什么是身份管理�����?關于IAM定義���、使用和解決方案
發(fā)布時間:
2018.06.28 | 來源:
帕拉迪
在企業(yè)中����,身份和訪問管理或者IAM���,是用于定義和管理單個網絡用戶的角色和訪問特權�,以及用戶被授予(或拒絕)這些特權的環(huán)境�。IAM系統的核心目標是每個人的一個身份。一旦建立了數字身份,就必須對每個用戶的“訪問生命周期”進行維護����、修改和監(jiān)控。
因此�,身份管理的首要目標是在適當的環(huán)境中,向正確的用戶授予正確的企業(yè)資產�����,從用戶的系統入職到許可授權��,再到需要的時候及時隔離該用戶企業(yè)身份和訪問管理提供商Okta的高級副總裁兼首席安全官Yassir Abousselham這樣解釋道�����。
IAM系統為管理員提供了工具和技術來改變用戶的角色����,跟蹤用戶活動,創(chuàng)建關于這些活動的報告���,并在持續(xù)的基礎上實施策略���。
這些系統的設計目的是提供一種管理整個企業(yè)用戶訪問的方法,并確保遵守公司政策和政府法規(guī)����。
IAM產品和服務的用途
身份和管理技術包括(但不限于)密碼管理工具、供應軟件����、安全策略執(zhí)行應用程序、報告和監(jiān)視應用程序和身份存儲庫����。身份管理系統可用于內部系統,如微軟SharePoint�����,以及基于云的系統�,如Microsoft Office 365。
Forrester Research 在其《Tech Tide: Identity and Access Management, Q4 2017》的報告中�,確定了6個低成熟度的IAM技術,但目前的商業(yè)價值很高�����。
API安全性�����,使IAM可用于B2B商務,與云集成以及基于微服務的IAM架構�。Forrester認為,在移動應用程序或用戶管理的訪問之間��,API安全解決方案被用于單點登錄(SSO)��。這將允許安全團隊管理物聯網設備授權和個人識別數據�����。
客戶身份和訪問管理(CIAM)�,允許對用戶進行全面的管理和認證,自助式和檔案管理以及與CRM�,ERP和其他客戶管理系統和數據庫的集成。
身份分析(IA)將允許安全團隊使用規(guī)則����、機器學習和其他統計算法來檢測和阻止危險的身份行為。
身份驗證安全服務(IDaaS)包括軟件即服務(SaaS)解決方案�����,從門戶網站到web應用程序和本機移動應用程序����,以及一些用戶帳戶供應和訪問請求管理����,提供SSO�����。
身份管理和治理(IMG)提供了管理身份生命周期的自動化和可重復的方法���,這對于遵守身份和隱私規(guī)定是很重要的。
基于風險的認證(RBA)解決方案在用戶會話和認證的環(huán)境中進行���,并形成一個風險分值�����。根據報告�����,該公司可以向高風險用戶提供雙因子驗證�����,并允許低風險用戶使用單一因素認證(如用戶名和密碼)�����。
“IAM系統必須足夠靈活和足夠強大����,以適應當今計算環(huán)境的復雜性。一個原因是:企業(yè)的計算環(huán)境過去基本上是在本地運行的�,而身份管理系統在用戶工作的前提下進行了身份驗證和跟蹤?�!鄙矸莺驮L問管理提供商One Identity的產品管理高級總監(jiān)杰克遜肖說����,“以前在該場所周圍有一個安全圍欄,今天����,這個柵欄已經不在了?���!?/span>
因此,今天的身份管理系統應該能夠使管理員能夠輕松地管理各種各樣的用戶的訪問權限��,包括本地的現場員工和國際外的承包商;混合計算環(huán)境�����,包括本地計算�、軟件即服務(SaaS)應用程序���,以及影子IT和BYOD用戶���;以及包括UNIX、Windows���、Macintosh��、iOS�、Android甚至物聯網設備的計算架構�����。
最終�����,身份和訪問管理系統應該能夠以一種一致的、可擴展的方式在整個企業(yè)中實現對用戶的集中管理���。近年來�����,身份即服務(IDaaS)已經發(fā)展成為基于訂閱的云服務提供的第三方托管服務��,為客戶的現場和基于云的系統提供身份管理�。
為什么我需要IAM�?
