【应用安全】什么是身份和访问管理 (IAM)？

身份和访问管理 (IAM) 是一个安全框架，可帮助组织识别网络用户并控制其职责和访问权限，以及授予或拒绝权限的场景。IAM 通常指的是授权和身份验证功能，例如：

 

• 单点登录 (SSO)，因此您可以让用户能够使用一组凭据进行一次登录，从而获得对多个服务和资源的访问权限

• 多因素身份验证 (MFA)，因此您可以通过要求用户提供两个或更多因素作为身份证明来获得更高级别的用户身份保证
   

访问管理，因此您可以确保只有正确的人才能访问正确的资源

在网络边界不再可靠或不再相关的世界中，这些功能是确保安全的基础。但对于许多组织而言同样重要的是以下身份安全功能：

目录

• 身份验证

• 同意收集和数据隐私管理

• 风险管理

• 个人身份

• API 安全性

• 为用户和开发人员提供自助服务

这些高级功能可针对不断演变的威胁提供额外保护，帮助您支持遵守越来越多的法规，并为用户提供他们期望的体验。

IAM 的目的是什么，为什么它很重要？

您的用户不再局限于受防火墙保护的员工。随着远程工作越来越受欢迎，您需要能够让不同的员工用户从任何地方和任何设备上访问资源，以确保生产力不会受到影响。

您的客户还通过越来越多的数字渠道与您互动。随着客户行为的改变，您现在也必须为这些用户提供访问权限，否则就有失去竞争优势的风险。

这些工作完成方式和采购决策方式的转变将传统的安全方法推向了临界点。但安全要求并不是唯一改变的事情。

您的用户（包括员工和客户）已经习惯了便利。因此，他们希望能够在他们想要的时间和地点快速轻松地获得资源、服务和商品。虽然您的员工可能更倾向于使用所提供的东西，但您的客户可以并且将探索他们的选择。

在当今的数字化和无边界世界中，传统的边界安全方法不再可靠或相关。IAM 将边界转移到用户身上，并将身份置于安全的中心。在授予用户访问敏感资源或数据的访问权限之前，您可以确保用户是他们声称的身份。但是你也不能让这个过程过于繁琐。在安全性和体验之间取得适当的平衡至关重要，IAM 可以帮助您做到这一点。

客户身份和访问管理 (CIAM)：专为客户用例设计的 IAM

谈论 IAM 而不包括至少对客户 IAM (CIAM) 的简短讨论几乎是不可能的，甚至可能是不负责任的。虽然许多组织发现 IAM 满足提供安全的劳动力访问的要求，但它通常缺乏客户用例所需的功能。

借助 CIAM，您可以获得能够提供卓越客户体验的能力，包括：

• 统一配置文件，以便您可以为客户提供一致的多渠道体验和个性化交互

• 强大的安全功能扩展到数据层，因此您可以保护宝贵的客户数据并降低违规风险

• 性能和可扩展性，因此您可以在高峰时段和吸引新客户时提供即时和无摩擦的访问
   

隐私和法规遵从性，因此您可以让客户能够控制其数据的共享方式和共享对象，并遵守通用数据保护条例 (GDPR) 等法规

什么是 Cloud Identity and Access Management (Cloud IAM)？

数字化转型促使组织将基础架构迁移到云端，以优化 IT 运营并降低成本。部署在云中的 IAM 解决方案可作为 SaaS 服务、部署在供应商私有云中的托管服务以及作为部署在组织自己的私有云或公共云中的软件提供。Cloud IAM 允许您对用户进行身份验证，无论他们身在何处，并安全地访问 SaaS、云、本地和 API 中的资源，同时提高您的速度、敏捷性和效率。

Cloud IAM 的主要优势是什么？

Cloud IAM 简化了您向云的迁移，不同的云部署选项提供不同级别的自定义和管理责任。主要好处包括：

• 通过将身份基础架构迁移到云端，遵守执行云优先的要求。

• 降低基础架构维护和支持成本，尤其是在使用 SaaS 或托管云服务时。

• 在部署身份功能时加快实现价值的时间。

• 提高 IAM 的灵活性和可扩展性。

• 享受更轻松、更频繁的升级，尤其是当服务由云中的供应商管理时。

• 如果身份供应商正在管理 IAM 服务，请减少对昂贵的内部身份专家的依赖。

IAM 和云 IAM 有什么区别？

过去，本地 IAM 软件是维护身份和访问策略的有效方式。随着组织超越本地服务以满足远程工作需求以及人们开始使用移动设备进行工作和娱乐，管理身份和访问的过程变得更加复杂。将 IAM 解决方案迁移到云端对于具有云优先任务的企业来说是合乎逻辑的一步。虽然身份作为 SaaS 服务（也称为 IDaaS）很常见，但还有其他方法可以在云中实现身份，例如借助 Docker 和 Kubernetes 等 DevOps 工具在您自己的公共或私有云中部署支持云的软件。

