什么是身份和访问管理 (IAM)？

随着云计算、远程办公和生成式 AI 的兴起，IAM 已成为网络安全的核心组成部分。

如今，典型的企业网络承载着日益增长的用户群体，包括人类用户（员工、客户、承包商）和非人类用户（AI 智能体、物联网及终端设备、自动化工作负载）。这些用户分布在不同地点，需要安全地访问本地及云端的应用程序和资源。

黑客已注意到这个不断扩大的身份攻击面。IBM X-Force Threat Intelligence Index 报告显示，30% 的网络攻击涉及窃取并滥用有效账户。

身份与访问管理有助于为授权用户提供安全访问，同时阻止外部攻击者、恶意内部人员、甚至善意但滥用访问权限的用户进行未授权访问。IAM 工具使组织能够创建并安全销毁数字身份、设置并执行访问控制策略、验证用户身份以及监控用户活动。 

IAM 的目标是在允许授权用户轻松执行其所需操作的同时，阻止黑客入侵，并确保用户操作不越权。

为实现此目标，IAM 实施包含四大支柱：

• 行政管理
• 身份验证
• 授权
• 审计

身份管理（也称为“身份管理”或“身份生命周期管理”）指在系统中创建、维护和安全销毁用户身份的过程。

为实现安全的用户访问，组织首先需明确系统内的用户与实体身份。这通常涉及为每位人类用户和非人类用户分配唯一的数字身份。

数字身份是与特定实体相关联的一组独特属性的集合。数字身份包含诸如用户名、登录凭证、职位和访问权限等特征。

数字身份通常存储在中央数据库或目录中，作为单一可信信息源。IAM 系统利用此数据库中的信息验证用户身份并确定其权限范围。

除新用户入例外，IAM 工具还可在用户角色变更时更新身份和权限，并在用户离开系统时取消配置其访问权限。

IT 和网络安全团队可手动处理用户权限分配与取消配置，但许多 IAM 系统也支持自助服务模式。用户提交信息后，系统根据组织预定义规则自动创建身份并设置相应访问级别。 

认证是验证用户真实身份的过程。

当用户登录系统或请求访问资源时，需提交凭证（称为“认证因素”）以证明身份。例如，人类用户可能输入密码或提供生物特征指纹扫描，而非人类用户则可能共享数字证书。IAM 系统将这些凭证与中央数据库进行比对。若匹配，则授予访问权限。

密码是最基础的认证形式，也是最薄弱的环节之一。当今大多数 IAM 实施采用更先进的认证方法，例如双因素认证 (2FA) 或多因素认证 (MFA)，要求用户提供多个认证因素以验证身份。

例如，当网站要求用户输入密码和发送到他们手机的代码时，这就是 2FA 方案。

授权是向已验证用户授予资源相应访问级别的过程。

认证与授权紧密关联，认证通常是授权的前提条件。用户证明身份后，IAM 系统会检查中央数据库中与该身份关联的权限，并据此对用户进行授权。

总的来说，认证与授权共同构成了身份与访问管理中的访问管理组件。

为了设置用户访问权限，不同组织设置用户访问权限的方式各异。一种常见的访问控制框架是基于角色的访问控制 (RBAC)，其用户的权限基于其工作职能设定。RBAC 有助于简化用户权限设置流程，并降低授予用户超出所需权限的风险。

例如，系统管理员正在为网络防火墙设置权限。销售代表可能完全无权访问，因为该用户角色无需此权限。初级安全分析师或许能查看防火墙配置，但无权更改。首席信息安全官 (CISO) 则拥有完全管理权限。集成安全信息与事件管理 (SIEM) 系统的 应用程序编程接口 (API) 可能有权读取防火墙活动日志。

大多数访问控制框架依据最小权限原则设计。最小权限原则常与零信任网络安全策略相关联，其核心是用户应仅拥有完成任务所需的最低权限。任务完成后应立即撤销其（相关）权限。

审计旨在确保 IAM 系统及其组件（包括身份管理、认证和授权）正常运行。

审计需要跟踪并记录用户如何行使其访问权限，以确保任何人（包括黑客）都无法访问其无权访问的内容，同时防止授权用户滥用权限。

审计是一项核心的身份治理职能，对于确保遵守法规非常重要。《通用数据保护条例》(GDPR)、《萨班斯-奥克斯利法案》(SOX)及《支付卡行业数据安全标准》(PCI DSS) 等安全法规要求组织必须以特定方式限制用户访问权限。审计工具及流程帮助组织确保其 IAM 系统满足要求，而审计跟踪记录可根据需要协助证明合规性或精确定位违规行为。

