企业 IT 中的 IAM 基本上就是定义和管理个人网络用户的角色和访问权限,以及规定用户获得授权(或被拒绝授权)的条件。IAM 系统的核心目标是为每个用户赋予一个身份。该数字身份一经建立,在用户的整个“访问生命周期”存续期间都应受到良好的维护、调整与监视。
因此,身份管理的首要目标就是:从用户登录系统到权限授予到登出系统的整个过程中,根据需要在恰当的条件下及时赋予正确的用户对企业内适当资产的访问权。
IAM 系统为管理员提供了修改用户角色、跟踪用户活动、创建用户活动报告和贯彻管理策略的工具及技术。这些系统的出现就是为了能够管理整个企业内的用户访问,并确保用户活动符合企业规章制度与政府监管规定。
IAM 产品和服务能做什么?
身份与管理技术包括(但不局限于)口令管理工具、配置软件、安全策略实施应用程序、报告及监视 App 和身份存储。身份管理系统既可以在企业内部署,比如微软 SharePoint,也有云端系统,比如微软的 Office 365。
佛瑞斯特研究所的 《科技浪潮:身份与访问管理,2017 第四季度》 报告中,有 6 种 IAM 技术被认为具备发展潜力,目前虽然成熟度低,但具备很高的商业价值。
1. API 安全
驱动 IAM 应用于 B2B 商业模式,促成 IAM 与云的融合,并催生出基于微服务的 IAM 架构。佛瑞斯特研究所看到 API 安全解决方案用于移动应用或用户托管访问之间的单点登录(SSO)。这将使安全团队得以管理 IoT 设备授权和个人可识别数据。
2. 客户身份与访问管理(CIAM)
可对用户进行全面的管理与身份验证,可施行自服务与资料管理,还能与 CRM、ERP 和其他客户管理系统及数据库集成。
3. 身份分析(IA)
能够让安全团队运用规则、机器学习和其他统计算法来检测并阻止危险身份行为。
4. 身份即服务(IDaaS)
包含提供 SSO 的软件即服务 (SaaS) 解决方案,可从一个门户即登录 Web 应用和原生移动应用,还能提供一定程度的用户账户资料和访问请求管理。
5. 身份管理与治理
提供可重复的自动化方式来监管身份生命周期。在身份及隐私合规方面非常重要。
6. 基于风险的身份验证(RBA)
解决方案在给出风险评级时会将用户会话和身份验证上下文考虑在内。于是公司就可要求高风险用户进行双因子身份验证 (2FA) 而允许低风险用户仅以单因子凭证验证身份(比如用户名 + 口令)。
今天这种复杂的计算环境下,IAM 系统必须足够灵活和健壮。原因之一:企业计算环境曾经很大程度上都只在企业内部部署,身份管理系统仅在用户来公司上班时对其进行身份验证和跟踪。曾经,有一道安全围墙阻隔着企业外面的各种风险,而现在,随着移动办公和云的兴起,围墙消失了。
因此,今天的身份管理系统应能让管理员方便地管理各类用户的访问权限,包括在公司上班的员工和世界各地的承包商;融合了内部计算、SaaS 应用和影子 IT 及 BYOD 用户的混合计算环境;混合了 UNIX、Windows、Macintosh、iOS、安卓甚至 IoT 设备的计算架构。
最终,身份与访问管理系统应能以持续和可扩展的方式对整个企业的用户进行集中式管理。
最近几年,IDaaS 作为第三方托管服务通过云以订阅的方式提供逐渐发展起来,同时满足了客户的现场与云端两类系统的身份管理需求。
为什么需要 IAM?
身份与访问管理是任何企业安全计划的重要一环,因为在今天的数字化经济中,它与企业的安全和生产力密不可分。
被盗用户凭证往往是进入企业网络及其信息资产的入口点。企业运用身份管理来守护信息资产,使其不受日渐增多的勒索软件、犯罪黑客活动、网络钓鱼和其他恶意软件攻击的影响。Cybersecurity Ventures 曾预测,今年全球勒索软件所致损失将超 50 亿美元,比 2016 年上升 15%。
很多企业里,用户有时候会拥有超出工作所需的访问权限。而健壮的 IAM 系统可以贯彻用户访问规则和策略,为整个企业加上一层重要的防护。
身份与访问管理系统可以增强业务生产力。此类系统的中央管理能力能够减少守护用户凭证与访问权限的复杂性和成本。同时,身份管理系统也能提升员工在各种环境的生产力(保证安全的情况下),无论他们是在家办公还是在公司里上班,或者是在外地出差。
IAM 对合规管理的意义何在?
