什麽是身份管理(lǐ)?關于IAM定義、使用和(hé)解決方案
發布時間:
2018.06.28 | 來源:
帕拉迪
在企業中,身份和(hé)訪問管理(lǐ)或者IAM,是用于定義和(hé)管理(lǐ)單個網絡用戶的(de)角色和(hé)訪問特權,以及用戶被授予(或拒絕)這些特權的(de)環境。IAM系統的(de)核心目标是每個人的(de)一(yī)個身份。一(yī)旦建立了數字身份,就必須對每個用戶的(de)“訪問生命周期”進行(xíng)維護、修改和(hé)監控。
因此,身份管理(lǐ)的(de)首要目标是在适當的(de)環境中,向正确的(de)用戶授予正确的(de)企業資産,從用戶的(de)系統入職到許可(kě)授權,再到需要的(de)時候及時隔離(lí)該用戶企業身份和(hé)訪問管理(lǐ)提供商(shāng)Okta的(de)高(gāo)級副總裁兼首席安全官Yassir Abousselham這樣解釋道(dào)。
IAM系統為(wèi)管理(lǐ)員提供了工具和(hé)技術來改變用戶的(de)角色,跟蹤用戶活動,創建關于這些活動的(de)報告,并在持續的(de)基礎上實施策略。
這些系統的(de)設計目的(de)是提供一(yī)種管理(lǐ)整個企業用戶訪問的(de)方法,并确保遵守公司政策和(hé)政府法規。
IAM産品和(hé)服務的(de)用途
身份和(hé)管理(lǐ)技術包括(但不限于)密碼管理(lǐ)工具、供應軟件、安全策略執行(xíng)應用程序、報告和(hé)監視(shì)應用程序和(hé)身份存儲庫。身份管理(lǐ)系統可(kě)用于內(nèi)部系統,如(rú)微軟SharePoint,以及基于雲的(de)系統,如(rú)Microsoft Office 365。
Forrester Research 在其《Tech Tide: Identity and Access Management, Q4 2017》的(de)報告中,确定了6個低(dī)成熟度的(de)IAM技術,但目前的(de)商(shāng)業價值很高(gāo)。
API安全性,使IAM可(kě)用于B2B商(shāng)務,與雲集成以及基于微服務的(de)IAM架構。Forrester認為(wèi),在移動應用程序或用戶管理(lǐ)的(de)訪問之間,API安全解決方案被用于單點登錄(SSO)。這将允許安全團隊管理(lǐ)物聯網設備授權和(hé)個人識别數據。
客戶身份和(hé)訪問管理(lǐ)(CIAM),允許對用戶進行(xíng)全面的(de)管理(lǐ)和(hé)認證,自(zì)助式和(hé)檔案管理(lǐ)以及與CRM,ERP和(hé)其他客戶管理(lǐ)系統和(hé)數據庫的(de)集成。
身份分析(IA)将允許安全團隊使用規則、機(jī)器學(xué)習和(hé)其他統計算法來檢測和(hé)阻止危險的(de)身份行(xíng)為(wèi)。
身份驗證安全服務(IDaaS)包括軟件即服務(SaaS)解決方案,從門戶網站到web應用程序和(hé)本機(jī)移動應用程序,以及一(yī)些用戶帳戶供應和(hé)訪問請求管理(lǐ),提供SSO。
身份管理(lǐ)和(hé)治理(lǐ)(IMG)提供了管理(lǐ)身份生命周期的(de)自(zì)動化和(hé)可(kě)重複的(de)方法,這對于遵守身份和(hé)隐私規定是很重要的(de)。
基于風險的(de)認證(RBA)解決方案在用戶會話和(hé)認證的(de)環境中進行(xíng),并形成一(yī)個風險分值。根據報告,該公司可(kě)以向高(gāo)風險用戶提供雙因子(zǐ)驗證,并允許低(dī)風險用戶使用單一(yī)因素認證(如(rú)用戶名和(hé)密碼)。