访问管理和身份管理有什么区别？

在查看 IAM 解决方案时，通常很难区分身份管理和访问管理，实际上您可能会看到这两个术语都用于描述整个 IAM 空间。可以说，它们齐头并进，两者都需要确保您在正确的时间和出于正确的原因让正确的人访问正确的事物。

但从根本上说，它们并不相同。身份管理涉及对用户进行身份验证的过程，而访问管理涉及对用户进行授权。具体来说，身份管理将数字属性和数据库中的条目结合起来，为每个用户创建一个唯一的身份，在身份验证期间可以将其作为真实来源进行检查。访问管理确定谁可以在任何给定时间访问资源或数据库。访问管理系统通过登录页面和协议管理访问门户，同时还保证请求访问的特定用户具有适当的权限。

IAM 作为一个整体让您能够在用户获得访问权限之前验证他们的身份。在最简单的形式中，身份管理对用户进行身份验证，然后访问管理根据用户的身份属性确定个人的授权级别。

身份管理有什么好处？

身份和访问管理可帮助您在安全性和体验之间取得理想平衡。此外，它可以帮助您节省资金并满足合规要求，同时增强您的员工和客户体验。将 IAM 集成到您的运营中的主要好处包括：

IAM 增强安全性

提高安全性可以说是您从 IAM 中获得的第一大好处。多因素身份验证等功能可减少您对密码的依赖，从而降低因凭据泄露而导致的泄露风险。随着远程工作成为常态，您的 IT 团队必须管理越来越多的应用程序和设备，您需要新的方法来防止网络攻击和数据泄露。IAM 通过 API 安全和身份验证等功能帮助您应对日益复杂的威胁，因此您可以确信只有正确的人才能访问正确的资源。

IAM 改善用户体验

通过将恰到好处的安全性与无缝访问相结合，IAM 可帮助您保持员工之间的联系，并让您的客户再次光顾。单点登录让您可以让您的用户更快、更轻松地访问他们需要的资源。当您将 SSO 与自适应身份验证结合使用时，您可以将身份验证要求与所请求的访问相匹配。通过仅在必要时加强安全性，您可以最大限度地减少摩擦并提供更好的用户体验。IAM 的进步，如无密码身份验证，通过减少甚至消除难以跟踪的密码的使用，进一步简化了访问（不影响安全性）。

IAM 提高劳动力生产力

劳动力用户需要访问一系列不同的应用程序来完成他们的工作。当忘记密码和受限权限阻碍访问时，生产力就会受到影响。SSO 等 IAM 功能通过减少登录和访问资源所需的时间来帮助更有效地完成工作。

IAM 简化 IT 工作量

说到忘记密码，据估计，超过 50% 的 IT 帮助台呼叫归因于密码重置，并且单个密码重置请求平均花费公司 70 美元。IAM 解决方案最大限度地减少您对密码的依赖以及随之而来的麻烦。IAM 还可以根据角色和更精细的属性，轻松地在您的组织中实施身份服务和更改权限。

IAM 支持监管合规

通过提供 API 安全等功能，IAM 简化了对开放银行要求的合规性。同样，隐私和同意管理功能简化了对 GDPR 和加州消费者保护法 (CCPA) 等数据隐私法规的合规性。随着从金融到医疗保健再到零售等一系列行业的法规不断提高，IAM 为您提供了快速适应的敏捷性。

数字认证的类型

您可以使用多种方法来证明用户的身份。但并非所有数字身份验证都是平等创建的。某些类型，如生物特征、上下文和行为认证，不仅更加复杂和安全，而且还减少了用户摩擦。以下是一些常见的数字身份验证方法的细分。

预共享密钥 (PSK)