身份和訪問管理是任何企業(yè)安全計劃的關鍵部分,因為它與當今數字化經濟中的組織的安全性和生產力密不可分�����。
網絡安全風險投資公司預測����,受損害的用戶憑證通常會成為組織網絡及其信息資產的入口點。企業(yè)使用身份管理來保護自己的信息資產���,以應對勒索軟件���、犯罪黑客�、網絡釣魚和其他惡意軟件攻擊的威脅�。全球勒索軟件的損失預計今年將超過50億美元,比2016年增加15%��。
在許多組織中��,用戶有時擁有比必要更多的訪問權限��。一個健壯的IAM系統可以通過確保在組織中一致地應用用戶訪問規(guī)則和策略�����,從而增加一個重要的保護層�����。
身份和訪問管理系統可以提高企業(yè)的生產力���。系統的中央管理能力可以降低保護用戶憑證和訪問的復雜性和成本。同時���,身份管理系統使員工在各種環(huán)境中更有效率(同時保持安全)����,無論他們是在家工作,還是在辦公室工作或者在路上���。
IAM對法規(guī)遵循管理的意義
許多政府要求企業(yè)關注身份管理����,如Sarbanes-Oxley���、格萊姆-萊利-布利利和HIPAA等監(jiān)管機構�,要求企業(yè)負責控制對客戶和員工信息的訪問����。身份管理系統可以幫助組織遵守這些規(guī)定。
通用數據保護條例(GDPR)是一項最新的規(guī)定�,要求嚴格的安全性和用戶訪問控制。GDPR要求各組織保護歐盟公民的個人數據和隱私���。2018年5月生效�����,GDPR影響到所有在歐盟國家開展業(yè)務的公司����,或者有歐洲公民作為客戶。
在2017年3月1日�����,紐約州金融服務局(NYDFS)的新網絡安全監(jiān)管規(guī)定生效��。該規(guī)定對在紐約運營的金融服務公司的安全運營提出了許多要求��,包括監(jiān)控授權用戶的活動和維護審計日志——這是身份管理系統通常所做的事情���。
通過許多方面自動化��,為企業(yè)網絡和數據提供安全的用戶訪問���,身份管理系統減輕了簡單但重要的任務�����,并幫助他們遵守政府規(guī)定�����。這些都是至關重要的好處,因為今天�����,每一個IT職位都是安全的�,全球網絡安全人員短缺;對不遵守相關規(guī)定的懲罰會使組織損失數百萬甚至數十億美元�。
IAM系統的好處是什么
實現身份和訪問管理以及相關的最佳實踐可以在幾個方面給您帶來顯著的競爭優(yōu)勢。現在�,大多數企業(yè)需要向組織之外的用戶提供內部系統,例如客戶�����、合作伙伴����、供應商、承包商開放您的網絡�,當然,員工可以提高效率和降低運營成本�。
身份管理系統可以讓公司在不損害安全的前提下,擴展其信息系統的訪問范圍���。通過提供更多的外部訪問���,你可以推動整個組織的協作�����,提高生產力�����、員工滿意度���、研究和開發(fā)以及最終的收入。
身份管理可以減少對IT支持團隊關于密碼重置的求助電話的數量��,允許管理員自動完成這些耗時�、耗錢的任務。
身份管理系統可以成為安全網絡的基礎����,因為管理用戶身份是訪問控制的一個重要部分。身份管理系統要求公司定義他們的訪問策略���,特別是概述誰有權訪問哪些數據資源,以及在哪些條件下可以訪問這些資源����。
因此�����,管理良好的身份意味著對用戶訪問的更大控制�����,這意味著內部和外部風險的降低�����。這一點很重要����,因為隨著外部威脅的不斷增加�����,內部攻擊的頻率也非常高����。根據IBM 2016年網絡安全情報索引,大約60%的數據泄露是由一個組織的員工造成的��,其中75%是惡意的,25%是意外的����。
正如前面提到的,IAM系統可以通過提供工具來實現全面的安全性�、審計和訪問策略,從而增強法規(guī)遵從性����。許多系統現在提供了一些特性,以確保組織的遵從性�。
IAM系統是如何工作的?
