了解为什么身份和访问管理 (IAM) 是您的安全计划的关键部分,通过 IAM 控制企业网络访问来帮助保护数据。
发布日期:2024 年 1 月 22 日
撰稿人:Matthew Kosinski,Amber Forrest
一般企业网络既有真人用户(员工、客户、承包商),也有非真人用户(机器人、物联网和终端设备、自动化工作负载)。随着远程办公和云计算的兴起,这些用户越来越分散,他们需要访问的资源也越来越分散。
组织可能难以跟踪所有这些用户对分散在本地、远程和云端的应用程序和资产的使用情况。缺乏控制会带来严重风险。黑客可能入侵网络而不被发现。恶意内部人员可能滥用其访问权限。即使是意图良好的用户,也可能无意中违反数据保护法规。
IAM 计划可以帮助简化访问控制,既保护资产,又不影响对这些资产的合法使用。身份和访问管理系统为每个用户分配一个独特的数字身份,并根据用户的角色、合规需求和其他因素量身定制权限。通过这种方式,IAM 确保只有授权用户才能以正当的理由访问正确的资源,同时阻止未经授权的访问和活动。
IAM 旨在阻止黑客入侵,同时允许授权用户轻松执行他们需要执行的所有操作,但又不会越权操作。不同的 IAM 方案采用不同的工具和策略来实现这一目标,但它们都倾向于遵循相同的基本结构。
典型的 IAM 系统具有用户数据库或用户目录。该数据库包含有关每个用户的身份以及他们可以在计算机系统中执行哪些操作的详细信息。当用户在系统中操作时,IAM 使用数据库中的信息来验证其身份,监控其活动,确保他们仅执行数据库允许其执行的操作。
为了更深入地了解 IAM 的工作原理,我们可以从其四大核心组成部分入手:身份生命周期管理、访问控制、身份验证和授权以及身份治理。
身份生命周期管理是为系统中的每个真人用户和非真人用户创建和维护数字用户身份的过程。
为了监控用户活动并应用量身定制的权限,组织需要区分每个用户。IAM 通过为每个用户分配一个数字身份来做到这一点。数字身份是一系列可区分属性的集合,它告诉系统每个用户是谁或是什么。身份通常包括用户姓名、登录凭据、ID 号码、职位和访问权限等特征。
数字身份通常存储在中央数据库或目录中,作为可信信息源。IAM 系统使用该数据库中的信息来验证用户,并确定用户可以做什么和不能做什么。
在某些 IAM 计划中,IT 或网络安全团队手动处理用户的添加、身份信息的更新以及离职用户的权限撤销。有些 IAM 工具支持自助服务方式。用户提供信息后,系统会自动创建其身份并设置适当的访问级别。
独特的数字身份不仅可以帮助组织追踪用户,还让公司能够设置和实施更细粒度的访问策略。IAM 允许公司为不同身份授予不同的系统权限,而不是赋予每个授权用户相同的权限。
如今,许多 IAM 系统使用基于角色的访问控制 (RBAC)。在 RBAC 中,每个用户的权限基于其工作职能和责任级别来分配。RBAC 有助于简化用户权限的设置过程和降低授予用户过高权限的风险。
假设一家公司正在为网络防火墙设置权限。销售代表很可能根本没有访问权限,因为他们的工作不需要此权限。初级安全分析师可能可以查看防火墙配置,但无法更改配置。首席信息安全官 (CISO) 将拥有完全的管理访问权限。如果某个 API 将公司的 SIEM 与防火墙集成,则它可能能够读取防火墙的活动日志,但看不到其他任何内容。
为了提高安全性,IAM 系统还可以对用户访问权限应用最小权限原则。最小权限原则通常与零信任网络安全策略相关联,规定用户只能拥有完成任务所需的最低权限,并且应在任务完成后立即撤消权限。
为了遵循最小权限原则,许多 IAM 系统采用独特的方法和技术来实现特权访问管理 (PAM)。PAM 是一种网络安全措施,负责保护系统管理员等拥有极高权限用户的帐户安全,并控制他们对系统的访问。
相比其他 IAM 角色,特权帐户受到更谨慎的对待,因为黑客若窃取这些凭据,将可以为所欲为。PAM 工具使用凭据库和即时访问协议将特权身份与其他身份隔离开来,以提供额外的安全性。
