什麼(me)是身份管理?關于IAM定義、使用和解決方案
發(fā)布時間: 2018.06.28 | 來源: 帕拉迪

在企業中,身份和訪問管理或者IAM,是用于定義和管理單個網絡用戶的角色和訪問特權,以及用戶被(bèi)授予(或拒絕)這(zhè)些特權的環境。IAM系統的核心目标是每個人的一個身份。一旦建立了數字身份,就(jiù)必須對(duì)每個用戶的“訪問生命周期”進(jìn)行維護、修改和監控。

因此,身份管理的首要目标是在适當的環境中,向(xiàng)正确的用戶授予正确的企業資産,從用戶的系統入職到許可授權,再到需要的時候及時隔離該用戶企業身份和訪問管理提供商Okta的高級副總裁兼首席安全官Yassir Abousselham這(zhè)樣(yàng)解釋道(dào)。

 

IAM系統爲管理員提供了工具和技術來改變用戶的角色,跟蹤用戶活動,創建關于這(zhè)些活動的報告,并在持續的基礎上實施策略。

這(zhè)些系統的設計目的是提供一種(zhǒng)管理整個企業用戶訪問的方法,并确保遵守公司政策和政府法規。

 

IAM産品和服務的用途

身份和管理技術包括(但不限于)密碼管理工具、供應軟件、安全策略執行應用程序、報告和監視應用程序和身份存儲庫。身份管理系統可用于内部系統,如微軟SharePoint,以及基于雲的系統,如Microsoft Office 365。

Forrester Research 在其《Tech Tide: Identity and Access Management, Q4 2017》的報告中,确定了6個低成(chéng)熟度的IAM技術,但目前的商業價值很高。

API安全性,使IAM可用于B2B商務,與雲集成(chéng)以及基于微服務的IAM架構。Forrester認爲,在移動應用程序或用戶管理的訪問之間,API安全解決方案被(bèi)用于單點登錄(SSO)。這(zhè)將(jiāng)允許安全團隊管理物聯網設備授權和個人識别數據。

客戶身份和訪問管理(CIAM),允許對(duì)用戶進(jìn)行全面(miàn)的管理和認證,自助式和檔案管理以及與CRM,ERP和其他客戶管理系統和數據庫的集成(chéng)。

身份分析(IA)將(jiāng)允許安全團隊使用規則、機器學(xué)習和其他統計算法來檢測和阻止危險的身份行爲。

身份驗證安全服務(IDaaS)包括軟件即服務(SaaS)解決方案,從門戶網站到web應用程序和本機移動應用程序,以及一些用戶帳戶供應和訪問請求管理,提供SSO。

身份管理和治理(IMG)提供了管理身份生命周期的自動化和可重複的方法,這(zhè)對(duì)于遵守身份和隐私規定是很重要的。

基于風險的認證(RBA)解決方案在用戶會(huì)話和認證的環境中進(jìn)行,并形成(chéng)一個風險分值。根據報告,該公司可以向(xiàng)高風險用戶提供雙因子驗證,并允許低風險用戶使用單一因素認證(如用戶名和密碼)。

“IAM系統必須足夠靈活和足夠強大,以适應當今計算環境的複雜性。一個原因是:企業的計算環境過(guò)去基本上是在本地運行的,而身份管理系統在用戶工作的前提下進(jìn)行了身份驗證和跟蹤。”身份和訪問管理提供商One Identity的産品管理高級總監傑克遜肖說,“以前在該場所周圍有一個安全圍欄,今天,這(zhè)個栅欄已經(jīng)不在了。”

因此,今天的身份管理系統應該能(néng)夠使管理員能(néng)夠輕松地管理各種(zhǒng)各樣(yàng)的用戶的訪問權限,包括本地的現場員工和國(guó)際外的承包商;混合計算環境,包括本地計算、軟件即服務(SaaS)應用程序,以及影子IT和BYOD用戶;以及包括UNIX、Windows、Macintosh、iOS、Android甚至物聯網設備的計算架構。

最終,身份和訪問管理系統應該能(néng)夠以一種(zhǒng)一緻的、可擴展的方式在整個企業中實現對(duì)用戶的集中管理。近年來,身份即服務(IDaaS)已經(jīng)發(fā)展成(chéng)爲基于訂閱的雲服務提供的第三方托管服務,爲客戶的現場和基于雲的系統提供身份管理。

 

爲什麼(me)我需要IAM?

