身份管理工具爲IT經理提供了控制用戶對公司關鍵信息訪問的工具和技術。
什麼是身份管理?
廣義講,身份管理系統(也稱爲身份及訪問管理系統,或IAM系統)可在某個系統內管理個人身份,比如一家公司、一個網絡,甚或一個國家。具體講,企業IT中的ID管理,就是定義並管理單個網絡用戶的角色和訪問權限,以及用戶被賦予/拒絕這些權限的情況。
ID管理系統的核心目標,是每人一個身份。該數字ID一旦被建立,在每個用戶的整個“訪問生命週期”裏都應受到維護、修改和監視。
因此,用企業身份管理提供商Okta高級副總裁兼首席安全官亞希爾·阿布塞勒哈姆的話說,ID管理的整體目標,是從用戶系統登錄到許可授權到按需登出,都能及時在正確的上下文中,爲正確的用戶,分配正確的企業資產訪問權限。
ID管理系統爲管理員提供各種工具和技術,可以修改用戶角色,跟蹤用戶活動,創建活動報告,貫徹策略執行。這些系統的設計目標,是要提供在整個企業裏管理用戶訪問的方法,以及確保符合企業策略和政府監管規定。
ID管理技術包括(但不限於)口令管理工具、配置軟件、安全策略執行應用程序、報告和監視App,以及身份存儲庫。ID管理系統在內部部署系統(如微軟SharePoint)和雲系統(如微軟 Office 365)都可用。
ID管理系統必須足夠靈活,足夠健壯,纔可以適應當今計算環境的複雜性。原因之一:企業計算環境曾經很大程度上是內部部署的,ID管理系統在員工都在工作場所上班的時候對用戶進行身份驗證和跟蹤管理。那個時候的企業環境,是有着安全圍欄圍着的。而今天,這個圍欄不再存在。
今天的ID管理系統,應能讓管理員很方便地進行訪問權限管理,服務對象也應包括各類用戶——國內公司裏上班的僱員和國外遠程辦公的承包商;混合計算環境——企業內計算、軟件即服務(SaaS)應用程序、影子IT和BYOD用戶;計算架構——UNIX、Windows、Macintosh、iOS、安卓、IoT設備。
最終,ID管理系統應能對整個企業,以一致而可擴展的方式,對用戶進行集中管理。
最近幾年,身份即服務(IDaaS)以雲端訂閱的方式,作爲第三方託管服務而興起,爲企業內客戶和雲系統客戶提供ID管理。
爲什麼要關注身份管理?
ID管理是任何企業安全計劃的重要部分,因爲今天的數字化經濟中,ID管理與企業安全和生產力密不可分。
被盜用戶憑證常常是進入企業網絡及其信息資產的入口點。企業採用ID管理來保護其信息資產不受勒索軟件、犯罪黑客行爲、網絡釣魚和其他惡意軟件攻擊的威脅。Cybersecurity Ventures 預測,2017年,僅全球勒索軟件破壞的損失,就可達50億美元,比2016年上升了15%。
很多企業裏,用戶權限有時候會比所需的要高。健壯的ID管理系統,可通過確保整個企業內應用一致的用戶訪問規則和策略,爲企業添加一層重要的防護。
ID管理系統可增強企業生產力。這些系統的中央管理功能,可減少保護用戶憑證和訪問權限的複雜性及開銷。同時,ID管理系統還讓員工在各種環境下更富生產力和安全性,無論他們是在家工作還是在辦公室開工,還是在出差途中。
很多政府要求企業注重身份管理。Sarbanes-Oxley法案、Gramm-Leach-Bliley金融服務法案和HIPAA法案,都要求企業爲客戶及員工信息訪問控制負責。ID系統可幫助企業遵從這些規定。
《通用數據保護條例》(GDPR)是更近一些的規定,要求強安全和強用戶訪問控制。GDPR強制企業保護歐盟公民的個人數據和隱私。該條例將於2018年5月正式生效,在歐盟國家經營或擁有歐盟公民客戶的每家公司均受其管轄。
2017年3月1日,紐約州金融服務署(NYDFS)新網絡安全規定宣佈生效。該規定描述了很多在紐約運營的金融服務公司應遵從的安全運營要求,包括監視授權用戶活動和維護審計日誌——ID管理系統通常都會做的那些事。
ID管理系統可以自動化爲企業網絡和數據提供安全的用戶訪問,減輕IT在這些瑣碎但重要的任務上的負擔,並幫助他們持續符合政府的規定。鑑於如今每個IT職位同時也是安全職位的態勢;全球性網絡安全勞動力緊缺在持續;不合規所遭受的懲罰可讓企業損失數百萬甚至數十億美元;上述這些都是非常重大的好處。
公司怎麼從身份管理系統獲益?