在過去的幾年里��,一個典型的身份管理系統包含四個基本元素:系統用來定義個人用戶的個人數據的目錄(將其視為一個身份存儲庫)�����;一組用于添加��、修改和刪除數據的工具(與訪問生命周期管理相關)�;一個管理用戶訪問(安全策略和訪問特權的執(zhí)行)的系統;以及一個審計和報告系統(以驗證系統中正在發(fā)生的事情)����。
規(guī)范用戶訪問傳統上涉及到驗證用戶身份的多種身份驗證方法,包括密碼����、數字證書、令牌和智能卡�。硬件令牌和信用卡大小的智能卡是雙重認證的一個組成部分,它將你知道的(你的密碼)與你擁有的東西(令牌或卡片)相結合�����,以驗證你的身份�����。
在當今復雜的計算環(huán)境中�,隨著安全威脅的加劇,一個強大的用戶名和密碼并不能減少它����。今天,身份管理系統通常包含了生物識別��、機器學習和人工智能以及基于風險的認證的元素���。
在用戶層面��,最近的用戶身份驗證方法有助于更好地保護身份����。例如,iPhone的流行讓許多人熟悉使用指紋作為認證方法��,包括最新的Face ID 推動的人臉識別驗證�。較新的Windows 10電腦提供指紋傳感器或虹膜掃描,以進行生物識別用戶的驗證��。
轉向多因素身份驗證
Abousselham說�����,一些組織正在從二因素到三因素認證�����,結合你知道的(你的密碼)����,你擁有的東西(智能手機),以及你的一些東西(面部識別�,虹膜掃描或指紋傳感器)。當你從2個因素變成3個因素時,你就能更確信你在和正確的用戶打交道����。
在管理級別上,由于諸如上下文感知的網絡訪問控制和基于風險的認證(RBA)等技術�����,今天的身份管理系統提供了更高級的用戶審計和報告�����。
Okta的產品總監(jiān)Joe Diamond說:“上下文感知的網絡訪問控制是基于策略的��,它根據不同的屬性預先確定事件和結果����。”例如���,如果一個IP地址不是白名單�����,它可能被阻塞��,或者如果沒有證書表明設備被管理����,那么上下文感知的網絡訪問控制可能會加強身份驗證過程。
相比之下���,RBA更有活力����,而且通常是通過某種程度的aiba來實現的����。Diamond說:“你開始將風險評分和機器學習打開到一個認證事件中?!?/span>
基于風險的身份驗證可以根據當前的風險文件動態(tài)地將不同級別的嚴格程度應用到身份驗證過程中。風險越高�,對用戶的認證過程就越嚴格。用戶的地理位置或IP地址的改變可能會在用戶訪問公司的信息資源之前觸發(fā)額外的認證要求�。
什么是聯邦身份管理?
聯邦身份管理允許您與可信的合作伙伴共享數字ID�,這是一種身份驗證機制,允許用戶使用相同的用戶名�����、密碼或其他ID來訪問多個網絡。
單點登錄(SSO)是聯邦ID管理的一個重要部分���。單點登錄標準允許在一個網絡����、網站或應用程序中驗證其身份的人在移動到另一個網絡時進行身份驗證���。該模型只在協作組織中工作,即所謂的可信合作伙伴���,這實際上是為彼此的用戶提供擔保��。
IAM平臺是否基于開放標準�����?
可信合作伙伴之間的授權消息通常使用安全斷言標記語言(SAML)發(fā)送��,這個開放規(guī)范定義了一個XML框架����,用于在安全authori之間交換安全斷言����。SAML實現了跨不同供應商平臺的互操作性�,提供了身份驗證和授權服務����。
SAML并不是唯一的開放標準的身份協議,其他的包括OpenID�、WS-Trust(Web服務信任的縮寫)和WS-Federation以及OAuth,它允許用戶的帳戶信息被第三方服務使用�,比如Facebook,而不暴露密碼���。
實現IAM的挑戰(zhàn)或風險是什么�?
成功地實現身份和訪問管理需要跨部門的預先考慮和協作��。在開始項目之前����,建立一個有凝聚力的身份管理策略,具備明確的目標����、利益相關者的購買、定義的業(yè)務流程可能是最成功的����。當你擁有人力資源��、IT����、安全以及其他相關部門時��,身份管理是最有效的�����。
通常�,身份信息可能來自多個存儲庫����,比如Microsoft Active Directory(AD)或人力資源應用程序。身份管理系統必須能夠在所有這些系統中同步用戶標識信息����,提供一個單一的事實來源。
由于當今IT人員的短缺��,身份和訪問管理系統必須使組織能夠在不同的情況和計算環(huán)境中自動和實時地管理各種各樣的用戶���。手動調整對成百上千用戶的訪問權限和控制是不可行的�����。
例如�����,對于即將離職的員工來說���,取消供應訪問權限可能會出現問題�,尤其是在手動操作的情況下��,這通常是一種情況����。報告員工離開公司,然后自動取消對他或她使用的所有應用��、服務和硬件的訪問���,需要一個自動化的��、全面的身份管理解決方案���。