有关每个用户访问权限的信息,通常作为每个用户数字身份的一部分存储在 IAM 系统的中央数据库中。IAM 系统利用这些信息确保每个用户只能访问其有权访问的资源。
身份验证和授权是 IAM 系统在实践中应用定制访问控制策略的方式。
身份验证是确定用户(无论是否真人)身份是否真实的过程。当用户登录系统或请求访问资源时,用户会提交凭据来证明自己的身份。例如,真人用户可能会输入密码,而非真人用户可能会提交数字证书。IAM 系统对照中央数据库检查这些凭据。如果匹配,则允许访问。
用户名和密码组合是最基本的身份验证形式,但这种方式的安全性也是最差的。由于这个原因,当今大多数 IAM 实施方案都使用更高级的身份验证方法。
多因素身份验证 (MFA) 要求用户提供两个或更多身份验证因素来证明其身份。常见因素包括:发送到用户手机的安全代码、物理安全密钥或指纹扫描等生物特征。
单点登录 (SSO) 允许用户使用一组登录凭据访问多个应用程序和服务。SSO 门户会验证用户身份,并生成证书或令牌,作为其他资源的安全密钥。SSO 系统使用安全断言标记语言 (SAML) 等开放协议在不同服务提供商之间自由共享密钥。
自适应身份验证也称为基于风险的身份验证,它使用 AI 和机器学习来分析用户行为,并随着风险级别的变化实时更改身份验证要求。基于风险的身份验证方案对较高风险活动要求更严格的身份验证,因此黑客或内部威胁更难以获取关键资产。
用户从常用设备和位置登录时,可能只需要输入密码,因为这种常规情况风险很小。同一用户从不受信任的设备登录或尝试查看特别敏感的信息时,可能需要提供更多因素,因为用户现在从事的行为有更高风险。
用户通过身份验证后,IAM 系统会检查与其在数据库中的数字身份相关联的权限。IAM 系统授权用户只能访问其权限所允许的资源和执行其权限所允许的任务。
身份治理是跟踪用户如何使用访问权限的过程。IAM 系统会监控用户,确保他们不会滥用权限,并拦截可能潜入网络的黑客。
身份治理对于确保遵守法规非常重要。公司通常会制定访问策略,以符合《通用数据保护条例》(GDPR) 或《支付卡行业数据安全标准》(PCI-DSS) 等安全要求。IAM 系统通过跟踪用户活动,帮助公司确保其策略按预期发挥作用。IAM 系统还能生成审计跟踪,帮助公司证明合规性,或在必要时查明违规行为。
许多关键的 IAM 工作流程,例如对用户进行身份验证和跟踪其活动,很难或根本不可能手动完成。因此,很多组织依靠技术工具来实现 IAM 流程的自动化。
过去,组织采用“头痛医头、脚痛医脚”的方式来管理 IAM 的不同部分。例如,一个解决方案用于处理用户身份验证,另一个解决方案用于实施访问策略,第三个解决方案用于审核用户活动。
如今,IAM 解决方案通常是综合平台,可以完成所有工作,或者将多种工具集成为一个统一的整体。尽管 IAM 平台存在很多差异,但它们通常都具备一些相同的核心功能,例如:
- 集中式目录或与 Microsoft Active Directory 和 Google Workspace 等外部目录服务集成。
- 通过自动化工作流程创建、更新和删除数字身份。
- 能够创建一个全网络适用、与产品无关的身份结构,使组织能够通过一个单一的中央目录管理所有应用程序和资产(包括传统应用程序)的身份和访问。
- 内置身份验证选项,例如 MFA、SSO 和自适应身份验证。
- 访问控制功能,允许公司定义细粒度的访问策略,并将其应用于各级用户,包括特权帐户。
- 跟踪功能,可监控用户、标记可疑活动并确保合规。
- 客户身份和访问管理 (CIAM) 功能,可将身份生命周期管理、身份验证和授权措施扩展到客户、合作伙伴和组织外部其他用户的数字门户。
有些 IAM 解决方案是针对特定生态系统构建的。例如,Amazon Web Services (AWS) IAM 和 Google Cloud IAM 平台控制对各自云中托管的资源的访问。