身份和訪問管理是任何企業安全計劃的關鍵部分,因爲它與當今數字化經(jīng)濟中的組織的安全性和生産力密不可分。

網絡安全風險投資公司預測,受損害的用戶憑證通常會(huì)成(chéng)爲組織網絡及其信息資産的入口點。企業使用身份管理來保護自己的信息資産,以應對(duì)勒索軟件、犯罪黑客、網絡釣魚和其他惡意軟件攻擊的威脅。全球勒索軟件的損失預計今年將(jiāng)超過(guò)50億美元,比2016年增加15%。

在許多組織中,用戶有時擁有比必要更多的訪問權限。一個健壯的IAM系統可以通過(guò)确保在組織中一緻地應用用戶訪問規則和策略,從而增加一個重要的保護層。

身份和訪問管理系統可以提高企業的生産力。系統的中央管理能(néng)力可以降低保護用戶憑證和訪問的複雜性和成(chéng)本。同時,身份管理系統使員工在各種(zhǒng)環境中更有效率(同時保持安全),無論他們是在家工作,還(hái)是在辦公室工作或者在路上

 

IAM對(duì)法規遵循管理的意義

許多政府要求企業關注身份管理,如Sarbanes-Oxley、格萊姆-萊利-布利利和HIPAA等監管機構,要求企業負責控制對(duì)客戶和員工信息的訪問。身份管理系統可以幫助組織遵守這(zhè)些規定。

通用數據保護條例(GDPR)是一項最新的規定,要求嚴格的安全性和用戶訪問控制。GDPR要求各組織保護歐盟公民的個人數據和隐私。2018年5月生效,GDPR影響到所有在歐盟國(guó)家開(kāi)展業務的公司,或者有歐洲公民作爲客戶。

2017年3月1日,紐約州金融服務局(NYDFS)的新網絡安全監管規定生效。該規定對(duì)在紐約運營的金融服務公司的安全運營提出了許多要求,包括監控授權用戶的活動和維護審計日志——這(zhè)是身份管理系統通常所做的事(shì)情。

通過(guò)許多方面(miàn)自動化,爲企業網絡和數據提供安全的用戶訪問,身份管理系統減輕了簡單但重要的任務,并幫助他們遵守政府規定。這(zhè)些都(dōu)是至關重要的好(hǎo)處,因爲今天,每一個IT職位都(dōu)是安全的,全球網絡安全人員短缺;對(duì)不遵守相關規定的懲罰會(huì)使組織損失數百萬甚至數十億美元。

 

IAM系統的好(hǎo)處是什麼(me)

實現身份和訪問管理以及相關的最佳實踐可以在幾個方面(miàn)給您帶來顯著的競争優勢。現在,大多數企業需要向(xiàng)組織之外的用戶提供内部系統,例如客戶、合作夥伴、供應商、承包商開(kāi)放您的網絡,當然,員工可以提高效率和降低運營成(chéng)本。

身份管理系統可以讓公司在不損害安全的前提下,擴展其信息系統的訪問範圍。通過(guò)提供更多的外部訪問,你可以推動整個組織的協作,提高生産力、員工滿意度、研究和開(kāi)發(fā)以及最終的收入。

身份管理可以減少對(duì)IT支持團隊關于密碼重置的求助電話的數量,允許管理員自動完成(chéng)這(zhè)些耗時、耗錢的任務。

身份管理系統可以成(chéng)爲安全網絡的基礎,因爲管理用戶身份是訪問控制的一個重要部分。身份管理系統要求公司定義他們的訪問策略,特别是概述誰有權訪問哪些數據資源,以及在哪些條件下可以訪問這(zhè)些資源。