“IAM系統必須足夠靈活和(hé)足夠強大,以适應當今計算環境的(de)複雜性。一(yī)個原因是:企業的(de)計算環境過去(qù)基本上是在本地(dì)運行(xíng)的(de),而身份管理(lǐ)系統在用戶工作的(de)前提下進行(xíng)了身份驗證和(hé)跟蹤。”身份和(hé)訪問管理(lǐ)提供商(shāng)One Identity的(de)産品管理(lǐ)高(gāo)級總監傑克遜肖說,“以前在該場所周圍有(yǒu)一(yī)個安全圍欄,今天,這個栅欄已經不在了。”
因此,今天的(de)身份管理(lǐ)系統應該能夠使管理(lǐ)員能夠輕松地(dì)管理(lǐ)各種各樣的(de)用戶的(de)訪問權限,包括本地(dì)的(de)現場員工和(hé)國(guó)際外的(de)承包商(shāng);混合計算環境,包括本地(dì)計算、軟件即服務(SaaS)應用程序,以及影子(zǐ)IT和(hé)BYOD用戶;以及包括UNIX、Windows、Macintosh、iOS、Android甚至物聯網設備的(de)計算架構。
最終,身份和(hé)訪問管理(lǐ)系統應該能夠以一(yī)種一(yī)緻的(de)、可(kě)擴展的(de)方式在整個企業中實現對用戶的(de)集中管理(lǐ)。近年(nián)來,身份即服務(IDaaS)已經發展成為(wèi)基于訂閱的(de)雲服務提供的(de)第三方托管服務,為(wèi)客戶的(de)現場和(hé)基于雲的(de)系統提供身份管理(lǐ)。
為(wèi)什麽我需要IAM?
身份和(hé)訪問管理(lǐ)是任何企業安全計劃的(de)關鍵部分,因為(wèi)它與當今數字化經濟中的(de)組織的(de)安全性和(hé)生産力密不可(kě)分。
網絡安全風險投資公司預測,受損害的(de)用戶憑證通常會成為(wèi)組織網絡及其信息資産的(de)入口點。企業使用身份管理(lǐ)來保護自(zì)己的(de)信息資産,以應對勒索軟件、犯罪黑客、網絡釣魚和(hé)其他惡意軟件攻擊的(de)威脅。全球勒索軟件的(de)損失預計今年(nián)将超過50億美元,比2016年(nián)增加15%。
在許多組織中,用戶有(yǒu)時擁有(yǒu)比必要更多的(de)訪問權限。一(yī)個健壯的(de)IAM系統可(kě)以通過确保在組織中一(yī)緻地(dì)應用用戶訪問規則和(hé)策略,從而增加一(yī)個重要的(de)保護層。
身份和(hé)訪問管理(lǐ)系統可(kě)以提高(gāo)企業的(de)生産力。系統的(de)中央管理(lǐ)能力可(kě)以降低(dī)保護用戶憑證和(hé)訪問的(de)複雜性和(hé)成本。同時,身份管理(lǐ)系統使員工在各種環境中更有(yǒu)效率(同時保持安全),無論他們(men)是在家工作,還是在辦公室工作或者在路上。
IAM對法規遵循管理(lǐ)的(de)意義
許多政府要求企業關注身份管理(lǐ),如(rú)Sarbanes-Oxley、格萊姆-萊利-布利利和(hé)HIPAA等監管機(jī)構,要求企業負責控制對客戶和(hé)員工信息的(de)訪問。身份管理(lǐ)系統可(kě)以幫助組織遵守這些規定。
通用數據保護條例(GDPR)是一(yī)項最新的(de)規定,要求嚴格的(de)安全性和(hé)用戶訪問控制。GDPR要求各組織保護歐盟公民的(de)個人數據和(hé)隐私。2018年(nián)5月生效,GDPR影響到所有(yǒu)在歐盟國(guó)家開展業務的(de)公司,或者有(yǒu)歐洲公民作為(wèi)客戶。