有些 IAM 解决方案(如 Microsoft、IBM、Oracle 和其他公司提供的解决方案)适用于企业网络中的所有资源,无论它们托管在何处。这些 IAM 解决方案可以充当各种服务的身份提供商,利用 SAML 和 OpenID Connect (OIDC) 等开放标准在应用程序之间交换用户身份验证信息。
身份和访问管理解决方案越来越多地从本地迁移出去,转而采用软件即服务 (SaaS) 模式。这些基于云的 IAM 解决方案被称为“身份即服务”(IDaaS) 或“身份验证即服务”(AaaS),具备本地部署工具可能缺乏的一些功能。
IDaaS 工具在复杂的企业网络中非常有用。在这些网络中,分布式用户从各种设备(Windows、Mac、Linux 和移动设备)登录,以访问位于站点上以及私有云和公有云中的资源。本地部署的 IAM 工具在管理大量分布于不同地点的用户和资源时可能显得力不从心,但 IDaaS 通常能更好地应对这种复杂局面。
IDaaS 还能帮助组织将 IAM 服务扩展到承包商、客户和其他非员工角色。这有助于简化 IAM 实施,因为公司不需要为不同的用户使用不同的系统。
IDaaS 工具还允许公司将 IAM 中的一些比较耗时和耗费资源的任务外包出去,例如创建新用户帐户、验证访问请求和身份治理等。
IAM 计划可以帮助解决多个领域的问题,包括网络安全、业务运营等。
当今的企业普遍采用远程办公和混合办公模式,一般企业网络也日益多元化,既有传统的本地部署系统,也有新兴的云端应用程序和服务。IAM 解决方案可以简化这些复杂环境中的访问控制。
SSO 和自适应访问等功能让用户可以轻松便捷地完成身份验证,同时保护重要资产的安全。组织可以通过单一的中央 IAM 解决方案管理所有系统的数字身份和访问控制策略。全面的 IAM 系统不是为不同资产部署不同的身份工具,而是为整个 IT 环境创建单一可信信息源、管理和实施方案。
IAM 系统,尤其是支持 SSO 的系统,允许用户使用单一身份访问多个服务,而不是为每个服务创建不同的帐户。这大大减少了 IT 团队需要管理的用户帐户数量。自带身份 (BYOI) 解决方案的发展让用户可以管理自己的身份并在系统之间进行移植,这也有助于简化 IT 管理。
IAM 系统可以采用 RBAC 方法,根据角色和职责自动设置用户权限,从而简化分配用户权限的过程。IAM 工具可以为 IT 和安全团队提供单一平台来为所有用户定义和实施访问策略。
GDPR、PCI-DSS 和 SOX 等标准要求制定严格的政策,规定谁可以访问数据以及出于什么目的进行访问。IAM 系统允许公司设置和实施符合这些标准的形式化访问控制策略。公司还可以跟踪用户活动,以在审计时证明合规性。
根据 IBM 的《数据泄露成本报告》,凭据盗窃是数据泄露的主要原因之一。黑客经常攻击那些权限过大的帐户。这些帐户的保护程度通常弱于管理员帐户,但黑客可以通过它们访问系统的大量内容。
IAM 可以通过添加额外的身份验证层来帮助阻止基于凭据的攻击,让黑客无法仅仅通过密码来访问敏感数据。即使黑客进入系统,IAM 系统也能帮助防止水平运动。用户只拥有其所需的权限,没有更多权限。合法用户可以按需访问他们需要的所有资源,而恶意行为者和内部威胁会受到限制。
IBM Security Verify 系列提供基于云的自动化本地部署功能,用于管理身份治理、管理员工队伍和消费者的身份与访问,以及控制特权帐户。
凭借身份和安全专家的技能、策略和支持,让您的员工队伍和消费者 IAM 计划迈向成功。
特权访问管理工具,用于在不同端点和混合多云环境中发现、控制、管理和保护特权帐户。
利用生命周期、合规和分析功能,在本地和云端提供、审计并报告用户访问与活动。
轻松将现代身份验证扩展到旧版应用程序并改善安全状况,同时打造一致的用户体验。