什麽是身份管理?關于IAM定義、使用和解決方案
發布時間:
2018.06.28 | 來源:
帕拉迪
在企業(yè)中,身份和訪問管理或者IAM,是用于定義和管理單個(gè)網絡用戶的角色和訪問特權,以及用戶被授予(或拒絕)這些特權的環境。IAM系統的核心目标是每個(gè)人的一(yī)個(gè)身份。一(yī)旦建立了數字身份,就(jiù)必須對每個(gè)用戶的“訪問生(shēng)命周期”進行維護、修改和監控。
因此,身份管理的首要目标是在适當的環境中,向正确的用戶授予正确的企業(yè)資産,從(cóng)用戶的系統入職到(dào)許可授權,再到(dào)需要的時候及時隔離該用戶企業(yè)身份和訪問管理提供商Okta的高(gāo)級副總裁兼首席安全官Yassir Abousselham這樣解釋道。
IAM系統為(wèi)管理員(yuán)提供了工(gōng)具和技(jì)術(shù)來改變用戶的角色,跟蹤用戶活動,創建關于這些活動的報(bào)告,并在持續的基礎上(shàng)實施策略。
這些系統的設計目的是提供一(yī)種管理整個(gè)企業(yè)用戶訪問的方法,并确保遵守公司政策和政府法規。
IAM産品和服務的用途
身份和管理技(jì)術(shù)包括(但不限于)密碼管理工(gōng)具、供應軟件(jiàn)、安全策略執行應用程序、報(bào)告和監視應用程序和身份存儲庫。身份管理系統可用于内部系統,如微軟SharePoint,以及基于雲的系統,如Microsoft Office 365。
Forrester Research 在其《Tech Tide: Identity and Access Management, Q4 2017》的報(bào)告中,确定了6個(gè)低(dī)成熟度的IAM技(jì)術(shù),但目前的商業(yè)價值很高(gāo)。
API安全性,使IAM可用于B2B商務,與雲集成以及基于微服務的IAM架構。Forrester認為(wèi),在移動應用程序或用戶管理的訪問之間,API安全解決方案被用于單點登錄(SSO)。這将允許安全團隊管理物(wù)聯網設備授權和個(gè)人識别數據。
客戶身份和訪問管理(CIAM),允許對用戶進行全面的管理和認證,自(zì)助式和檔案管理以及與CRM,ERP和其他客戶管理系統和數據庫的集成。
身份分析(IA)将允許安全團隊使用規則、機(jī)器(qì)學習和其他統計算(suàn)法來檢測和阻止危險的身份行為(wèi)。
身份驗證安全服務(IDaaS)包括軟件(jiàn)即服務(SaaS)解決方案,從(cóng)門(mén)戶網站到(dào)web應用程序和本機(jī)移動應用程序,以及一(yī)些用戶帳戶供應和訪問請求管理,提供SSO。
身份管理和治理(IMG)提供了管理身份生(shēng)命周期的自(zì)動化和可重複的方法,這對于遵守身份和隐私規定是很重要的。
基于風險的認證(RBA)解決方案在用戶會(huì)話和認證的環境中進行,并形成一(yī)個(gè)風險分值。根據報(bào)告,該公司可以向高(gāo)風險用戶提供雙因子驗證,并允許低(dī)風險用戶使用單一(yī)因素認證(如用戶名和密碼)。
“IAM系統必須足夠靈活和足夠強大,以适應當今計算(suàn)環境的複雜(zá)性。一(yī)個(gè)原因是:企業(yè)的計算(suàn)環境過去基本上(shàng)是在本地運行的,而身份管理系統在用戶工(gōng)作的前提下(xià)進行了身份驗證和跟蹤。”身份和訪問管理提供商One Identity的産品管理高(gāo)級總監傑克遜肖說,“以前在該場所周圍有一(yī)個(gè)安全圍欄,今天,這個(gè)栅欄已經不在了。”
因此,今天的身份管理系統應該能(néng)夠使管理員(yuán)能(néng)夠輕松地管理各種各樣的用戶的訪問權限,包括本地的現場員(yuán)工(gōng)和國(guó)際外的承包商;混合計算(suàn)環境,包括本地計算(suàn)、軟件(jiàn)即服務(SaaS)應用程序,以及影子IT和BYOD用戶;以及包括UNIX、Windows、Macintosh、iOS、Android甚至物(wù)聯網設備的計算(suàn)架構。
最終,身份和訪問管理系統應該能(néng)夠以一(yī)種一(yī)緻的、可擴展的方式在整個(gè)企業(yè)中實現對用戶的集中管理。近年(nián)來,身份即服務(IDaaS)已經發展成為(wèi)基于訂閱的雲服務提供的第三方托管服務,為(wèi)客戶的現場和基于雲的系統提供身份管理。
為(wèi)什麽我需要IAM?
