源應用。身份管理系統必須能夠同步所有系統中的用戶身份信息,提供可靠的單一數據源。
鑑於當今IT人才短缺的情況,身份與訪問管理系統需保障企業能夠管理多個不同場景和計算環境下的大量用戶,而且是實時的自動化管理。手動調整成千上萬用戶的訪問權限和控制措施是不現實的。
比如說,離職員工的訪問權限撤銷工作就有可能因疏忽而忘了做,尤其是在人工手動處理的情況下,而人工撤銷還是大多數企業的常態。報告員工的離職情況並隨後自動撤銷該員工對所有App、訪問和硬件的訪問權限,需要全面的自動化身份管理解決方案。
身份驗證過程必須即讓用戶易於執行,又令IT部門方便部署,而且最重要的是,一定要安全。智能手機因能提供用戶的當前地理位置、IP地址和可用於身份驗證的其他信息,而成爲了用戶身份驗證的“中心”。
需謹記的一個風險是:集中式操作爲黑客和破解者提供了誘人的目標。IAM系統用一個儀表盤就能總覽並操作整個公司的身份管理活動,方便了公司管理員的同時,也給黑客和破解者大開了方便之門。一旦這些系統被攻破,入侵者便能創建高權限的ID,訪問公司各類資源。
有哪些IAM術語是應該瞭解的?
熱詞變化不定,但身份管理領域中一些關鍵術語還是值得了解一下的:
- 訪問管理
指用於控制和監視網絡訪問的過程及技術。訪問管理功能,比如身份驗證、授權、信任和安全審計,是企業內部及雲端系統頂級ID管理系統不可缺少的重要部分。
- 活動目錄(AD)
微軟爲Windows域網絡設計開發的用戶身份目錄服務。雖然是專利產品,AD卻隨 Windows Server 操作系統發售,因而應用部署廣泛。
- 生物特徵識別身份驗證
依靠用戶獨特的生物特徵來驗證用戶身份的安全過程。生物特徵識別身份驗證技術包括指紋傳感器、虹膜和視網膜掃描,還有人臉識別。
- 上下文感知網絡訪問控制
一種基於策略的授權方法,根據索要訪問權限的用戶的當前上下文來授予網絡資源訪問權。比如說,某用戶試圖通過身份驗證,但其IP地址卻沒在白名單之內,那該用戶就不能獲得授權。
- 憑證
用戶用以獲取網絡訪問權的標識,比如用戶的口令、公鑰基礎設施(PKI)證書,或者生物特徵信息(指紋、虹膜掃描等)。
- 撤銷
將某身份從ID存儲中移除並終止其訪問權限的過程。
- 數字身份
ID本身,包括對用戶及其訪問權限的描述。(筆記本電腦或手機之類的終端也可擁有自己的數字身份。)
- 權益
指徵已驗證安全主體所具備的訪問權限的一系列屬性。
- 身份即服務(IDaaS)
基於雲的IDaaS爲位於企業內部及雲端的系統提供身份及訪問管理功能。
- 身份生命週期管理
與訪問生命週期管理類似,該術語指的是維護和更新數字身份的一整套過程和技術。身份生命週期管理包括身份同步、配置、撤銷和對用戶屬性、憑證及權益的持續管理。
- 身份同步
確保給定數字ID的多個身份存儲保持一致的過程,比如公司併購時涉及到的多家公司身份存儲中放置一致的身份數據。
- 輕量級目錄訪問協議(LDAP)
用於管理和訪問分佈式目錄服務(比如微軟AD)的開放標準協議。
- 多因子身份驗證(MFA)
網絡或系統的身份驗證中要求不止一個因子(比如用戶名和口令)的情況。驗證過程中至少還有額外的一步,比如用手機接收通過短信發送的驗證碼、插入智能卡或U盤、滿足生物特徵識別驗證要求(指紋掃描等)。
- 口令重置
本文語境中,口令重置指的是ID管理系統允許用戶重新設置自身口令的功能。該功能可將管理員從繁瑣的口令重置工作中解脫出來,還能減少客戶服務接到的求助電話。用戶通常可通過瀏覽器訪問重置應用,提交相應的密語或回答一系列問題即可驗證用戶身份。
- 特權賬戶管理
基於用戶權限對賬戶和數據訪問進行管理與審計。一般來講,特權用戶因其工作或功能需求而往往被賦予管理員權限。比如說,特權用戶可能擁有添加或刪除用戶賬戶和角色的權限。
- 配置
創建身份,定義其訪問權限,並將其添加到ID存儲中的過程。
- 基於風險的身份驗證(RBA)
在用戶嘗試身份驗證時根據用戶情況動態調整驗證要求的身份驗證方法。比如說,如果用戶嘗試從之前未關聯過的地理位置或IP地址發起身份驗證,可能就會面臨額外的驗證要求。
- 安全主體
具備1個或多個可被驗證或授權的憑證以訪問網絡的數字身份。
- 單點登錄(SSO)
對相關但獨立的多個系統實施的一種訪問控制。單點登錄模式下,用戶僅憑同一套用戶名和口令就可訪問1個或多個系統,無需多個不同憑證。
- 用戶行爲分析(UBA)
UBA技術檢查用戶行爲模式,並自動應用算法和分析以檢測可能昭示潛在安全威脅的重要異常。UBA區別於專注跟蹤設備或安全事件的其他安全技術,有時候也會與實體行爲分析歸到一類,被稱爲UEBA。
IAM供應商
身份與訪問管理供應商市場競爭激烈,既有Okta和OneLogin這樣的純IAM提供商,也有IBM、微軟和Oracle之類什麼都做的大廠商。2017年6月,Garter推出了一份全球訪問管理魔力象限圖。以下就是據此得出的IAM主流提供商:
Atos (Evidan) CA Technologies Centrify Covisint ForgeRock IBM 安全身份與訪問保障 I-Spring Innovations Micro Focus 微軟Azure活動目錄 Okta OneLogin Optimal idM Oracle身份雲服務 Ping SecureAuth
原文鏈接:https://www.aqniu.com/learn/3... 作者:nana 星期一, 一月 29, 2018
相關閱讀
什麼是 Authing?
Authing 提供專業的身份認證和授權服務。
我們爲開發者和企業提供用以保證應用程序安全所需的認證模塊,這讓開發人員無需成爲安全專家。
你可以將任意平臺的應用接入到 Authing(無論是新開發的應用還是老應用都可以),同時你還可以自定義應用程序的登錄方式(如:郵箱/密碼、短信/驗證碼、掃碼登錄等)。
你可以根據你使用的技術,來選擇我們的 SDK 或調用相關 API 來接入你的應用。當用戶發起授權請求時,Authing 會幫助你認證他們的身份和返回必要的用戶信息到你的應用中。![]()
<div align=center>Authing 在應用交互中的位置</div>
- 官網:http://authing.cn
- 小登錄:https://wxapp.authing.cn/#/
-
倉庫: 歡迎 Star,歡迎 PR
-
Demo:
- 文檔:https://docs.authing.cn/authing/
歡迎關注 Authing 技術專欄