在2017年(nián)3月1日,紐約州金融服務局(NYDFS)的(de)新網絡安全監管規定生效。該規定對在紐約運營的(de)金融服務公司的(de)安全運營提出了許多要求,包括監控授權用戶的(de)活動和(hé)維護審計日志——這是身份管理(lǐ)系統通常所做(zuò)的(de)事情。
通過許多方面自(zì)動化,為(wèi)企業網絡和(hé)數據提供安全的(de)用戶訪問,身份管理(lǐ)系統減輕了簡單但重要的(de)任務,并幫助他們(men)遵守政府規定。這些都是至關重要的(de)好處,因為(wèi)今天,每一(yī)個IT職位都是安全的(de),全球網絡安全人員短(duǎn)缺;對不遵守相關規定的(de)懲罰會使組織損失數百萬甚至數十億美元。
IAM系統的(de)好處是什麽
實現身份和(hé)訪問管理(lǐ)以及相關的(de)最佳實踐可(kě)以在幾個方面給您帶來顯著的(de)競争優勢。現在,大多數企業需要向組織之外的(de)用戶提供內(nèi)部系統,例如(rú)客戶、合作夥伴、供應商(shāng)、承包商(shāng)開放您的(de)網絡,當然,員工可(kě)以提高(gāo)效率和(hé)降低(dī)運營成本。
身份管理(lǐ)系統可(kě)以讓公司在不損害安全的(de)前提下,擴展其信息系統的(de)訪問範圍。通過提供更多的(de)外部訪問,你可(kě)以推動整個組織的(de)協作,提高(gāo)生産力、員工滿意度、研究和(hé)開發以及最終的(de)收入。
身份管理(lǐ)可(kě)以減少對IT支持團隊關于密碼重置的(de)求助電話的(de)數量,允許管理(lǐ)員自(zì)動完成這些耗時、耗錢的(de)任務。
身份管理(lǐ)系統可(kě)以成為(wèi)安全網絡的(de)基礎,因為(wèi)管理(lǐ)用戶身份是訪問控制的(de)一(yī)個重要部分。身份管理(lǐ)系統要求公司定義他們(men)的(de)訪問策略,特别是概述誰有(yǒu)權訪問哪些數據資源,以及在哪些條件下可(kě)以訪問這些資源。
因此,管理(lǐ)良好的(de)身份意味着對用戶訪問的(de)更大控制,這意味着內(nèi)部和(hé)外部風險的(de)降低(dī)。這一(yī)點很重要,因為(wèi)随着外部威脅的(de)不斷增加,內(nèi)部攻擊的(de)頻率也非常高(gāo)。根據IBM 2016年(nián)網絡安全情報索引,大約60%的(de)數據洩露是由一(yī)個組織的(de)員工造成的(de),其中75%是惡意的(de),25%是意外的(de)。
正如(rú)前面提到的(de),IAM系統可(kě)以通過提供工具來實現全面的(de)安全性、審計和(hé)訪問策略,從而增強法規遵從性。許多系統現在提供了一(yī)些特性,以确保組織的(de)遵從性。
IAM系統是如(rú)何工作的(de)?
在過去(qù)的(de)幾年(nián)裏,一(yī)個典型的(de)身份管理(lǐ)系統包含四個基本元素:系統用來定義個人用戶的(de)個人數據的(de)目錄(将其視(shì)為(wèi)一(yī)個身份存儲庫);一(yī)組用于添加、修改和(hé)删除數據的(de)工具(與訪問生命周期管理(lǐ)相關);一(yī)個管理(lǐ)用戶訪問(安全策略和(hé)訪問特權的(de)執行(xíng))的(de)系統;以及一(yī)個審計和(hé)報告系統(以驗證系統中正在發生的(de)事情)。
規範用戶訪問傳統上涉及到驗證用戶身份的(de)多種身份驗證方法,包括密碼、數字證書、令牌和(hé)智能卡。硬件令牌和(hé)信用卡大小的(de)智能卡是雙重認證的(de)一(yī)個組成部分,它将你知道(dào)的(de)(你的(de)密碼)與你擁有(yǒu)的(de)東西(令牌或卡片)相結合,以驗證你的(de)身份。