身份和訪問管理是任何企業(yè)安全計劃的關鍵部分,因為(wèi)它與當今數字化經濟中的組織的安全性和生(shēng)産力密不可分。
網絡安全風險投資公司預測,受損害的用戶憑證通(tōng)常會(huì)成為(wèi)組織網絡及其信息資産的入口點。企業(yè)使用身份管理來保護自(zì)己的信息資産,以應對勒索軟件(jiàn)、犯罪黑(hēi)客、網絡釣魚和其他惡意軟件(jiàn)攻擊的威脅。全球勒索軟件(jiàn)的損失預計今年(nián)将超過50億美元,比2016年(nián)增加15%。
在許多(duō)組織中,用戶有時擁有比必要更多(duō)的訪問權限。一(yī)個(gè)健壯的IAM系統可以通(tōng)過确保在組織中一(yī)緻地應用用戶訪問規則和策略,從(cóng)而增加一(yī)個(gè)重要的保護層。
身份和訪問管理系統可以提高(gāo)企業(yè)的生(shēng)産力。系統的中央管理能(néng)力可以降低(dī)保護用戶憑證和訪問的複雜(zá)性和成本。同時,身份管理系統使員(yuán)工(gōng)在各種環境中更有效率(同時保持安全),無論他們是在家工(gōng)作,還(hái)是在辦公室工(gōng)作或者在路(lù)上(shàng)。
IAM對法規遵循管理的意義
許多(duō)政府要求企業(yè)關注身份管理,如Sarbanes-Oxley、格萊姆-萊利-布利利和HIPAA等監管機(jī)構,要求企業(yè)負責控制對客戶和員(yuán)工(gōng)信息的訪問。身份管理系統可以幫助組織遵守這些規定。
通(tōng)用數據保護條例(GDPR)是一(yī)項最新的規定,要求嚴格的安全性和用戶訪問控制。GDPR要求各組織保護歐盟公民(mín)的個(gè)人數據和隐私。2018年(nián)5月(yuè)生(shēng)效,GDPR影響到(dào)所有在歐盟國(guó)家開(kāi)展業(yè)務的公司,或者有歐洲公民(mín)作為(wèi)客戶。
在2017年(nián)3月(yuè)1日,紐約州金融服務局(NYDFS)的新網絡安全監管規定生(shēng)效。該規定對在紐約運營的金融服務公司的安全運營提出了許多(duō)要求,包括監控授權用戶的活動和維護審計日志(zhì)——這是身份管理系統通(tōng)常所做的事(shì)情。
通(tōng)過許多(duō)方面自(zì)動化,為(wèi)企業(yè)網絡和數據提供安全的用戶訪問,身份管理系統減輕了簡單但重要的任務,并幫助他們遵守政府規定。這些都是至關重要的好處,因為(wèi)今天,每一(yī)個(gè)IT職位都是安全的,全球網絡安全人員(yuán)短缺;對不遵守相(xiàng)關規定的懲罰會(huì)使組織損失數百萬甚至數十億美元。
IAM系統的好處是什麽
實現身份和訪問管理以及相(xiàng)關的最佳實踐可以在幾個(gè)方面給您帶來顯著的競争優勢。現在,大多(duō)數企業(yè)需要向組織之外的用戶提供内部系統,例如客戶、合作夥伴、供應商、承包商開(kāi)放(fàng)您的網絡,當然,員(yuán)工(gōng)可以提高(gāo)效率和降低(dī)運營成本。
身份管理系統可以讓公司在不損害安全的前提下(xià),擴展其信息系統的訪問範圍。通(tōng)過提供更多(duō)的外部訪問,你可以推動整個(gè)組織的協作,提高(gāo)生(shēng)産力、員(yuán)工(gōng)滿意度、研究和開(kāi)發以及最終的收入。
身份管理可以減少對IT支持團隊關于密碼重置的求助電(diàn)話的數量,允許管理員(yuán)自(zì)動完成這些耗時、耗錢(qián)的任務。
身份管理系統可以成為(wèi)安全網絡的基礎,因為(wèi)管理用戶身份是訪問控制的一(yī)個(gè)重要部分。身份管理系統要求公司定義他們的訪問策略,特别是概述誰有權訪問哪些數據資源,以及在哪些條件(jiàn)下(xià)可以訪問這些資源。
因此,管理良好的身份意味著(zhe)對用戶訪問的更大控制,這意味著(zhe)内部和外部風險的降低(dī)。這一(yī)點很重要,因為(wèi)随著(zhe)外部威脅的不斷增加,内部攻擊的頻率也非常高(gāo)。根據IBM 2016年(nián)網絡安全情報(bào)索引,大約60%的數據洩露是由一(yī)個(gè)組織的員(yuán)工(gōng)造成的,其中75%是惡意的,25%是意外的。
正如前面提到(dào)的,IAM系統可以通(tōng)過提供工(gōng)具來實現全面的安全性、審計和訪問策略,從(cóng)而增強法規遵從(cóng)性。許多(duō)系統現在提供了一(yī)些特性,以确保組織的遵從(cóng)性。
IAM系統是如何工(gōng)作的?