因此,管理良好(hǎo)的身份意味著(zhe)對(duì)用戶訪問的更大控制,這(zhè)意味著(zhe)内部和外部風險的降低。這(zhè)一點很重要,因爲随著(zhe)外部威脅的不斷增加,内部攻擊的頻率也非常高。根據IBM 2016年網絡安全情報索引,大約60%的數據洩露是由一個組織的員工造成(chéng)的,其中75%是惡意的,25%是意外的。

正如前面(miàn)提到的,IAM系統可以通過(guò)提供工具來實現全面(miàn)的安全性、審計和訪問策略,從而增強法規遵從性。許多系統現在提供了一些特性,以确保組織的遵從性。

 

IAM系統是如何工作的?

在過(guò)去的幾年裡(lǐ),一個典型的身份管理系統包含四個基本元素:系統用來定義個人用戶的個人數據的目錄(將(jiāng)其視爲一個身份存儲庫);一組用于添加、修改和删除數據的工具(與訪問生命周期管理相關);一個管理用戶訪問(安全策略和訪問特權的執行)的系統;以及一個審計和報告系統(以驗證系統中正在發(fā)生的事(shì)情)。


規範用戶訪問傳統上涉及到驗證用戶身份的多種(zhǒng)身份驗證方法,包括密碼、數字證書、令牌和智能(néng)卡。硬件令牌和信用卡大小的智能(néng)卡是雙重認證的一個組成(chéng)部分,它將(jiāng)你知道(dào)的(你的密碼)與你擁有的東西(令牌或卡片)相結合,以驗證你的身份。

在當今複雜的計算環境中,随著(zhe)安全威脅的加劇,一個強大的用戶名和密碼并不能(néng)減少它。今天,身份管理系統通常包含了生物識别、機器學(xué)習和人工智能(néng)以及基于風險的認證的元素。

在用戶層面(miàn),最近的用戶身份驗證方法有助于更好(hǎo)地保護身份。例如,iPhone的流行讓許多人熟悉使用指紋作爲認證方法,包括最新的Face ID 推動的人臉識别驗證。較新的Windows 10電腦提供指紋傳感器或虹膜掃描,以進(jìn)行生物識别用戶的驗證。

 

轉向(xiàng)多因素身份驗證

Abousselham說,一些組織正在從二因素到三因素認證,結合你知道(dào)的(你的密碼),你擁有的東西(智能(néng)手機),以及你的一些東西(面(miàn)部識别,虹膜掃描或指紋傳感器)。當你從2個因素變成(chéng)3個因素時,你就(jiù)能(néng)更确信你在和正确的用戶打交道(dào)。

在管理級别上,由于諸如上下文感知的網絡訪問控制和基于風險的認證(RBA)等技術,今天的身份管理系統提供了更高級的用戶審計和報告。

Okta的産品總監Joe Diamond說:“上下文感知的網絡訪問控制是基于策略的,它根據不同的屬性預先确定事(shì)件和結果”例如,如果一個IP地址不是白名單,它可能(néng)被(bèi)阻塞,或者如果沒(méi)有證書表明設備被(bèi)管理,那麼(me)上下文感知的網絡訪問控制可能(néng)會(huì)加強身份驗證過(guò)程。

相比之下,RBA更有活力,而且通常是通過(guò)某種(zhǒng)程度的aiba來實現的。Diamond說:“你開(kāi)始將(jiāng)風險評分和機器學(xué)習打開(kāi)到一個認證事(shì)件中。”

基于風險的身份驗證可以根據當前的風險文件動态地將(jiāng)不同級别的嚴格程度應用到身份驗證過(guò)程中。風險越高,對(duì)用戶的認證過(guò)程就(jiù)越嚴格。用戶的地理位置或IP地址的改變可能(néng)會(huì)在用戶訪問公司的信息資源之前觸發(fā)額外的認證要求。

 

什麼(me)是聯邦身份管理?

