什么是身份治理与管理 (IGA)？

随着组织管理着跨越本地系统、云服务和软件即服务 (SaaS) 应用的成千上万个用户账户，追踪权限分配情况变得日益复杂。

每个数字身份——无论是代表用户、设备还是应用程序——都是通往关键系统和敏感数据的潜在入口。缺乏适当的治理，这个庞大的生态系统会带来重大的安全风险和合规挑战。

根据 IBM《数据泄露成本报告》，失窃或泄露的凭证是最常见的初始入侵途径，导致了 16% 的数据泄露事件。一旦黑客获取了合法凭证，他们就能在网络中自由活动，访问敏感数据和系统。

身份治理与管理解决方案有助于防范基于身份的攻击，并预防潜在的数据泄露。

IGA 工具可以自动化用户配置、实施访问策略，并在整个身份生命周期（从入职配置到离职取消配置）中进行定期的访问审查。这些功能使组织能够更好地监督用户权限和活动，从而更易于发现并阻止权限滥用和误用。

IGA 解决方案还有助于确保持续符合各种法规要求，例如《通用数据保护条例》  (GDPR)、《健康保险流通与责任法案》(HIPAA) 和《萨班斯-奥克斯利法案》(SOX)。IGA 有助于确保对敏感系统和数据的访问权限被正确分配并定期审查，同时生成审计追踪记录以支持内部和外部审计。

IGA 和身份与访问管理  (IAM) 是身份安全领域内相关但不同的框架。 IAM 处理用户如何访问数字资源的问题，而 IGA 则帮助确保人们适当地使用其访问权限。 

IAM 负责身份安全的操作层面，例如密码管理、身份验证、日常访问授权以及账户管理。IGA 通过增加治理能力扩展了 IAM，包括监督、策略执行和合规功能。

人们可以将 IAM 和 IGA 视为解决一组互补性问题：

• IAM：用户如何访问资源？他们能用这些资源做什么？

• IGA：用户是否应该拥有此访问权限？我们能否证明我们的控制措施符合合规要求？

在实践中，组织会同时实施 IAM 和 IGA 工具。例如，如果一位金融分析师调岗至市场营销部门，IAM 负责处理更改访问权限的技术操作，而 IGA 则帮助确保这些变更符合公司政策。

IGA 解决方案的出现，是为了帮助组织应对日益复杂的企业 IT 环境、不断演变的网络威胁态势以及持续发展的合规要求。

企业网络如今涵盖了本地系统、私有云和公有云服务提供商、远程工作站以及众多 SaaS 应用程序。这种复杂性使得手动身份治理几乎不可能实现，并增加了安全风险。

IGA 解决方案通过集中化可视性、连接不同系统的连接器以及核心工作流的自动化，来帮助应对复杂的 IT 环境。

许多身份治理解决方案提供统一的仪表板和管理控制台，能够实现对多样化环境的集中可视性和控制。

例如，组织经常使用 IGA 工具通过单一界面查看跨云服务、本地系统和第三方应用程序的所有用户权限。这有助于确保组织无论应用程序托管在何处，都能维持一致的访问策略。

IGA 解决方案包含连接器（预构建的接口），这些连接器将组织技术栈内的应用程序和平台连接起来，以实现统一身份治理。连接器有助于同步用户 数据、在系统之间转换访问策略，并在先前孤立的应用程序之间保持一致的控制措施。

例如，一家金融服务公司可以使用连接器将其核心银行系统、 客户关系管理  (CRM) 平台和人力资源 数据库 与中央 IGA 工具集成。 这种集成使得当员工角色发生变化时，能够轻松调整所有系统的访问权限。

IGA 解决方案利用自动化来精简身份管理工作流，消除耗时的手动流程，并减少 IT 团队必须处理的帮助台工单数量。IGA 工具通常支持：

• 自助式访问请求：使用户能够通过直观的门户请求访问敏感数据和系统。
  
  
• 自动化配置工作流：消除账户创建、权限分配和访问审查等常规工作流的手动操作。
  
  
• 角色优化：根据用户实际使用权限的情况，建议改进角色定义和默认访问权限。

如果没有 IGA 解决方案，IT 人员在新员工入职时必须在多个系统中手动创建用户帐户。IGA 工具可根据用户角色在所有所需的系统中自动实时配置帐户，从而简化这一流程。

网络攻击已经升级，威胁行为者越来越多地以身份而非网络基础设施为目标。当用户可以从任何地点、使用任何设备访问企业资源时，传统的基于边界的安全措施已不再足够。

根据 IBM X-Force Threat Intelligence Index，滥用合法账户是黑客入侵企业网络最常见的方式之一，占网络攻击的 30%。

IGA 解决方案通过强制执行最小权限原则，有助于减少攻击面并限制损害。即，用户仅拥有完成其工作职能所必需的访问权限——不多也不少。

IGA 解决方案还能通过其他方式帮助改善组织的安全状况：

• 自动化取消配置和策略执行：当用户离开组织或违反安全策略时立即移除访问权限。
  
  
• 定期访问审查：识别并撤销过度权限，例如发现开发人员在项目完成后仍拥有对生产系统的管理访问权限。
  
  
• 零信任实施：通过确保用户仅拥有其角色所需访问权限，来支持零信任架构。
  
  
• 访问风险仪表板：可视化潜在安全漏洞以改进决策，例如突出显示用户在正常工作时间外访问敏感财务数据的情况。

为进一步保护具有提升权限的高风险特权账户，组织通常将 IGA 与特权访问管理 (PAM) 工具集成，后者专门负责保护特权账户（如管理员账户）。

一些 IGA 解决方案还提供实时威胁检测和修复能力，以帮助防止合规违规和数据泄露。

GDPR、HIPAA、SOX 等合规要求规定了组织处理数据的规则。不合规的处罚可能非常严厉。例如，违反 GDPR 可能导致高达 2200 万美元或全球年收入 4% 的罚款，以较高者为准。