在過去的幾年(nián)裡(lǐ),一(yī)個(gè)典型的身份管理系統包含四個(gè)基本元素:系統用來定義個(gè)人用戶的個(gè)人數據的目錄(将其視為(wèi)一(yī)個(gè)身份存儲庫);一(yī)組用于添加、修改和删除數據的工(gōng)具(與訪問生(shēng)命周期管理相(xiàng)關);一(yī)個(gè)管理用戶訪問(安全策略和訪問特權的執行)的系統;以及一(yī)個(gè)審計和報(bào)告系統(以驗證系統中正在發生(shēng)的事(shì)情)。
規範用戶訪問傳統上(shàng)涉及到(dào)驗證用戶身份的多(duō)種身份驗證方法,包括密碼、數字證書、令牌和智能(néng)卡。硬件(jiàn)令牌和信用卡大小(xiǎo)的智能(néng)卡是雙重認證的一(yī)個(gè)組成部分,它将你知道的(你的密碼)與你擁有的東西(xī)(令牌或卡片)相(xiàng)結合,以驗證你的身份。
在當今複雜(zá)的計算(suàn)環境中,随著(zhe)安全威脅的加劇,一(yī)個(gè)強大的用戶名和密碼并不能(néng)減少它。今天,身份管理系統通(tōng)常包含了生(shēng)物(wù)識别、機(jī)器(qì)學習和人工(gōng)智能(néng)以及基于風險的認證的元素。
在用戶層面,最近的用戶身份驗證方法有助于更好地保護身份。例如,iPhone的流行讓許多(duō)人熟悉使用指紋作為(wèi)認證方法,包括最新的Face ID 推動的人臉識别驗證。較新的Windows 10電(diàn)腦(nǎo)提供指紋傳感器(qì)或虹膜掃描,以進行生(shēng)物(wù)識别用戶的驗證。
轉向多(duō)因素身份驗證
Abousselham說,一(yī)些組織正在從(cóng)二因素到(dào)三因素認證,結合你知道的(你的密碼),你擁有的東西(xī)(智能(néng)手機(jī)),以及你的一(yī)些東西(xī)(面部識别,虹膜掃描或指紋傳感器(qì))。當你從(cóng)2個(gè)因素變成3個(gè)因素時,你就(jiù)能(néng)更确信你在和正确的用戶打交道。
在管理級别上(shàng),由于諸如上(shàng)下(xià)文感知的網絡訪問控制和基于風險的認證(RBA)等技(jì)術(shù),今天的身份管理系統提供了更高(gāo)級的用戶審計和報(bào)告。
Okta的産品總監Joe Diamond說:“上(shàng)下(xià)文感知的網絡訪問控制是基于策略的,它根據不同的屬性預先确定事(shì)件(jiàn)和結果。”例如,如果一(yī)個(gè)IP地址不是白(bái)名單,它可能(néng)被阻塞,或者如果沒有證書表明設備被管理,那麽上(shàng)下(xià)文感知的網絡訪問控制可能(néng)會(huì)加強身份驗證過程。
相(xiàng)比之下(xià),RBA更有活力,而且通(tōng)常是通(tōng)過某種程度的aiba來實現的。Diamond說:“你開(kāi)始将風險評分和機(jī)器(qì)學習打開(kāi)到(dào)一(yī)個(gè)認證事(shì)件(jiàn)中。”
基于風險的身份驗證可以根據當前的風險文件(jiàn)動态地将不同級别的嚴格程度應用到(dào)身份驗證過程中。風險越高(gāo),對用戶的認證過程就(jiù)越嚴格。用戶的地理位置或IP地址的改變可能(néng)會(huì)在用戶訪問公司的信息資源之前觸發額外的認證要求。
什麽是聯邦身份管理?