很多政府都要求企业关注身份管理。关于上市公司财务审计的《萨班斯 - 奥克斯利法案》、金融服务现代化法案 (Gramm-Leach-Bliley),还有美国健康保险流通与责任法案(HIPAA) 等立法,规定了公司企业需对客户及雇员信息的访问控制负责。身份管理系统能帮助企业符合这些规定。
《通用数据保护条例》(GDPR)是更近一些的法规,对安全和用户访问控制要求得更加严格了。GDPR 将于今年 5 月生效,强制企业保护欧盟公民的个人数据和隐私,影响到每一家在欧盟做生意或客户中有欧盟公民的公司。
2017 年 3 月 1 日,纽约州金融服务署 (NYDFS) 的新网络安全规定开始生效。在纽约州营业的金融服务公司都要遵守这些规定中提出的安全运营要求,包括监视授权用户的活动和维护审计日志——都是身份管理系统的典型职能。
用户对企业网络及数据的安全访问有很多方面都可经由身份管理系统加以自动化,这样就可将 IT 部门从重要但单调繁琐的工作中解脱出来,还能帮助公司符合政府的各项规定。鉴于现如今每个 IT 岗位同时也是安全岗位,加之网络安全人才持续紧缺,而且对不合规的处罚堪称天文数字,IAM 系统所起到的作用就非常关键了。
使用 IAM 系统的好处有哪些?
实现身份与访问管理及相关最佳实践,能在很多方面给公司带来巨大的竞争优势。如今,大多数公司都需要给外部用户以公司内部系统的访问权。将网络开放给客户、合作伙伴、供应商、承包商和雇员,可以提升运营效率并降低运营成本。
身份管理系统可在不伤及安全的情况下,将对公司信息系统的访问扩展至一系列内部应用、移动 App 和 SaaS 工具上。而提供更好的外部访问体验,能驱动整个公司的协作,增加生产力,提升雇员满意度,促进研究与开发,并最终推升盈利。
身份管理还可减轻 IT 支持团队处理密码重置之类琐碎事务的工作量。管理员可以利用身份管理系统自动化这些耗时耗力的繁琐事儿。
身份管理系统可谓安全网络的基石,因为管理用户身份是访问控制中的基础。身份管理系统基本上就是要求公司定义出自身访问策略,尤其是规定好谁对哪些数据资源有访问权,以及在何种条件下才可以访问。
因此,管理良好的身份意味着更好的用户访问控制,也就是内部和外部数据泄露风险的降低。这很重要,因为随着外部威胁的上升,内部攻击也日趋频繁了。IBM 的《2016 网络安全情报索引》中指出,大约 60% 的数据泄露是内部员工导致。当然,75% 是恶意的,25% 是无意的。
正如上文提及的,IAM 系统通过提供实现全面安全、审计与访问策略的工具,可以加强监管合规。很多系统如今都提供确保企业合规的各种功能。
IAM 系统运作机制是什么?
过去几年,典型的身份管理系统由 4 个基本部分组成:
- 系统用以定义个人用户的个人数据目录(可将之想象为一个身份仓库);
- 用来添加、修改和删除该数据的工具(与访问生命周期管理相关);
- 监管用户访问的系统(实施安全策略和分配访问权限);
- 还有 审计与报告系统(为核验公司系统中发生的事件)。
监管用户访问通常涉及一系列的身份验证方法,包括口令、数字证书、令牌和智能卡。硬件令牌和信用卡大小的智能卡是双因子身份验证 (2FA) 所需两个部分的其中一个,需要结合上你所知道的 (比如口令) 才能够验证你的身份。智能卡里埋有集成电路芯片,该芯片要么是安全微控制器,要么是存有相关信息内部存储器一类的东西。软件令牌出现于 2005 年,可存在于有存储能力的任何设备上,从 U 盘到手机都可加载。
强用户名和口令已经不足以应付今天这么复杂的计算环境和越来越多的安全威胁。现如今,身份管理系统往往引入了生物特征识别、机器学习与人工智能以及基于风险的身份验证等技术。
在用户端,最近的用户身份验证方法可以更好地保护身份。比如说,iPhone Touch-ID 的流行就让很多人都习惯了用自己的指纹来验证身份。据说今年晚些时候推出的下一代 iPhone 还会摒弃指纹扫描,而采用虹膜扫描或人脸识别技术来验证用户身份。
迈向多因子身份验证
有些公司企业开始从双因子身份验证迈向多因子身份验证,验证过程需要融合你知道的(比如你的口令)、你拥有的(比如智能手机)以及你本身(人脸识别、虹膜扫描或指纹传感)。从双因子到多因子,就又多了一层保障,可以更加确定面对的是正确的用户。
在管理端,得益于上下文感知网络访问控制和 基于风险的身份验证 (RBA) 之类技术,今天的身份管理系统可以提供更先进的用户审计和报告功能。
上下文感知网络访问控制是基于策略的一种技术。该技术基于各种属性预先确定事件及其后果。比如说,如果某 IP 地址不在白名单当中,就可能会被封锁。或者,若某设备没有证书证明是受监管的,上下文感知网络访问控制就会上马其身份验证过程。
相比之下,RBA 则更加灵活,往往加入了一定程度的人工智能。应用 RBA,意味着你开始在身份验证中启用风险评分和机器学习。
基于风险的身份验证会根据当前风险情况对验证过程动态应用不同等级的严格度。风险越高,用户身份验证过程就越严格。用户地理位置或 IP 地址的改变会触发额外的身份验证要求,只有通过这些验证要求,用户才可以访问公司的信息资源。
联合身份管理是什么?