在當今複雜的(de)計算環境中,随着安全威脅的(de)加劇,一(yī)個強大的(de)用戶名和(hé)密碼并不能減少它。今天,身份管理(lǐ)系統通常包含了生物識别、機(jī)器學(xué)習和(hé)人工智能以及基于風險的(de)認證的(de)元素。
在用戶層面,最近的(de)用戶身份驗證方法有(yǒu)助于更好地(dì)保護身份。例如(rú),iPhone的(de)流行(xíng)讓許多人熟悉使用指紋作為(wèi)認證方法,包括最新的(de)Face ID 推動的(de)人臉識别驗證。較新的(de)Windows 10電腦提供指紋傳感器或虹膜掃描,以進行(xíng)生物識别用戶的(de)驗證。
轉向多因素身份驗證
Abousselham說,一(yī)些組織正在從二因素到三因素認證,結合你知道(dào)的(de)(你的(de)密碼),你擁有(yǒu)的(de)東西(智能手機(jī)),以及你的(de)一(yī)些東西(面部識别,虹膜掃描或指紋傳感器)。當你從2個因素變成3個因素時,你就能更确信你在和(hé)正确的(de)用戶打交道(dào)。
在管理(lǐ)級别上,由于諸如(rú)上下文感知的(de)網絡訪問控制和(hé)基于風險的(de)認證(RBA)等技術,今天的(de)身份管理(lǐ)系統提供了更高(gāo)級的(de)用戶審計和(hé)報告。
Okta的(de)産品總監Joe Diamond說:“上下文感知的(de)網絡訪問控制是基于策略的(de),它根據不同的(de)屬性預先确定事件和(hé)結果。”例如(rú),如(rú)果一(yī)個IP地(dì)址不是白名單,它可(kě)能被阻塞,或者如(rú)果沒有(yǒu)證書表明設備被管理(lǐ),那麽上下文感知的(de)網絡訪問控制可(kě)能會加強身份驗證過程。
相比之下,RBA更有(yǒu)活力,而且通常是通過某種程度的(de)aiba來實現的(de)。Diamond說:“你開始将風險評分和(hé)機(jī)器學(xué)習打開到一(yī)個認證事件中。”
基于風險的(de)身份驗證可(kě)以根據當前的(de)風險文件動态地(dì)将不同級别的(de)嚴格程度應用到身份驗證過程中。風險越高(gāo),對用戶的(de)認證過程就越嚴格。用戶的(de)地(dì)理(lǐ)位置或IP地(dì)址的(de)改變可(kě)能會在用戶訪問公司的(de)信息資源之前觸發額外的(de)認證要求。
什麽是聯邦身份管理(lǐ)?
聯邦身份管理(lǐ)允許您與可(kě)信的(de)合作夥伴共享數字ID,這是一(yī)種身份驗證機(jī)制,允許用戶使用相同的(de)用戶名、密碼或其他ID來訪問多個網絡。
單點登錄(SSO)是聯邦ID管理(lǐ)的(de)一(yī)個重要部分。單點登錄标準允許在一(yī)個網絡、網站或應用程序中驗證其身份的(de)人在移動到另一(yī)個網絡時進行(xíng)身份驗證。該模型隻在協作組織中工作,即所謂的(de)可(kě)信合作夥伴,這實際上是為(wèi)彼此的(de)用戶提供擔保。
IAM平台是否基于開放标準?
可(kě)信合作夥伴之間的(de)授權消息通常使用安全斷言标記語言(SAML)發送,這個開放規範定義了一(yī)個XML框架,用于在安全authori之間交換安全斷言。SAML實現了跨不同供應商(shāng)平台的(de)互操作性,提供了身份驗證和(hé)授權服務。
SAML并不是唯一(yī)的(de)開放标準的(de)身份協議,其他的(de)包括OpenID、WS-Trust(Web服務信任的(de)縮寫)和(hé)WS-Federation以及OAuth,它允許用戶的(de)帳戶信息被第三方服務使用,比如(rú)Facebook,而不暴露密碼。
實現IAM的(de)挑戰或風險是什麽?