聯邦身份管理允許您與可信的合作夥伴共享數字ID,這是一(yī)種身份驗證機(jī)制,允許用戶使用相(xiàng)同的用戶名、密碼或其他ID來訪問多(duō)個(gè)網絡。
單點登錄(SSO)是聯邦ID管理的一(yī)個(gè)重要部分。單點登錄标準允許在一(yī)個(gè)網絡、網站或應用程序中驗證其身份的人在移動到(dào)另一(yī)個(gè)網絡時進行身份驗證。該模型隻在協作組織中工(gōng)作,即所謂的可信合作夥伴,這實際上(shàng)是為(wèi)彼此的用戶提供擔保。
IAM平台是否基于開(kāi)放(fàng)标準?
可信合作夥伴之間的授權消息通(tōng)常使用安全斷言标記語言(SAML)發送,這個(gè)開(kāi)放(fàng)規範定義了一(yī)個(gè)XML框架,用于在安全authori之間交換安全斷言。SAML實現了跨不同供應商平台的互操作性,提供了身份驗證和授權服務。
SAML并不是唯一(yī)的開(kāi)放(fàng)标準的身份協議,其他的包括OpenID、WS-Trust(Web服務信任的縮寫)和WS-Federation以及OAuth,它允許用戶的帳戶信息被第三方服務使用,比如Facebook,而不暴露密碼。
實現IAM的挑戰或風險是什麽?
成功地實現身份和訪問管理需要跨部門(mén)的預先考慮和協作。在開(kāi)始項目之前,建立一(yī)個(gè)有凝聚力的身份管理策略,具備明确的目标、利益相(xiàng)關者的購買、定義的業(yè)務流程可能(néng)是最成功的。當你擁有人力資源、IT、安全以及其他相(xiàng)關部門(mén)時,身份管理是最有效的。
通(tōng)常,身份信息可能(néng)來自(zì)多(duō)個(gè)存儲庫,比如Microsoft Active Directory(AD)或人力資源應用程序。身份管理系統必須能(néng)夠在所有這些系統中同步用戶标識信息,提供一(yī)個(gè)單一(yī)的事(shì)實來源。
由于當今IT人員(yuán)的短缺,身份和訪問管理系統必須使組織能(néng)夠在不同的情況和計算(suàn)環境中自(zì)動和實時地管理各種各樣的用戶。手動調整對成百上(shàng)千用戶的訪問權限和控制是不可行的。
例如,對于即将離職的員(yuán)工(gōng)來說,取消供應訪問權限可能(néng)會(huì)出現問題,尤其是在手動操作的情況下(xià),這通(tōng)常是一(yī)種情況。報(bào)告員(yuán)工(gōng)離開(kāi)公司,然後自(zì)動取消對他或她使用的所有應用、服務和硬件(jiàn)的訪問,需要一(yī)個(gè)自(zì)動化的、全面的身份管理解決方案。
認證也必須易于用戶執行,它必須易于部署,而且最重要的是它必須是安全的,Abousselham說,這解釋了為(wèi)什麽移動設備正在成為(wèi)用戶認證的中心,他補充說,因為(wèi)智能(néng)手機(jī)可以提供用戶當前的地理位置、IP地址和其他信息,這些信息可以用于身份驗證。
一(yī)個(gè)值得牢記的風險是:集中的操作為(wèi)黑(hēi)客和破解者提供了誘人的目标。通(tōng)過在公司的所有身份管理活動中設置一(yī)個(gè)指示闆,這些系統比管理員(yuán)更容易降低(dī)複雜(zá)性。一(yī)旦妥協,他們就(jiù)可以允許入侵者創建具有廣泛特權和訪問許多(duō)資源的id。
IAM關鍵術(shù)語
流行詞的出現和消失一(yī)直都不間斷,但在身份管理領域的一(yī)些關鍵術(shù)語是值得了解的:
訪問管理:訪問管理是指用于控制和監視網絡訪問的過程和技(jì)術(shù)。訪問管理特性,如認證、授權、信任和安全審計,是本地和基于雲系統的頂級ID管理系統的一(yī)部分。
雲訪問安全代理(CASB):CASB概念在2012年(nián)由 Gartner 提出,定義了在新的雲計算(suàn)時代,企業(yè)或用戶掌控雲上(shàng)數據安全的解決方案模型。CASB産品有兩種工(gōng)作模式:一(yī)種是Proxy模式,另一(yī)鍾是API模式。