聯邦身份管理允許您與可信的合作夥伴共享數字ID,這(zhè)是一種(zhǒng)身份驗證機制,允許用戶使用相同的用戶名、密碼或其他ID來訪問多個網絡。

單點登錄(SSO)是聯邦ID管理的一個重要部分。單點登錄标準允許在一個網絡、網站或應用程序中驗證其身份的人在移動到另一個網絡時進(jìn)行身份驗證。該模型隻在協作組織中工作,即所謂的可信合作夥伴,這(zhè)實際上是爲彼此的用戶提供擔保。

 

IAM平台是否基于開(kāi)放标準?

可信合作夥伴之間的授權消息通常使用安全斷言标記語言(SAML)發(fā)送,這(zhè)個開(kāi)放規範定義了一個XML框架,用于在安全authori之間交換安全斷言。SAML實現了跨不同供應商平台的互操作性,提供了身份驗證和授權服務。

SAML并不是唯一的開(kāi)放标準的身份協議,其他的包括OpenID、WS-Trust(Web服務信任的縮寫)和WS-Federation以及OAuth,它允許用戶的帳戶信息被(bèi)第三方服務使用,比如Facebook,而不暴露密碼。

 

實現IAM的挑戰或風險是什麼(me)?

成(chéng)功地實現身份和訪問管理需要跨部門的預先考慮和協作。在開(kāi)始項目之前,建立一個有凝聚力的身份管理策略,具備明确的目标、利益相關者的購買、定義的業務流程可能(néng)是最成(chéng)功的。當你擁有人力資源、IT、安全以及其他相關部門時,身份管理是最有效的。

通常,身份信息可能(néng)來自多個存儲庫,比如Microsoft Active Directory(AD)或人力資源應用程序。身份管理系統必須能(néng)夠在所有這(zhè)些系統中同步用戶标識信息,提供一個單一的事(shì)實來源。

由于當今IT人員的短缺,身份和訪問管理系統必須使組織能(néng)夠在不同的情況和計算環境中自動和實時地管理各種(zhǒng)各樣(yàng)的用戶。手動調整對(duì)成(chéng)百上千用戶的訪問權限和控制是不可行的。

例如,對(duì)于即將(jiāng)離職的員工來說,取消供應訪問權限可能(néng)會(huì)出現問題,尤其是在手動操作的情況下,這(zhè)通常是一種(zhǒng)情況。報告員工離開(kāi)公司,然後(hòu)自動取消對(duì)他或她使用的所有應用、服務和硬件的訪問,需要一個自動化的、全面(miàn)的身份管理解決方案。

認證也必須易于用戶執行,它必須易于部署,而且最重要的是它必須是安全的,Abousselham說,這(zhè)解釋了爲什麼(me)移動設備正在成(chéng)爲用戶認證的中心,他補充說,因爲智能(néng)手機可以提供用戶當前的地理位置、IP地址和其他信息,這(zhè)些信息可以用于身份驗證。

一個值得牢記的風險是:集中的操作爲黑客和破解者提供了誘人的目标。通過(guò)在公司的所有身份管理活動中設置一個指示闆,這(zhè)些系統比管理員更容易降低複雜性。一旦妥協,他們就(jiù)可以允許入侵者創建具有廣泛特權和訪問許多資源的id。

 

IAM關鍵術語

流行詞的出現和消失一直都(dōu)不間斷,但在身份管理領域的一些關鍵術語是值得了解的:

訪問管理:訪問管理是指用于控制和監視網絡訪問的過(guò)程和技術。訪問管理特性,如認證、授權、信任和安全審計,是本地和基于雲系統的頂級ID管理系統的一部分。

雲訪問安全代理(CASB):CASB概念在2012年由 Gartner 提出,定義了在新的雲計算時代,企業或用戶掌控雲上數據安全的解決方案模型。CASB産品有兩(liǎng)種(zhǒng)工作模式:一種(zhǒng)是Proxy模式,另一鍾是API模式。

Active Directory(AD):微軟將(jiāng)AD作爲Windows域網絡的用戶身份目錄服務開(kāi)發(fā),盡管專有,AD包含在Windows服務器操作系統中,因此被(bèi)廣泛部署。