成功地(dì)實現身份和(hé)訪問管理(lǐ)需要跨部門的(de)預先考慮和(hé)協作。在開始項目之前,建立一(yī)個有(yǒu)凝聚力的(de)身份管理(lǐ)策略,具備明确的(de)目标、利益相關者的(de)購買、定義的(de)業務流程可(kě)能是最成功的(de)。當你擁有(yǒu)人力資源、IT、安全以及其他相關部門時,身份管理(lǐ)是最有(yǒu)效的(de)。
通常,身份信息可(kě)能來自(zì)多個存儲庫,比如(rú)Microsoft Active Directory(AD)或人力資源應用程序。身份管理(lǐ)系統必須能夠在所有(yǒu)這些系統中同步用戶标識信息,提供一(yī)個單一(yī)的(de)事實來源。
由于當今IT人員的(de)短(duǎn)缺,身份和(hé)訪問管理(lǐ)系統必須使組織能夠在不同的(de)情況和(hé)計算環境中自(zì)動和(hé)實時地(dì)管理(lǐ)各種各樣的(de)用戶。手動調整對成百上千用戶的(de)訪問權限和(hé)控制是不可(kě)行(xíng)的(de)。
例如(rú),對于即将離(lí)職的(de)員工來說,取消供應訪問權限可(kě)能會出現問題,尤其是在手動操作的(de)情況下,這通常是一(yī)種情況。報告員工離(lí)開公司,然後自(zì)動取消對他或她使用的(de)所有(yǒu)應用、服務和(hé)硬件的(de)訪問,需要一(yī)個自(zì)動化的(de)、全面的(de)身份管理(lǐ)解決方案。
認證也必須易于用戶執行(xíng),它必須易于部署,而且最重要的(de)是它必須是安全的(de),Abousselham說,這解釋了為(wèi)什麽移動設備正在成為(wèi)用戶認證的(de)中心,他補充說,因為(wèi)智能手機(jī)可(kě)以提供用戶當前的(de)地(dì)理(lǐ)位置、IP地(dì)址和(hé)其他信息,這些信息可(kě)以用于身份驗證。
一(yī)個值得牢記的(de)風險是:集中的(de)操作為(wèi)黑客和(hé)破解者提供了誘人的(de)目标。通過在公司的(de)所有(yǒu)身份管理(lǐ)活動中設置一(yī)個指示闆,這些系統比管理(lǐ)員更容易降低(dī)複雜性。一(yī)旦妥協,他們(men)就可(kě)以允許入侵者創建具有(yǒu)廣泛特權和(hé)訪問許多資源的(de)id。
IAM關鍵術語
流行(xíng)詞的(de)出現和(hé)消失一(yī)直都不間斷,但在身份管理(lǐ)領域的(de)一(yī)些關鍵術語是值得了解的(de):
訪問管理(lǐ):訪問管理(lǐ)是指用于控制和(hé)監視(shì)網絡訪問的(de)過程和(hé)技術。訪問管理(lǐ)特性,如(rú)認證、授權、信任和(hé)安全審計,是本地(dì)和(hé)基于雲系統的(de)頂級ID管理(lǐ)系統的(de)一(yī)部分。
雲訪問安全代理(lǐ)(CASB):CASB概念在2012年(nián)由 Gartner 提出,定義了在新的(de)雲計算時代,企業或用戶掌控雲上數據安全的(de)解決方案模型。CASB産品有(yǒu)兩種工作模式:一(yī)種是Proxy模式,另一(yī)鍾是API模式。
Active Directory(AD):微軟将AD作為(wèi)Windows域網絡的(de)用戶身份目錄服務開發,盡管專有(yǒu),AD包含在Windows服務器操作系統中,因此被廣泛部署。
生物識别認證:一(yī)種基于用戶獨特特征的(de)認證用戶的(de)安全過程。生物識别認證技術包括指紋傳感器、虹膜和(hé)視(shì)網膜掃描,以及面部識别。
上下文感知的(de)網絡訪問控制:上下文感知的(de)網絡訪問控制是一(yī)種基于策略的(de)方法,根據用戶尋求訪問的(de)當前上下文授予對網絡資源的(de)訪問。例如(rú),試圖從沒有(yǒu)白名單的(de)IP地(dì)址進行(xíng)身份驗證的(de)用戶将被阻塞。
