第3章
身份管理与访问控制（IAM）

零信任的本质是以身份为基石，坚持“最小授权”原则，通过在业务系统或其他信息系统资源的访问过程中，持续地进行信任评估和动态安全访问控制，即对默认不可信的所有访问请求进行加密、认证和授权，并且汇聚关联各种数据源进行信任评估，从而根据信任的程度动态对权限进行调整，最终在访问主体和访问客体之间建立一种动态的信任关系。

零信任安全架构下，被访问资源是作为核心来保护的，因此需要针对被保护的资源架构正交的控制平面和数据平面作为保护面。资源包括一切可被操作的实体，包括终端设备、服务器、数据库、应用程序接口（Application Programming Interface，API）等。访问的身份主体包括人员、设备、应用、系统等，通过策略引擎进行动态访问控制评估，根据信任评估和鉴权结果决定是否对访问请求放行或执行附加校验。

由此可见，细粒度的身份认证和授权控制是零信任落地的关键。而现代化身份管理与访问控制（Modern IAM）正是助力企事业单位安全从粗粒度访问控制升级到多层次、细粒度动态访问控制的关键组件。可以说零信任模型需要基于Modern IAM方案构建。如果没有Modern IAM，零信任也将是无根之木、无源之水。对于大多数企事业单位来说，有效保护数据资产，防止数据泄露，做好Modern IAM建设则是基本功。

Modern IAM与传统IAM不同，如表3-1所示，Modern IAM的主体对象和客体对象更为全面，对主体的身份认证的安全性和便捷性也都有很大提升，对于访问授权更为细粒度和动态调整，对用户行为审计也更为详细且进行持续风险评估。