實現ID管理和相關最佳實踐,可以多種形式帶來重大競爭優勢。現下,大多數公司需要爲外部用戶賦予到內部系統的訪問權限。向客戶、合作伙伴、供應商、承包商和僱員開放公司網絡,可提升效率,降低運營成本。
ID管理系統可使公司在不破壞安全的情況下,將訪問權限擴展至其各種各樣的信息系統,包括企業內應用、移動App、SaaS工具等。向外部提供更多訪問,可驅動整個企業的協作,提升生產效率、員工滿意度,提振研究和開發,最終形成收益增加。
ID管理可減少IT支持團隊接到的口令重置類求助電話。ID管理系統能讓管理員自動化這些動作和其他耗時耗力的任務。
ID管理系統可成爲安全網絡的基石,因爲用戶身份管理是訪問控制拼圖的重要一塊。ID管理系統要求公司企業定義自身訪問策略,具體描述哪些人可以在哪種情況下對哪些數據資源具有訪問權。
因此,管理良好的ID,意味着對用戶訪問更好的控制,也就是內部和外部數據泄露風險的降低。這非常重要,因爲,伴隨着外部威脅的持續上升,內部攻擊同樣愈驅頻繁。根據IBM《2016網絡安全情報索引》,約有60%的數據泄露時由公司自己的僱員導致的。當然,75%是惡意的,25%是無意的。
正如前文提到的,通過提供工具實現全面安全、審計和訪問策略,ID管理系統能夠增強合規。很多系統如今都有確保公司合規的諸多功能。
身份管理系統工作機制是什麼?
過去幾年中,典型的ID管理系統包括4個基本元素:
- 系統用於定義個人用戶的個人數據目錄(不妨想做是ID存儲庫);
- 用於添加、修改和刪除這些數據(與訪問生命週期管理相關)的一套工具;
- 監管用戶訪問(執行安全策略和訪問權限)的系統;
- 審計和報告系統(覈實系統上在發生什麼)。
監管用戶訪問一直以來都涉及到一系列的用戶身份驗證方法,包括口令、數字證書、令牌和智能卡。硬件令牌和信用卡大小的智能卡被當成雙因子身份驗證的其中一個部分。雙因子身份驗證結合你知道的某些事(比如你的口令)和你擁有的某樣東西(令牌或卡),來覈實你的身份。
智能卡嵌入了一塊集成電路芯片,可能是安全微控制器,或者內部存儲或存儲芯片等價物。出現於2005年的軟件令牌,可存在於任意帶存儲功能的設備中,從U盤到手機都可以。
今天的複雜計算環境裏,隨着安全威脅的提升,強用戶名和口令不再管用。時至今日,ID管理系統往往綜合了生物特徵識別、機器學習和人工智能,以及基於風險的身份驗證等因素。
在用戶層級,最近的用戶身份驗證方法有助於更好地保護身份。舉個例子,iPhone Touch ID 功能的流行,讓很多人適應了用指紋作爲身份驗證的方法。更新的 Windows 10 計算機提供指紋傳感器或虹膜掃描作爲生物特徵識別用戶身份驗證。
蘋果公司推出的下一代iPhoneX,據傳將採用虹膜掃描或人臉識別,取代指紋掃描,來進行用戶身份驗證。
有些公司已開始從雙因子身份驗證轉向三因子身份驗證,結合你知道的(比如口令)、你擁有的(比如智能手機),以及你的特徵(人臉識別、虹膜掃描或指紋傳感)。從雙因子走向三因子,在確保正確的用戶上又多了一重保障。
在管理層級,今天的ID管理系統提供更先進的用戶審計和報告——感謝上下文敏感的網絡訪問控制和基於風險的身份驗證(RBA)之類的技術。