Active Directory(AD):微軟将AD作為(wèi)Windows域網絡的用戶身份目錄服務開(kāi)發,盡管專有,AD包含在Windows服務器(qì)操作系統中,因此被廣泛部署。
生(shēng)物(wù)識别認證:一(yī)種基于用戶獨特特征的認證用戶的安全過程。生(shēng)物(wù)識别認證技(jì)術(shù)包括指紋傳感器(qì)、虹膜和視網膜掃描,以及面部識别。
上(shàng)下(xià)文感知的網絡訪問控制:上(shàng)下(xià)文感知的網絡訪問控制是一(yī)種基于策略的方法,根據用戶尋求訪問的當前上(shàng)下(xià)文授予對網絡資源的訪問。例如,試圖從(cóng)沒有白(bái)名單的IP地址進行身份驗證的用戶将被阻塞。
憑證:用戶用來訪問網絡的标識符,如用戶的密碼、公鑰基礎設施(PKI)證書或生(shēng)物(wù)特征信息(指紋、虹膜掃描)。
解除供應:從(cóng)ID存儲庫中删除标識并終止訪問特權的過程。
數字身份:ID本身,包括用戶和他/她/其訪問特權的描述(“Its”,因為(wèi)一(yī)個(gè)端點,如筆記本或智能(néng)手機(jī),可以有自(zì)己的數字身份。)
權限:指定一(yī)個(gè)經過身份驗證的安全主體的訪問權限和特權的屬性集。
身份作為(wèi)服務(IDaaS):基于雲的IDaaS為(wèi)駐留在本地和/或雲中的組織系統提供身份和訪問管理功能(néng)。
身份生(shēng)命周期管理:類似于訪問生(shēng)命周期管理,術(shù)語指的是維護和更新數字标識的整個(gè)過程和技(jì)術(shù)。身份生(shēng)命周期管理包括身份同步、供應、解除供應,以及對用戶屬性、憑證和權利的持續管理。
身份同步:确保多(duō)個(gè)身份存儲的過程,例如獲取的結果包含給定數字ID的一(yī)緻數據。
輕量級目錄訪問協議(LDAP):LDAP是開(kāi)放(fàng)的基于标準的協議,用于管理和訪問分布式目錄服務,比如Microsoft的AD。
多(duō)因素身份驗證(MFA):MFA不僅僅是一(yī)個(gè)單一(yī)的因素,如用戶名和密碼,需要認證到(dào)一(yī)個(gè)網絡或系統,至少還(hái)需要一(yī)個(gè)額外的步驟,例如接收通(tōng)過SMS發送到(dào)智能(néng)手機(jī)的代碼,插入智能(néng)卡或u盤,或者滿足一(yī)個(gè)生(shēng)物(wù)識别認證要求,比如指紋掃描。
密碼重置:在這種情況下(xià),它是一(yī)個(gè)ID管理系統的一(yī)個(gè)特性,它允許用戶重新建立自(zì)己的密碼,解除工(gōng)作的管理員(yuán),減少支持的調用。重新設置的應用程序通(tōng)常是通(tōng)過浏覽器(qì)訪問的。應用程序要求一(yī)個(gè)秘密的單詞或一(yī)組問題來驗證用戶的身份。
特權帳戶管理:這一(yī)術(shù)語指的是基于用戶的特權管理和審計帳戶和數據訪問。一(yī)般來說,由于他或她的工(gōng)作或功能(néng),特權用戶已被授予對系統的管理訪問權。
基于風險的身份驗證(RBA):基于風險的身份驗證,基于用戶當前的情況,動态地調整身份驗證需求。例如,當用戶試圖從(cóng)一(yī)個(gè)以前沒有關聯的地理位置或IP地址進行身份驗證時,這些用戶可能(néng)會(huì)面臨額外的身份驗證要求。
安全主體:具有一(yī)個(gè)或多(duō)個(gè)憑證的數字身份,可以通(tōng)過身份驗證和授權與網絡交互。
單點登錄(SSO):針對多(duō)個(gè)相(xiàng)關但獨立的系統的訪問控制類型。使用單個(gè)用戶名和密碼,用戶可以訪問系統或系統而不使用不同的憑證。
用戶行為(wèi)分析(UBA):UBA技(jì)術(shù)檢測用戶行為(wèi)的模式,并自(zì)動應用算(suàn)法和分析來檢測可能(néng)存在潛在安全威脅的重要異常,而與其他安全技(jì)術(shù)不同的是,該技(jì)術(shù)專注于追蹤設備或安全事(shì)件(jiàn)。此外,它有時還(hái)與實體行為(wèi)分析和UEBA相(xiàng)結合。
-原文作者:James A. Martin, John K. Waters. 原文取自(zì)網絡