联合身份管理可使公司企业与可信合作伙伴共享数字 ID。这是一种身份验证共享机制,用户可利用同一套用户名 / 口令或其他 ID 来访问多个网络。
单点登录 (SSO) 是联合 ID 管理的重要组成部分。SSO 标准可使在某一网络 / 网站 /App 通过了身份验证的用户将此经验证的状态沿用至其他网络 / 网站 /App。该模型仅限于在有合作关系的企业间应用,也就是在可信合作伙伴间应用——相互都能担保其用户可信度的企业间。
IAM 平台是基于开放标准的吗?
可信合作伙伴间的身份验证消息往往用安全断言标记语言 (SAML) 发送。该开放规范为安全机构间交换安全断言定义了一个 XML 框架。SAML 实现了不同身份验证与授权服务提供商之间的跨平台互操作。
不过,开放标准身份协议不止 SAML 一个。其他还有 OpenID、WS-Trust(Web 服务信任)和 WS-Federation(有来自微软和 IBM 的企业支持),以及无需暴露口令即可供 Facebook 之类第三方服务使用用户账户信息的 OAuth 协议。
实现 IAM 的挑战或风险有哪些?
想要成功实现 IAM,公司需要深谋远虑,各部门间也需通力合作。若能在 IAM 项目启动之前先制定好统一的身份管理策略——目标明确、利益相关者支持、业务过程定义明晰,这样的公司就最有可能成功。而身份管理只有在人力资源、IT、安全和其他部门都参与进来的情况下才能取得最好的效果。
身份信息往往从多个渠道涌来,比如微软活动目录 (AD) 或人力资源应用。身份管理系统必须能够同步所有系统中的用户身份信息,提供可靠的单一数据源。
鉴于当今 IT 人才短缺的情况,身份与访问管理系统需保障企业能够管理多个不同场景和计算环境下的大量用户,而且是实时的自动化管理。手动调整成千上万用户的访问权限和控制措施是不现实的。
比如说,离职员工的访问权限撤销工作就有可能因疏忽而忘了做,尤其是在人工手动处理的情况下,而人工撤销还是大多数企业的常态。报告员工的离职情况并随后自动撤销该员工对所有 App、访问和硬件的访问权限,需要全面的自动化身份管理解决方案。
身份验证过程必须即让用户易于执行,又令 IT 部门方便部署,而且最重要的是,一定要安全。智能手机因能提供用户的当前地理位置、IP 地址和可用于身份验证的其他信息,而成为了用户身份验证的“中心”。
需谨记的一个风险是:集中式操作为黑客和破解者提供了诱人的目标。IAM 系统用一个仪表盘就能总览并操作整个公司的身份管理活动,方便了公司管理员的同时,也给黑客和破解者大开了方便之门。一旦这些系统被攻破,入侵者便能创建高权限的 ID,访问公司各类资源。
有哪些 IAM 术语是应该了解的?