生物識别認證:一種(zhǒng)基于用戶獨特特征的認證用戶的安全過(guò)程。生物識别認證技術包括指紋傳感器、虹膜和視網膜掃描,以及面(miàn)部識别。

上下文感知的網絡訪問控制:上下文感知的網絡訪問控制是一種(zhǒng)基于策略的方法,根據用戶尋求訪問的當前上下文授予對(duì)網絡資源的訪問。例如,試圖從沒(méi)有白名單的IP地址進(jìn)行身份驗證的用戶將(jiāng)被(bèi)阻塞。

憑證:用戶用來訪問網絡的标識符,如用戶的密碼、公鑰基礎設施(PKI)證書或生物特征信息(指紋、虹膜掃描)。

解除供應:從ID存儲庫中删除标識并終止訪問特權的過(guò)程。

數字身份:ID本身,包括用戶和他/她/其訪問特權的描述(“Its”,因爲一個端點,如筆記本或智能(néng)手機,可以有自己的數字身份。)

權限:指定一個經(jīng)過(guò)身份驗證的安全主體的訪問權限和特權的屬性集。

身份作爲服務(IDaaS):基于雲的IDaaS爲駐留在本地和/或雲中的組織系統提供身份和訪問管理功能(néng)。

身份生命周期管理:類似于訪問生命周期管理,術語指的是維護和更新數字标識的整個過(guò)程和技術。身份生命周期管理包括身份同步、供應、解除供應,以及對(duì)用戶屬性、憑證和權利的持續管理。

身份同步:确保多個身份存儲的過(guò)程,例如獲取的結果包含給定數字ID的一緻數據。

輕量級目錄訪問協議(LDAP)LDAP是開(kāi)放的基于标準的協議,用于管理和訪問分布式目錄服務,比如Microsoft的AD。

多因素身份驗證(MFA)MFA不僅僅是一個單一的因素,如用戶名和密碼,需要認證到一個網絡或系統,至少還(hái)需要一個額外的步驟,例如接收通過(guò)SMS發(fā)送到智能(néng)手機的代碼,插入智能(néng)卡或u盤,或者滿足一個生物識别認證要求,比如指紋掃描。

密碼重置:在這(zhè)種(zhǒng)情況下,它是一個ID管理系統的一個特性,它允許用戶重新建立自己的密碼,解除工作的管理員,減少支持的調用。重新設置的應用程序通常是通過(guò)浏覽器訪問的。應用程序要求一個秘密的單詞或一組問題來驗證用戶的身份。

特權帳戶管理:這(zhè)一術語指的是基于用戶的特權管理和審計帳戶和數據訪問。一般來說,由于他或她的工作或功能(néng),特權用戶已被(bèi)授予對(duì)系統的管理訪問權。

基于風險的身份驗證(RBA):基于風險的身份驗證,基于用戶當前的情況,動态地調整身份驗證需求。例如,當用戶試圖從一個以前沒(méi)有關聯的地理位置或IP地址進(jìn)行身份驗證時,這(zhè)些用戶可能(néng)會(huì)面(miàn)臨額外的身份驗證要求。

安全主體:具有一個或多個憑證的數字身份,可以通過(guò)身份驗證和授權與網絡交互。

單點登錄(SSO):針對(duì)多個相關但獨立的系統的訪問控制類型。使用單個用戶名和密碼,用戶可以訪問系統或系統而不使用不同的憑證。

用戶行爲分析(UBA)UBA技術檢測用戶行爲的模式,并自動應用算法和分析來檢測可能(néng)存在潛在安全威脅的重要異常,而與其他安全技術不同的是,該技術專注于追蹤設備或安全事(shì)件。此外,它有時還(hái)與實體行爲分析和UEBA相結合。

 

 

-原文作者:James A. Martin, John K. Waters. 原文取自網絡

 


Copyright © 2019 All Rights Reserved Designed
杭州梵汐網絡科技有限公司