下载掌阅APP,畅读海量书库
立即打开
身份管理与访问控制(Identity and Access Management,IAM)是任何企业安全计划的重要一环,在数字化经济中,它与企业的信息安全和生产力密不可分。3.1节讲到当前企事业单位的应用系统中身份管理、身份认证、应用访问控制、用户访问行为审计的现状和存在的一些弊端,针对这些弊端,本节讲述身份管理与访问控制(IAM)怎么解决这些弊端。健壮的IAM系统可以贯穿用户身份管理和用户访问规则及策略的全生命周期,为整个企业信息安全加上一层重要的防护。
零信任强调基于身份的信任链条,即该身份在可信终端访问,且该身份拥有权限,才可对资源进行请求。IAM系统可以协助零信任解决身份(账号)唯一标识、身份属性、身份全生命周期管理等支持。通过IAM系统将身份信息状态(身份吊销、身份过期、身份异常等)传递给零信任系统后,零信任系统可以通过IAM系统的身份信息(如部门属性)来分配默认权限,而通过IAM系统对身份的唯一标识,可有利于零信任系统确认用户可信,通过唯一标识对用户身份建立起与终端、资源的信任关系,并在发现身份风险时实施针对关键用户相关的访问连接进行阻断等控制。
身份管理与访问控制(IAM)是一套全面的建立和维护数字身份,并提供有效、安全的IT资源访问的业务流程和管理手段,从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。IAM是一套业务处理流程,也是一个用于创建和维护与使用数字身份的支持基础结构。
通俗地讲,IAM是让合适的自然人在恰当的时间通过统一的方式访问授权的信息资产,提供集中式的数字身份管理、认证、授权、审计的模式和平台。
零信任模型需要围绕强大的身份管理与访问控制(IAM)方案构建,因此,如果没有IAM体系作为支撑,零信任就是无根之木。在允许用户进入企业网络之前建立用户身份是实现零信任模型的前提。企事业单位的安全团队应使用诸如多因素认证(Multi-Factor Authentication,MFA)、单点登录(Single Sign On,SSO)和其他核心IAM类功能来确保每个用户使用安全的设备、访问适当的文件类型、建立安全会话(Session)。
IAM的核心功能主要包括统一身份管理、统一身份认证、统一访问授权、统一行为审计、多因素认证(MFA)、动态访问控制、风险识别。后续章节会对IAM的核心功能逐一进行详细介绍,本节不做过多讲解。
IAM负责用户身份管理、权限管理、安全认证、单点登录、行为审计等业务,与应用系统进行账号同步、单点登录、双因素认证集成,并与外部数据源、第三方应用系统、基础认证能力等资源进行集成。IAM的使用群体包括普通用户、超级管理员、应用管理员。IAM系统总体架构如图3-2所示。
图3-2 IAM系统总体架构
IAM产品体系纵向分为应用层、服务层、功能层、数据层;横向包括统一门户、移动认证App、管理中心、统一账号、统一认证、应用与授权、单点登录、统一审计、应用网关、认证插件。常见的统一认证协议有:中央认证服务(Central Authentication Service,CAS)协议、安全断言标记语言(Security Assertion Markup Language,SAML)协议、开放授权(Open Authorization,OAuth)协议、OpenID协议等。IAM系统功能架构如图3-3所示。
图3-3 IAM系统功能架构
身份管理与访问控制(IAM)是任何企业信息安全计划的重要一环,因为在数字化时代,身份安全无处不在。IAM是数字化转型的必要条件,是组织信息化的顶层设计及信息化管理的重要支撑部分,数字化转型需要一个更加灵活、易用、高扩展性的信息化平台载体,IAM有效地将人员、组织、流程、数据等信息资产纳入数字共享生态系统,高效打通信息孤岛、提高效率、加强安全、降低成本、满足法规政策要求。
在当今数字化时代浪潮下,企业数字化转型覆盖了社会的各行各业,政府、金融、制造、教育、建筑、互联网、电力、房地产、交通运输等各个行业,即凡是涉及数字化办公、拥有数字化身份管理和访问控制的企业都需要用到IAM系统进行有效的安全管控、提升效率。
从企业数字化系统安全访问角度来看,用户凭证往往是进入企业网络及其信息资产的入口点。企业运用身份管理来守护信息资产,使其不受日渐增多的勒索软件、犯罪黑客活动、网络钓鱼和其他恶意软件攻击的影响。很多企业里,用户身份仿冒现象较普遍,身份认证因素的单一和低安全性,使得用户身份很容易被假冒,系统被暴力破解和撞库,进而导致企业数据泄露、企业形象受损并遭受经济损失。另外,用户有时候会拥有超出工作所需的访问权限。而健壮的IAM系统可以贯彻用户访问规则和策略,为企业资源加上一层重要的防护。在当今数字化时代,企业除了网络安全、物理安全,还要确保访问主体的安全和应用系统资源的安全。IAM系统是融合多类信息安全技术对企业数据进行保护。
从企业自身对用户身份的管理效率上来讲,IAM系统可以增强业务生产力。IAM系统的中央管理能力能够减少守护用户凭证与访问权限的复杂性和成本。同时,身份管理系统也能提升员工在各种环境的生产力(保证安全的情况下),无论他们是在家办公还是在公司里上班,或者是在外地出差。近些年,数据泄露问题日益严峻,数据保护条例也更加完善,于是很多企事业单位意识到要把不同的组织、数据、流程整合到一起,避免信息孤岛,同时管理好员工、供应商、C端消费者用户等人员的权限,IAM系统很好地解决了各类用户身份的治理和权限控制的问题。例如,对于新入职员工的账号授权,离职员工的账号回收,临时员工、供应商、外协人员及C端消费者用户的账户全生命周期便捷管理和访问权限的中央集权的控制,都属于IAM的范畴。IAM还可以帮助组织把不同时期建设的系统快速打通,不同形态的应用(公有云SaaS应用、私有云应用)打通,避免系统孤岛的出现,避免部分系统无法统一纳管,出现应用系统安全管理的薄弱环节。