热词变化不定,但身份管理领域中一些关键术语还是值得了解一下的:
- 访问管理
指用于控制和监视网络访问的过程及技术。访问管理功能,比如身份验证、授权、信任和安全审计,是企业内部及云端系统顶级 ID 管理系统不可缺少的重要部分。
- 活动目录(AD)
微软为 Windows 域网络设计开发的用户身份目录服务。虽然是专利产品,AD 却随 Windows Server 操作系统发售,因而应用部署广泛。
- 生物特征识别身份验证
依靠用户独特的生物特征来验证用户身份的安全过程。生物特征识别身份验证技术包括指纹传感器、虹膜和视网膜扫描,还有人脸识别。
- 上下文感知网络访问控制
一种基于策略的授权方法,根据索要访问权限的用户的当前上下文来授予网络资源访问权。比如说,某用户试图通过身份验证,但其 IP 地址却没在白名单之内,那该用户就不能获得授权。
- 凭证
用户用以获取网络访问权的标识,比如用户的口令、公钥基础设施 (PKI) 证书,或者生物特征信息(指纹、虹膜扫描等)。
- 撤销
将某身份从 ID 存储中移除并终止其访问权限的过程。
- 数字身份
ID 本身,包括对用户及其访问权限的描述。(笔记本电脑或手机之类的终端也可拥有自己的数字身份。)
- 权益
指征已验证安全主体所具备的访问权限的一系列属性。
- 身份即服务(IDaaS)
基于云的 IDaaS 为位于企业内部及云端的系统提供身份及访问管理功能。
- 身份生命周期管理
与访问生命周期管理类似,该术语指的是维护和更新数字身份的一整套过程和技术。身份生命周期管理包括身份同步、配置、撤销和对用户属性、凭证及权益的持续管理。
- 身份同步
确保给定数字 ID 的多个身份存储保持一致的过程,比如公司并购时涉及到的多家公司身份存储中放置一致的身份数据。
- 轻量级目录访问协议(LDAP)
用于管理和访问分布式目录服务(比如微软 AD)的开放标准协议。
- 多因子身份验证(MFA)
网络或系统的身份验证中要求不止一个因子 (比如用户名和口令) 的情况。验证过程中至少还有额外的一步,比如用手机接收通过短信发送的验证码、插入智能卡或 U 盘、满足生物特征识别验证要求(指纹扫描等)。
- 口令重置
本文语境中,口令重置指的是 ID 管理系统允许用户重新设置自身口令的功能。该功能可将管理员从繁琐的口令重置工作中解脱出来,还能减少客户服务接到的求助电话。用户通常可通过浏览器访问重置应用,提交相应的密语或回答一系列问题即可验证用户身份。
- 特权账户管理
基于用户权限对账户和数据访问进行管理与审计。一般来讲,特权用户因其工作或功能需求而往往被赋予管理员权限。比如说,特权用户可能拥有添加或删除用户账户和角色的权限。
- 配置
创建身份,定义其访问权限,并将其添加到 ID 存储中的过程。
- 基于风险的身份验证(RBA)
在用户尝试身份验证时根据用户情况动态调整验证要求的身份验证方法。比如说,如果用户尝试从之前未关联过的地理位置或 IP 地址发起身份验证,可能就会面临额外的验证要求。
- 安全主体
具备 1 个或多个可被验证或授权的凭证以访问网络的数字身份。
- 单点登录(SSO)
对相关但独立的多个系统实施的一种访问控制。单点登录模式下,用户仅凭同一套用户名和口令就可访问 1 个或多个系统,无需多个不同凭证。
- 用户行为分析(UBA)
UBA 技术检查用户行为模式,并自动应用算法和分析以检测可能昭示潜在安全威胁的重要异常。UBA 区别于专注跟踪设备或安全事件的其他安全技术,有时候也会与实体行为分析归到一类,被称为 UEBA。
IAM 供应商
身份与访问管理供应商市场竞争激烈,既有 Okta 和 OneLogin 这样的纯 IAM 提供商,也有 IBM、微软和 Oracle 之类什么都做的大厂商。2017 年 6 月,Garter 推出了一份全球访问管理魔力象限图。以下就是据此得出的 IAM 主流提供商:
Atos (Evidan) CA Technologies Centrify Covisint ForgeRock IBM 安全身份与访问保障 I-Spring Innovations Micro Focus 微软 Azure 活动目录 Okta OneLogin Optimal idM Oracle 身份云服务 Ping SecureAuth
原文链接:https://www.aqniu.com/learn/3… 作者:nana 星期一, 一月 29, 2018
相关阅读
- Authing 是什么以及为什么需要 Authing
- 我们为什么坚持做 ToB 的慢生意
- Authing 知识库
什么是 Authing?
Authing 提供专业的身份认证和授权服务。
我们为开发者和企业提供用以保证应用程序安全所需的认证模块,这让开发人员无需成为安全专家。
你可以将任意平台的应用接入到 Authing(无论是新开发的应用还是老应用都可以),同时你还可以自定义应用程序的登录方式(如:邮箱 / 密码、短信 / 验证码、扫码登录等)。
你可以根据你使用的技术,来选择我们的 SDK 或调用相关 API 来接入你的应用。当用户发起授权请求时,Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。
<div align=center>Authing 在应用交互中的位置 </div>
- 官网:http://authing.cn
- 小登录:https://wxapp.authing.cn/#/
-
仓库: 欢迎 Star,欢迎 PR
- https://gitee.com/Authi_ng
- https://github.com/authing
-
Demo:
- https://sample.authing.cn
- https://github.com/Authing/qr…
- 文档:https://docs.authing.cn/authing/
欢迎关注 Authing 技术专栏