身份和访问管理(简称 IAM)是一种安全规程,它使正确的实体(人或事物)能够在需要时使用正确的资源(应用程序或数据),而不受干扰地使用他们想要使用的设备。 IAM 由允许 IT 管理员为每个实体分配单一数字身份、在登录时对其进行身份验证、授权他们访问指定资源以及在其整个生命周期中监控和管理这些身份的系统和流程组成。
IAM 不再仅适用于员工。 组织必须能够为承包商和业务合作伙伴、远程和移动用户以及客户提供安全访问。 随着数字化转型,身份也被分配给物联网 (IoT) 设备、机器人和代码片段,例如 API 或微服务。 多云混合 IT 环境和软件即服务 (SaaS) 解决方案使 IAM 环境进一步复杂化。
因为它介于用户和关键企业资产之间,所以身份和访问管理是任何企业安全计划的关键组成部分。 它有助于防止用户凭据泄露以及密码被轻松破解,这些是想要植入勒索软件或窃取数据的犯罪黑客的常见网络入口点。
如果实施得当,IAM 有助于确保业务生产力和数字系统的顺畅运行。 员工无论身在何处都可以无缝工作,而集中管理确保他们只访问他们工作所需的特定资源。 向客户、承包商和供应商开放系统可以提高效率并降低成本。
IAM 系统的一项关键任务是验证实体是否是其声称的身份或对象。 当一个人在登录屏幕中输入用户名和密码时,就会进行最基本的身份验证。 IAM 系统会检查数据库以确保用户名和密码与记录的内容相匹配。 现代身份验证解决方案提供了更巧妙的方法来更好地保护资产。
身份验证与授权
在用户由系统验证时,系统需要知道用户有权访问或查看哪些信息。
单点登录 (SSO) 解决方案可提高生产力并减少用户的阻力。 通过一次输入一组登录凭据(用户名和密码),个人可以访问多个应用程序,并在它们之间无缝切换。
多重身份验证 (MFA) 通过要求用户提供用户名之外,还要求用户另外两种或更多种识别凭据来获得对应用程序的访问权限,从而增加了另一层保护。 例如,您可能会被要求输入密码和通过电子邮件或短信发送的临时代码。
也称为自适应身份验证,这是一种基于风险的身份验证解决方案,仅在检测到存在更高风险时才提示用户进行 MFA。 例如,当用户的位置与基于 IP 地址的预期不同或检测到恶意软件时,可能会出现这种情况。
如果没有管理身份和访问的系统,就不可能实现真正的数据安全。 如果实施得当,IAM 解决方案可以允许跨多个应用程序、位置和设备访问数据,从而能够提高工作人员的工作效率。 通过 IAM,它可以与其他组织、供应商和业务合作伙伴进行更大的协作。
实施 IAM 解决方案的最佳方法是对现有系统和遗留系统进行审计。 确定差距和机会,并尽早且经常与利益相关者合作。 描绘所有用户类型和访问场景,并定义 IAM 解决方案必须满足的一组核心目标。
除了分配数字身份和授权方法之外,IT 管理员还需要一种向每个实体授予访问权限和特权的方法。 当今访问管理的最佳实践是"最小权限"。 这意味着仅将每个实体或应用程序的访问权限分配给完成一项任务或完成一项工作所需的资源,并且只分配给所需的最短时间。
- 特权访问管理 (PAM)
特权访问是为管理员或 DevOps 人员等用户保留的,他们负责管理或更改应用程序、数据库、系统或服务器。 对这些凭据的任何泄露都可能很容易变成最糟糕的情况。 PAM 解决方案隔离这些帐户并监控活动,以防止凭据被盗或滥用权限。
- 基于角色的访问管理 (RBAC)
根据用户在组织中的工作或角色分配访问权限可以简化访问管理。 管理员可以根据工作或工作级别的要求控制访问权限,而不是逐一分配访问权限。 此外,RBAC 控件还可以指定某一类用户是否可以查看、创建或修改文件。
跨组织收集和分析身份数据的过程或框架称为身份治理;拥有强大的身份治理计划可以帮助您满足监管要求并控制组织的风险。
IAM 和人工智能
人工智能 (AI) 在身份和访问管理中发挥着越来越重要的变革作用,使组织能够采取更加精细和自适应的方法来进行身份验证和访问管理。 人工智能对于用户和实体行为分析 (UEBA) 识别可疑活动也是必不可少的。 恶意登录、短时间内大量登录尝试、未知位置、无法识别的设备以及用户是否在公司的虚拟专用网络 (VPN) 上等指标都可能表明存在恶意活动。 AI 可以标记这些指标以进行实时或近实时的调查,以阻止黑客攻击。
IAM、云和 IDaaS
来自云端的 IAM :身份即服务 (IDaaS) 和托管身份服务。
越来越多的供应商提供从云交付的身份和访问管理服务。 一种方法称为身份即服务 (IDaaS),这种方法可以是独立的解决方案,也可以是对现有本地 IAM 系统的补充。 通过托管身份服务,与其他托管安全服务解决方案一样,安全提供商将监控和管理在云或本地运行的企业 IAM 解决方案。
面向云端的 IAM 。
当今的企业在本地、传统系统和私有云以及一个或多个公共云环境中拥有应用程序和数据。 挑战在于尽可能无缝地管理用户对资源的访问,无论这些资源位于何处。 理想的身份和访问管理系统应该可以跨混合多云环境支持 SSO 和 MFA。
IAM 和 BYOD
在当今的移动办公世界中,员工希望在任何地方使用自己的手机、平板电脑、笔记本电脑或可穿戴设备自由工作,组织正在采用自带设备(自带设备)计划来实现它。 IAM 结合统一端点管理平台可以帮助组织拥抱移动性并安全地采用 BYOD。
IAM 和物联网
这是一个众所周知的故事。 一名黑客入侵了水族馆智能温度计,获得了对公司网络的访问权限并窃取了客户数据。 联网的闭路电视摄像机也同样惨遭毒手。 经验教训是,几乎任何物联网 (IoT) 设备都可能被黑客入侵,而且如果没有访问管理,网络就会对黑客敞开大门。 今天的 IAM 解决方案将物联网设备视为需要在网络访问之前识别和授权的实体。
随着远程工作成为常态,移动设备使用率达到最大,身份和访问管理领域已经大大扩展。 不安全的网络以及前所未有的用户期望导致大量涌现新设备连接、对敏感信息的远程访问请求接连不断,而且随着用户访问流氓网站而使网络钓鱼和其他基于 Web 的攻击的威胁近在眼前。
人工智能 (AI) 在 IAM 的未来中发挥着重要作用,因为它能够识别模式并以与风险相同的速度以指数方式扩展知识。
通过持续身份验证,每次交互都会不断评估用户的上下文。 人工智能能够在考虑时间、地点甚至用户移动的同时分析微交互,计算每个点的潜在风险水平。 下一代 AV 软件、基于主机的防火墙和/或端点检测和响应 (EDR) 将继续发展并在组织内增加更多安全性。