認證也必須易于用戶執(zhí)行�����,它必須易于部署���,而且最重要的是它必須是安全的,Abousselham說���,這解釋了為什么移動設備正在成為用戶認證的中心��,他補充說����,因為智能手機可以提供用戶當前的地理位置�����、IP地址和其他信息��,這些信息可以用于身份驗證����。
一個值得牢記的風險是:集中的操作為黑客和破解者提供了誘人的目標。通過在公司的所有身份管理活動中設置一個指示板���,這些系統比管理員更容易降低復雜性���。一旦妥協,他們就可以允許入侵者創(chuàng)建具有廣泛特權和訪問許多資源的id�����。
IAM關鍵術語
流行詞的出現和消失一直都不間斷�����,但在身份管理領域的一些關鍵術語是值得了解的:
訪問管理:訪問管理是指用于控制和監(jiān)視網絡訪問的過程和技術�。訪問管理特性,如認證�����、授權��、信任和安全審計��,是本地和基于云系統的頂級ID管理系統的一部分�����。
云訪問安全代理(CASB):CASB概念在2012年由 Gartner 提出,定義了在新的云計算時代�����,企業(yè)或用戶掌控云上數據安全的解決方案模型�。CASB產品有兩種工作模式:一種是Proxy模式,另一鐘是API模式���。
Active Directory(AD):微軟將AD作為Windows域網絡的用戶身份目錄服務開發(fā)����,盡管專有�����,AD包含在Windows服務器操作系統中�,因此被廣泛部署。
生物識別認證:一種基于用戶獨特特征的認證用戶的安全過程�����。生物識別認證技術包括指紋傳感器�����、虹膜和視網膜掃描�,以及面部識別。
上下文感知的網絡訪問控制:上下文感知的網絡訪問控制是一種基于策略的方法����,根據用戶尋求訪問的當前上下文授予對網絡資源的訪問。例如��,試圖從沒有白名單的IP地址進行身份驗證的用戶將被阻塞�����。
憑證:用戶用來訪問網絡的標識符��,如用戶的密碼����、公鑰基礎設施(PKI)證書或生物特征信息(指紋、虹膜掃描)�。
解除供應:從ID存儲庫中刪除標識并終止訪問特權的過程。
數字身份:ID本身����,包括用戶和他/她/其訪問特權的描述(“Its”�����,因為一個端點��,如筆記本或智能手機�,可以有自己的數字身份���。)
權限:指定一個經過身份驗證的安全主體的訪問權限和特權的屬性集�����。
身份作為服務(IDaaS):基于云的IDaaS為駐留在本地和/或云中的組織系統提供身份和訪問管理功能����。
身份生命周期管理:類似于訪問生命周期管理��,術語指的是維護和更新數字標識的整個過程和技術。身份生命周期管理包括身份同步、供應��、解除供應,以及對用戶屬性����、憑證和權利的持續(xù)管理。
身份同步:確保多個身份存儲的過程��,例如獲取的結果包含給定數字ID的一致數據�。
輕量級目錄訪問協議(LDAP):LDAP是開放的基于標準的協議,用于管理和訪問分布式目錄服務�����,比如Microsoft的AD����。
多因素身份驗證(MFA):MFA不僅僅是一個單一的因素,如用戶名和密碼�,需要認證到一個網絡或系統,至少還需要一個額外的步驟����,例如接收通過SMS發(fā)送到智能手機的代碼,插入智能卡或u盤��,或者滿足一個生物識別認證要求�,比如指紋掃描。
密碼重置:在這種情況下�,它是一個ID管理系統的一個特性���,它允許用戶重新建立自己的密碼,解除工作的管理員����,減少支持的調用。重新設置的應用程序通常是通過瀏覽器訪問的����。應用程序要求一個秘密的單詞或一組問題來驗證用戶的身份。
特權帳戶管理:這一術語指的是基于用戶的特權管理和審計帳戶和數據訪問��。一般來說���,由于他或她的工作或功能���,特權用戶已被授予對系統的管理訪問權。
基于風險的身份驗證(RBA):基于風險的身份驗證����,基于用戶當前的情況,動態(tài)地調整身份驗證需求���。例如�����,當用戶試圖從一個以前沒有關聯的地理位置或IP地址進行身份驗證時����,這些用戶可能會面臨額外的身份驗證要求����。
安全主體:具有一個或多個憑證的數字身份,可以通過身份驗證和授權與網絡交互����。
單點登錄(SSO):針對多個相關但獨立的系統的訪問控制類型。使用單個用戶名和密碼�,用戶可以訪問系統或系統而不使用不同的憑證。
用戶行為分析(UBA):UBA技術檢測用戶行為的模式����,并自動應用算法和分析來檢測可能存在潛在安全威脅的重要異常,而與其他安全技術不同的是��,該技術專注于追蹤設備或安全事件�。此外,它有時還與實體行為分析和UEBA相結合����。
-原文作者:James A. Martin, John K. Waters. 原文取自網絡