身份管理与访问控制(IAM)平台已成为企事业单位信息安全项目的重要组成部分。它帮助企事业单位管理数字身份和用户对企事业单位的系统、网络和关键平台的基于角色的访问控制。企事业单位在部署IAM平台时,可根据自身的情况选择IAM的产品形态和部署模式。
IAM系统有3种产品形态可以选择:Software-delivered IAM、IDaaS(Identity as a Service)、CIAM(Customer IAM)。Software-delivered IAM通过本地私有化部署的方式部署IAM服务,用于对本企事业单位内部员工身份管理和访问控制,以及本单位网络和系统的所有相关人员的身份管理和访问控制。身份即服务(Identity as a Service,IDaaS)是由第三方服务商构建、运行在云上的身份管理与验证平台。IDaaS 向订阅的企业、开发者提供基于云端的用户身份验证、访问管理服务,可靠的身份即服务(IDaaS)平台可以解决云系统相关的身份挑战。CIAM是指专门针对C端用户的IAM产品体系,旨在解决用户体验不佳的问题,并以更个性化的方式将品牌与其消费者联系起来,相比IAM注重高度的安全性,CIAM必须始终平衡用户体验和安全性。
每个IAM产品形态的部署也都是独特的,Software-delivered IAM形态需要现场私有化部署;IDaaS形态一般采用云端部署模式,主要是公有云模式,也可以是私有云方式;CIAM可以采用公有云、私有云部署,也可以采用混合环境部署。每种部署模式都有其自身的挑战,但也有相应的最佳实践可以解决这些挑战。
1.现场私有化部署IAM
现场部署模式下,大多数IAM解决方案的实施都要求占用大量基础设施和平台。只有本单位使用和运维,即单租户模式。此种模式更关注自身单位对系统的强管控和自我运维,系统部署在私有化环境下,在网络边界处部署防火墙、防病毒网关、入侵防御系统(Intrusion Prevention System,IPS)/入侵检测系统(Intrusion Detection System,IDS)、防DDoS攻击等设备,保证私有化环境资源的安全。
但私有化部署模式也未必是安全人员的首要考虑,且现场解决方案往往需要大量专业人员来运营。现场部署系统和解决方案,硬件扩充、容量规划与管理,以及数据库管理,都是特别重要的工作。如果企事业单位在这方面人手充足、准备充分,那么现场部署就是个不错的选择。否则,私有化部署并不是最佳方法。解决现场部署难题的最佳方法是,投入时间精力全面收集公司需求,并由下至上地创建一套周密严谨的方法,该方法考虑到公司所有利益相关者、当前及未来的集成、用例及功能,其中应包含数据中心容量规划,以及对业务的地理分布及性能方面的深入理解。
2.云端部署IAM
云端部署IAM,即IAM服务上云的模式,也就是常说的IDaaS。采用订阅云服务的方式,就可以将容量规划、硬件、核心功能开发等事务交给云服务提供商,将公司人员解脱出来,去处理实现和终端用户体验等问题。还能让管理层专注于单位整体战略中最有价值的专业技能和知识产权的核心领域,将复杂的IAM服务交给外部专家。
如采用基于云IAM服务的方案,采用SaaS访问控制系统需要现场协调符合现状的安全身份验证方式及授权标准。企事业单位还需清楚如何配置与集成现场系统和云IAM系统。
采用云模式,必须要清楚自己在做什么,以及为什么这么做。单纯采纳云优先策略,需先具备相应的云端模式风险的应对方案。应对云端IAM模式挑战最重要的方法是构建与IAM需求、预算、人力资源要求、技术及人力限制,以及IAM架构协调一致的云策略,并确保企事业单位正确设计并实现了安全及合规控制,如访问控制、日志记录和监视。现场部署中的所有控制目标都可以在云部署中达成,但往往需要一套不同的方法和工具。另一个挑战是跨多个独立公司的身份管理。这有可能导致一家企业中存在多重用户身份,造成安全和管理上的复杂化。企事业单位必须能根据期望衡量结果,并愿意基于自身的目标来选择合适的建设模式。IAM云策略必须符合单位的IAM目标,并能在企业文化的约束下存活。
3.混合模式
混合模式是想要数字化转型的企事业单位经常会采取的第一步。相比完全私有化,混合模式对资金和资源的要求都没那么高,混合部署能帮助企事业单位弥合现场私有化部署和云端部署之间的差距,既保留现场私有化部署情况下企事业单位安全部门的业务熟练度,又提供云环境的可扩展性和其他功能。
混合模式管理成本和技术复杂度会相对高一些,还会要求有全面的架构以无缝工作。想要获得混合部署的成功,就需要有全面细致的设计和对选择混合模式想要达到的目标的深入理解,知道每个区域有哪些工具和接口,以及为什么要这么布置。确保公司的运营过程和操作手册考虑到该部署模式下增加的故障处理及维护复杂度,是混合模式运营成功的关键。在面对大规模用户和高性能服务要求的CIAM产品形态时,混合模式是最佳的部署模式,不仅仅出于运营目的,也是帮助提供服务的厂商为自身的用户提供更好的用户体验和安全性兼顾的服务的最佳选择。