上下文敏感的網絡訪問控制基於策略,根據各種屬性預先規定了事件及其結果。例如,沒被列入白名單的IP,就會被封禁。或者,如果沒有表明設備被託管的證書,上下文敏感網絡訪問控制就不會觸發身份驗證過程。
相比之下,RBA更爲靈活,往往受到某種程度的AI驅動。有了RBA,基本上就爲身份驗證事件打開風險評級和機器學習的大門了。
RBA根據當前風險狀況對身份驗證過程應用不同級別的嚴格度。風險越高,對用戶的身份驗證過程越嚴格。用戶地理位置或IP地址的改變,可能會觸發附加的身份驗證要求,只有全部通過,用戶才能繼續訪問公司的信息資源。
統一身份管理是什麼?
統一身份管理可讓你與受信合作伙伴共享數字ID。這是讓用戶可使用同一個用戶名、口令或其他ID,來訪問多個網絡的身份驗證共享機制。
單點登錄(SSO)就是統一身份管理的一個重要組成部分。單點登錄標準,可使在某個網絡、網站或App上通過驗證的用戶,將其經驗證狀態延續到另一個登錄系統。該模型僅適用於合作企業之間——所謂受信合作伙伴,可以爲彼此的用戶擔保的那種。
受信合作伙伴間的授權消息往往通過安全斷言標記語言(SAML)發送。該開放規範定義了在安全授權方之間交換安全斷言的XML框架。SAML在提供身份驗證和授權服務的不同廠商平臺間達成了互操作性。
然而,SAML不是唯一一個開放標準身份協議。其他協議還有OpenID、WS-Trust(Web服務信任)和WS-聯合(受到微軟和IBM的共同支持),以及OAuth——不暴露口令的情況下讓用戶賬戶信息可被Facebook之類第三方服務使用的協議。
實現身份管理解決方案面臨的挑戰或風險有哪些?
ID管理的成功實現,需要深謀遠慮和各部門間的協作。在項目開始前就建立了內聚ID管理策略的企業——目標清晰、利益相關者認可、業務過程有定義,更有可能成功。只有在人力資源、IT、安全和其他部門都參與的情況下,ID管理纔會得到最佳成效。
身份信息往往來自多個存儲庫,比如微軟活動目錄(AD)或人力資源應用。ID管理系統必須能夠同步這些來自不同系統的用戶身份信息,提供統一的真相。
鑑於當今IT人才的緊缺,ID管理系統還得能讓企業可以在各種情況和計算環境中管理各種各樣的用戶——自動化實時管理。人工調整成百上千用戶的訪問權限和控制,是不現實的。
比如說,解綁離職員工訪問權限的工作就會被疏忽掉,尤其是在人工處理的情況下,而這往往是很多企業的現狀。報告員工離職,然後自動解除該員工所用各個App、服務和硬件的訪問權配置,需要一個自動化的全面ID管理解決方案。
身份驗證也必須讓用戶易於執行,讓IT部門易於部署,而且最重要的,必須安全。這也是爲什麼移動設備正成爲用戶身份驗證中心的原因,因爲智能手機可以提供用戶當前位置、IP地址,以及可用於身份驗證目的的其他信息。
需要謹記的一個風險是:集中式操作也會向黑客和破解者呈現出誘人的目標。整個公司所有ID管理活動都在一個儀表板上呈現,不僅僅給管理員帶來了便利,也爲黑客和破解者減少了攻擊複雜度。一旦被黑,入侵者便可以創建高權限ID,訪問龐大的資源。
應該知道的術語有哪些?