组织依赖技术工具来简化和自动化关键 IAM 工作流，例如用户身份认证及其活动跟踪。一些组织采用独立解决方案覆盖 IAM 的不同方面，而另一些组织则使用综合性 IAM 平台，该平台可处理所有功能或将多种工具集成于统一整体。

身份与访问管理解决方案的核心组件及功能包括：

目录服务是 IAM 系统存储和管理用户身份、凭证及访问权限数据的存储库。IAM 解决方案可拥有其自身的集中式目录，也可与外部目录服务（如 Microsoft Active Directory 和 Google Workspace）集成。

部分 IAM 实施采用“身份联合认证”方式，使不同系统间能共享身份信息。其中一个系统充当身份提供者，利用安全断言标记语言 (SAML) 和 OpenID Connect (OIDC) 等开放标准，安全地验证用户身份以访问其他系统。

社交登录（即允许用户使用其 Facebook、Google 或其他账户登录应用）是身份联合认证的常见实例。

除 MFA 与 2FA 之外，许多 IAM 解决方案还提供高级验证功能——包括单点登录 (SSO)、自适应验证和无密码验证。

单点登录 (SSO) 允许用户凭一组登录凭证访问多个应用程序和服务。SSO 门户对用户进行身份认证，并生成充当其他资源安全密钥的证书或令牌。SSO 系统使用 SAML 和 OIDC 等协议在服务提供商之间共享密钥。

自适应认证 （也称为基于风险的认证）会随风险等级变化实时调整认证要求。自适应认证方案利用人工智能 (AI) 和机器学习 (ML) 分析登录上下文，包括用户行为、设备安全状态和登录时间等因素。登录风险越高，系统要求的认证强度越大。

例如，用户若从常用设备和位置登录，可能只需输入密码。但同一用户若从未受信任设备登录或尝试查看高度敏感信息，则可能需要提供更多认证因素，因为此时情况对组织构成的风险更高。

无密码认证方案采用更安全的凭证替代易窃取的密码。基于主流 FIDO 标准的通行密钥是最常见的无密码认证形式之一。它们利用 公钥加密技术 来验证用户身份。

访问控制工具使组织能够为人类和非人类用户定义并执行细粒度的访问策略。除 RBAC 外，常见的访问控制框架还包括：

• 强制访问控制 (MAC)：基于安全许可级别或信任评分，对所有用户强制执行集中定义的策略。
  
  
• 自主访问控制 (DAC)：允许资源所有者为其资源设置自己的访问控制规则。 
  
  
• 基于属性的访问控制 (ABAC)：通过分析用户属性、对象属性和操作属性（例如用户名、资源类型和当前时间）来决定是否授予访问权限。

特权访问管理 (PAM) 工具负责监管高权限用户账户（如系统管理员）的账户安全和访问控制。特权账户因其是恶意攻击者可用于造成严重损害的高价值目标而受到特殊保护。PAM 工具将特权身份与其他身份隔离，并采用凭证保险库和即时访问协议以增强安全性。

凭证管理工具允许用户将密码、通行密钥及其他凭证安全地存储在中央位置。凭证管理工具可降低员工遗忘凭证的风险。它们还能鼓励用户为使用的每项服务设置不同密码，从而提升安全卫生水平。

机密管理工具保护非人类用户（如应用程序、服务器和工作负载）的凭证，包括证书、密钥、密码和令牌。机密管理解决方案通常将机密存储在安全的中央保险库中。当授权用户需要访问敏感系统时，可从保险库获取相应的机密。 

身份治理工具帮助组织审计用户活动并确保法规遵从性。

身份治理工具的核心功能包括：审计用户权限以修正不当访问级别、记录用户活动、执行安全策略以及标记违规行为。

身份威胁检测与响应 (ITDR) 工具可自动发现并修复基于身份的威胁和安全风险，例如 权限提升 和账户配置错误。ITDR 工具相对较新，尚未在所有 IAM 实施中标准化，但正日益成为企业身份安全策略的常见组成部分。

客户身份与访问管理 (CIAM) 负责管理组织外部的客户及其他用户的数字身份。CIAM 的核心功能包括：收集客户档案数据、验证用户身份以及为访问数字服务（如电子商务网站）提供安全便利。

基于云的身份与访问管理解决方案（也称为“身份即服务” (IDaaS) 工具）采用软件即服务 (SaaS) 模式实现 IAM。

IDaaS 工具在复杂网络中非常有用，此类网络中分布的用户从 Windows、Mac、Linux 及移动设备登录，访问位于本地、私有云和公有云中的资源。这些网络易出现碎片化和可见性缺失问题，但云 IAM 解决方案可扩展以适应单一身份系统中的不同用户、应用程序和资产。