憑證:用戶用來訪問網絡的(de)标識符,如(rú)用戶的(de)密碼、公鑰基礎設施(PKI)證書或生物特征信息(指紋、虹膜掃描)。
解除供應:從ID存儲庫中删除标識并終止訪問特權的(de)過程。
數字身份:ID本身,包括用戶和(hé)他/她/其訪問特權的(de)描述(“Its”,因為(wèi)一(yī)個端點,如(rú)筆(bǐ)記本或智能手機(jī),可(kě)以有(yǒu)自(zì)己的(de)數字身份。)
權限:指定一(yī)個經過身份驗證的(de)安全主體的(de)訪問權限和(hé)特權的(de)屬性集。
身份作為(wèi)服務(IDaaS):基于雲的(de)IDaaS為(wèi)駐留在本地(dì)和(hé)/或雲中的(de)組織系統提供身份和(hé)訪問管理(lǐ)功能。
身份生命周期管理(lǐ):類似于訪問生命周期管理(lǐ),術語指的(de)是維護和(hé)更新數字标識的(de)整個過程和(hé)技術。身份生命周期管理(lǐ)包括身份同步、供應、解除供應,以及對用戶屬性、憑證和(hé)權利的(de)持續管理(lǐ)。
身份同步:确保多個身份存儲的(de)過程,例如(rú)獲取的(de)結果包含給定數字ID的(de)一(yī)緻數據。
輕量級目錄訪問協議(LDAP):LDAP是開放的(de)基于标準的(de)協議,用于管理(lǐ)和(hé)訪問分布式目錄服務,比如(rú)Microsoft的(de)AD。
多因素身份驗證(MFA):MFA不僅僅是一(yī)個單一(yī)的(de)因素,如(rú)用戶名和(hé)密碼,需要認證到一(yī)個網絡或系統,至少還需要一(yī)個額外的(de)步驟,例如(rú)接收通過SMS發送到智能手機(jī)的(de)代碼,插入智能卡或u盤,或者滿足一(yī)個生物識别認證要求,比如(rú)指紋掃描。
密碼重置:在這種情況下,它是一(yī)個ID管理(lǐ)系統的(de)一(yī)個特性,它允許用戶重新建立自(zì)己的(de)密碼,解除工作的(de)管理(lǐ)員,減少支持的(de)調用。重新設置的(de)應用程序通常是通過浏覽器訪問的(de)。應用程序要求一(yī)個秘密的(de)單詞或一(yī)組問題來驗證用戶的(de)身份。
特權帳戶管理(lǐ):這一(yī)術語指的(de)是基于用戶的(de)特權管理(lǐ)和(hé)審計帳戶和(hé)數據訪問。一(yī)般來說,由于他或她的(de)工作或功能,特權用戶已被授予對系統的(de)管理(lǐ)訪問權。
基于風險的(de)身份驗證(RBA):基于風險的(de)身份驗證,基于用戶當前的(de)情況,動态地(dì)調整身份驗證需求。例如(rú),當用戶試圖從一(yī)個以前沒有(yǒu)關聯的(de)地(dì)理(lǐ)位置或IP地(dì)址進行(xíng)身份驗證時,這些用戶可(kě)能會面臨額外的(de)身份驗證要求。
安全主體:具有(yǒu)一(yī)個或多個憑證的(de)數字身份,可(kě)以通過身份驗證和(hé)授權與網絡交互。
單點登錄(SSO):針對多個相關但獨立的(de)系統的(de)訪問控制類型。使用單個用戶名和(hé)密碼,用戶可(kě)以訪問系統或系統而不使用不同的(de)憑證。
用戶行(xíng)為(wèi)分析(UBA):UBA技術檢測用戶行(xíng)為(wèi)的(de)模式,并自(zì)動應用算法和(hé)分析來檢測可(kě)能存在潛在安全威脅的(de)重要異常,而與其他安全技術不同的(de)是,該技術專注于追蹤設備或安全事件。此外,它有(yǒu)時還與實體行(xíng)為(wèi)分析和(hé)UEBA相結合。
-原文作者:James A. Martin, John K. Waters. 原文取自(zì)網絡