流行詞總在變化,但身份管理領域一些關鍵術語還是值得知道一下:
1. 訪問管理
訪問管理,指的是用於控制和監視網絡訪問的過程和技術。訪問管理功能,比如身份驗證、授權、信任和安全審計,是內部和雲端系統頂層ID管理系統的組成部分。
2. 活動目錄(AD)
微軟開發的AD,是Windows域網絡用戶身份目錄服務。雖然是專利產品,AD卻被包括在 Windows Server 操作系統中,因而廣爲使用。
3. 生物特徵識別身份驗證
依靠用戶特徵進行身份驗證的安全過程。生物特徵識別身份驗證技術包括指紋傳感器、虹膜和視網膜掃描,以及人臉識別。
4. 上下文敏感網絡訪問控制
上下文敏感網絡訪問控制是一種基於策略的方法,根據請求訪問用戶的當前上下文授權網絡資源。例如,以未進入白名單的IP地址請求身份驗證的用戶,就不會被批准。
5. 憑證
用戶用於訪問網絡的標識符,比如用戶口令、公鑰基礎設施(PKI)證書,或者生物特徵信息(指紋、虹膜掃描)。
6. 解除配置
從ID存儲庫中刪除身份並終止訪問權限的過程。
7. 數字身份
即ID本身,包括對用戶及其訪問權限的描述。(終端,諸如筆記本電腦或智能手機,也可以擁有其數字身份。)
8. 權利
經驗證安全主體所具有的一系列屬性,指明瞭具體訪問權益和特權。
9.身份即服務(IDaaS)
基於雲的IDaaS爲內部和雲端企業系統提供身份與訪問管理功能。
10. 身份生命週期管理
與訪問生命週期管理類似,該術語指的是維護和更新數字身份的整套過程與技術。身份生命週期管理包含身份同步、配置、解配置,以及對用戶屬性、憑證和權利的持續管理。
11. 身份同步
確保多個身份存儲(比如企業併購的結果)包含給定數字ID的統一數據的過程。
12. 輕量級目錄訪問協議(LDAP)
LDAP是管理和訪問分佈式目錄服務(比如微軟的AD)的開放標準協議。
13. 多因子身份驗證(MFA)
網絡或系統身份驗證時要求一個以上驗證因子(比如用戶名和口令)的情況。至少還會要求另一個驗證步驟,比如接收發送到智能手機上的短信驗證碼,插入智能卡或U盤,或者滿足生物特徵識別身份驗證要求(如指紋掃描)。
14. 口令重置
身份管理上下文中,口令重置指的是ID管理系統的一個功能,可以讓用戶重新設置口令,減輕管理員工作負擔,減少求助電話。重置應用通常通過瀏覽器訪問。該應用會要求密語,或者詢問一組問題來覈實用戶身份。
15. 配置
創建身份,定義其訪問權限,以及將身份加入ID存儲庫的過程。
16. 基於風險的身份驗證(RBA)
基於風險的身份驗證,根據身份驗證當時的用戶情況,動態調整驗證要求。比如說,當用戶從之前未關聯的地理位置或IP地址嘗試驗證時,將會遇到額外的身份驗證要求。
17. 安全主體
數字身份,擁有1個或多個可經驗證和授權與網絡進行交互的憑證。
18.用戶行爲分析(UBA)
UBA技術審查用戶行爲模式,自動應用算法和分析以檢測表明潛在安全威脅的重要異常。UBA與其他專注跟蹤設備或安全事件的安全技術不同,有時候也被歸類於實體行爲分析,被稱爲UEBA。