IDaaS 工具还允许组织将实施 IAM 系统中某些更耗时耗力的环节（例如设置目录和记录用户活动）进行外包。 

随着组织采用多云环境、人工智能、自动化和远程办公，它们需要为更多类型的用户提供跨更多地域访问更多类型资源的安全通道。IAM 解决方案既能提升去中心化网络中的用户体验，又能增强网络安全，在简化访问管理的同时抵御常见网络威胁。

数字化转型已成为当今企业的常态，这意味着集中化、完全本地的 IT 网络在很大程度上已成为过去。聚焦网络边界的解决方案和策略无法有效保护那些跨越本地与外部设备、云服务、网络应用程序以及遍布全球的人类与非人类用户团队的混合网络。

因此，组织正将身份安全确立为其网络安全战略的核心支柱。相较于关注网络边界，保护个体用户及其活动（无论发生在何处）可能更为有效。

同时，组织必须确保用户拥有按需访问权限以完成工作，而不会因过度繁琐的安全措施受阻。

IAM 系统为 IT 和安全团队提供了集中式途径，用于为组织内每位用户定义和执行定制化、合规的访问策略。

IAM 工具还能安全地验证用户身份，并协助跟踪实体如何使用其权限——这些能力对于防御基于身份的网络攻击至关重要，而此类攻击正是当今许多网络犯罪分子的首选手段。 

根据 IBM 的《数据泄露成本报告》，凭据失窃是数据泄露的主要原因，占攻击事件的 16%。这类基于凭据的攻击（黑客利用合法用户账户访问敏感数据）平均造成 481 万美元损失，且需要 292 天才能检测并遏制。

IAM 工具能显著增加黑客实施此类攻击的难度。例如，MFA 要求网络犯罪分子仅凭密码无法得逞。即使攻击者成功接管了某个账户，横向移动也会受到限制，因为用户仅拥有完成工作所需的最低权限，不会更多。ITDR 工具更易发现并阻止授权用户账户上的可疑活动。 

根据《数据泄露成本报告》，IAM 技术是降低泄露成本的关键因素，平均能减少攻击成本 189,838 美元。

身份结构是一种全面的身份架构，它将网络中的所有身份系统整合为一个统一的整体。那些能够连接分散应用程序并覆盖所有核心 IAM 功能的整体 IAM 解决方案，是构建此类身份结构的重要工具。

随着各组织寻求应对因使用众多具有不同身份系统的应用程序而带来的挑战，身份结构正变得越来越受欢迎。一份报告显示， 平均每个团队会使用 73 种不同的 SaaS 应用程序。当这些应用程序拥有各自独立的身份系统时，这种碎片化既会造成管理难题，也会带来安全漏洞。

为解决这些问题，各组织正在投资身份编排工具，这些工具有助于不同的身份系统相互通信。

能够处理所有 IAM 关键方面（身份管理、访问管理、治理、审计、特权访问管理 (PAM) 和客户身份和访问管理 (CIAM)）的综合性 IAM 解决方案，有助于促进这种编排。其目标是创建一个覆盖整个网络的身份结构，使组织能够在单一平台上管理所有应用程序、用户和资产的身份信息与访问权限。

这种集成方法除了能简化 IAM 之外，还能提升安全性。根据 X-Force Threat Intelligence Index，整合身份解决方案是遏制身份信息泛滥并防御基于身份的攻击的最有效方法之一。

传统的、基于规则的 AI 长期以来一直是 IAM 运作的一部分，用于自动化身份验证和审计追踪等工作流。然而，生成式 AI 的出现既带来了新的挑战，也创造了新的机遇。

由大型语言模型 (LLM) 驱动的新应用以及自主AI代理的出现，意味着生成式 AI 将显著增加企业网络中非人类身份的数量。在典型企业中，这些身份的数量已是人类身份的 10 倍。¹ 这一比例可能很快会变得更大。  

这些非人类身份常常是攻击者的目标，因为它们通常拥有相对较高的访问权限且凭证保护薄弱。

不过，IAM 工具可以降低网络犯罪分子接管 AI 账户的风险。常见的特权访问管理技术和工具，例如凭证自动轮换和安全凭证保管库，能够增加黑客窃取凭证的难度。

AI 在 IAM 领域也有积极的应用场景。根据 IBM 商业价值研究院的报告，许多组织已在使用 AI 来帮助管理用户验证和授权 (62%) 以及控制风险、合规性和安全性 (57%)。生成式 AI 工具可以提升这些应用。

例如，一些 IAM 工具正在推出由 LLM 驱动的聊天机器人，使安全团队能够使用自然语言分析安全数据集、创建新策略并为用户建议量身定制的访问级别。