IGA 解决方案提供的控制和文档可帮助组织简化合规流程：

• 自动化策略执行：确保访问权限和授权符合法规要求。
  
  
• 全面审计追踪：记录所有与访问相关的活动，生成合规证据供审计使用。
  
  
• 定期访问认证：审查用户访问权限，确保其设置始终符合用户的角色和职责。
  
  
• 合规仪表板：实时展示用户账户的合规状态。

例如，一家医疗机构可以使用 IGA 工具通过基于工作职责限制对患者记录的访问，并维护详细的访问日志来执行 HIPAA 合规。

IGA 工具和实践侧重于在整个用户生命周期（从入职到离职）中管理数字身份和访问权限。

IGA 的两个主要组件包括身份生命周期管理和访问治理。

身份生命周期管理涉及在员工加入、内部调动和离开组织时创建、修改和停用用户身份。它可以确保新用户从入职第一天起就获得适当的访问权限，并在离职时及时移除权限。

如果员工角色变更，IGA 工具可以基于其更新的职责自动撤销过时的权限并分配新权限。 

关键身份生命周期管理流程包括：

• 入职：配置用户账户和初始访问权限。
  
  
• 属性变更：当用户属性（如安全许可级别、所属部门或分配项目）发生变化时，更新其访问权限。
  
  
• 离职：在用户离开组织时取消配置其访问权限。

访问治理负责监管谁有权访问哪些资源，并帮助确保访问权限随时间推移始终保持恰当。它为身份管理提供监督层，重点关注策略执行、访问审查和合规性。

主要的访问治理功能包括：

• 基于角色的访问控制 (RBAC)
• 职责分离 (SoD) 执行
• 访问认证与审查
• 权限项管理

基于角色的访问控制 (RBAC) 根据组织角色向用户分配权限，而非为每个用户单独分配权限。例如，财务角色可能授权用户进行采购，而人力资源角色则可能授权用户查看人事档案。

IGA 解决方案中的角色管理功能可帮助组织随时间推移定义、管理和维护角色。

通过 RBAC，IGA 解决方案能够管理成千上万用户的访问权限，而无需逐一分配单个权限。当员工入职、调换部门或离职时，管理员只需分配或移除标准化角色，而无需重新配置数十个独立的系统权限。

职责分离 (SoD)，也称为职责隔离，是一项安全原则，通过确保没有任何个人拥有过度访问权限来防止利益冲突。

IGA 解决方案通过识别和阻止可能导致欺诈或滥用的权限项组合来帮助执行 SoD。

例如，在采购流程中，同一个人不应既能在系统中添加新供应商，又能批准向该供应商付款。IGA 解决方案可将此配置标记为 SoD 违规，并选择完全阻止该操作或要求额外审批。

访问认证指定期审查用户的访问权限，确保其长期保持适用性。此类审查通常由管理者或资源所有者确认其团队成员是否仍需要当前的访问权限。

IGA 解决方案可通过定期自动发起审查来帮助简化访问审查流程。高风险访问权限（如访问财务系统的权限）需比低风险权限更频繁地进行审查。

一些 IGA 解决方案还能根据使用模式推荐权限变更，例如标记用户可能不再需要的未使用权限。

权限管理是访问治理中更精细化的组成部分，专注于用户在系统内拥有的具体操作权限。换言之：访问治理监管用户能访问什么，而权限管理则监管用户能对访问内容做什么。

例如，在会计系统中，权限管理负责处理精细控制，例如哪些用户可查看财务记录、哪些用户可编辑记录以及哪些用户可删除记录。

其他权限管理功能包括：

• 权限编目：维护用户权限的清单目录。
  
  
• 访问风险评估：评估特定权限（如修改客户信用额度的能力）相关的风险。
  
  
• 策略控制：在访问请求过程中强制执行安全策略，以维护最小权限原则。例如，要求主管审批才能访问敏感的财务数据。
  
  
• 访问分析：提供对访问模式的洞察，帮助组织主动应对潜在安全风险。例如，检测用户是否对关键系统拥有过多权限。

人工智能 (AI) 的进步给 IGA 带来了新的挑战与机遇。

威胁行为者正利用新型生成式 AI工具，针对 IGA 工作流和控制发起攻击。例如，攻击者利用 AI 生成深度伪造内容和极具迷惑性的钓鱼信息，诱骗合法用户交出凭证。更复杂的攻击者甚至可能使用机器学习 (ML) 工具分析权限结构，识别规避策略的机会以绕过 IGA 控制。 

与此同时，供应商正利用 AI 将其 IGA 解决方案从静态合规检查点转变为动态风险管理系统。 IGA 解决方案利用 AI 的实例包括：

• 智能权限推荐：利用 ML 工具分析用户的角色、工作职能及同组人员，在入职或转岗时自动建议合适的权限，从而改进传统的 RBAC 流程。
  
  
• AI 驱动的异常检测：通过 AI 算法建立用户行为基线模式，自动标记标准 IGA 控制可能遗漏的可疑活动。
  
  
• AI 增强的访问审查：根据权限级别、使用情况和职责分离 (SoD) 影响对权限进行评估和评分，使 IGA 系统能优先安排高风险访问进行人工审查，并对低风险决策实现自动化处理。