PSK 是一种数字身份验证协议，其中密码在访问相同资源的用户之间共享。典型示例包括办公室环境中许多员工共享的单个网络 WiFi 密码。虽然这种做法很常见且方便，但共享密码的安全性不如个人密码，并且会使您面临第 2 层和中间人攻击等威胁。数字证书通过将身份与访问联系起来，提供比 PSK 更安全的身份验证形式，以便您知道谁或哪个设备正在使用网络。它们还消除了频繁更改密码的需要。

唯一密码

唯一密码需要最少数量的字符以及字母、符号和数字的复杂组合，这使得它们更难被破解。但是这些要求也使唯一密码成为您的用户创建和跟踪的负担。除了为每个应用程序创建一个唯一的密码外，用户还必须每 60-90 天提供一次原始密码。所有这些因素都会导致密码疲劳并增加您的安全风险。相比之下，单点登录允许您的用户使用单个用户名和密码组合访问多个资源。

硬件令牌

硬件令牌是小型物理设备，例如智能卡、密钥卡或 USB 驱动器。该设备本身包含一个算法（时钟或计数器）和用于计算伪随机数的种子记录。用户输入这个数字来证明他们拥有令牌，或者他们可能会按下设备上的一个键，这会生成一个一次性密码 (OTP) 并将其发送到服务器。硬件代币的物理性质使它们的推出成本高昂且繁琐，并使它们面临破损、丢失和被盗的风险。一种更简单且成本更低的替代方案是移动身份验证，它依赖于软令牌生成用于登录的 OTP。

生物特征认证

虽然其他形式的身份验证依赖于您的用户知道的东西（密码）或拥有的东西（设备、令牌），但生物识别身份验证使用您的用户的特征来证明身份。生物特征认证的示例包括指纹、面部识别、语音识别、手部几何形状和视网膜或虹膜扫描。这些形式的身份验证更加安全，因为它们对个人来说是高度独特的，并且更难复制、窃取或破坏。随着移动设备、平板电脑和 PC 制造商开始将这些技术整合到设备中，它们的使用也在增长。此外，FIDO 协议的使用通过使用标准公钥加密技术提供了更强的身份验证。使用 FIDO，生物特征信息永远不会离开用户的设备。这通过使在线服务无法跨服务协作和跟踪用户来保护用户隐私。

上下文认证

一种基于风险的身份验证形式，上下文身份验证使用地理位置、IP 地址、一天中的时间和设备标识符等信息来确定用户的身份是否真实。通常，将用户的当前上下文与先前记录的上下文进行比较，以发现不一致并识别潜在的欺诈行为。虽然这些检查对授权用户是不可见的，但它们对攻击者构成了重大障碍。

行为生物识别

另一种基于风险的身份验证形式，行为生物识别技术利用机器学习来识别独特的用户行为，如鼠标特征和击键动态。通过了解用户的典型行为和交互方式，行为生物识别技术可让您检测可能表明可疑活动或恶意攻击的异常行为。由于每个人都表现出独特的设备行为，因此行为生物识别技术可以帮助您区分授权用户和不良行为者。

多因素身份验证 (MFA)

多因素身份验证比单独使用密码和硬件令牌更安全，它要求用户提供至少两条证据来证明其身份。他们必须提供他们知道的东西、他们拥有的东西或他们所拥有的东西，每个类别只提供一种形式的证据。例如，MFA 身份验证流程可能要求用户使用用户名和密码（他们知道的）登录。然后，他们可能需要通过在移动应用程序（他们拥有的东西）上确认请求来完成身份验证。

IAM 的风险是什么？

任何有效的风险管理策略都始于识别您面临的潜在风险。KuppingerCole 的信息安全分析师建议在这五个领域评估您的组织，以识别和降低潜在风险，并设置您的 IAM 计划以取得成功。

1. 高层支持

风险：如果 IAM 缺乏高管的支持，则很难在整个组织中获得使 IAM 成功所需的财务和资源支持。

问题：责任的识别通常是最复杂的挑战。您需要为组织转变和决策提供自上而下的支持。

缓解：当业务价值可以用清晰、简单的术语解释时，更容易获得高管支持。执行发起人需要充分了解并准备好影响 IAM 计划的方向，并了解其中各个项目的目的和目标。

2. 业务参与

风险：在没有业务参与的情况下，IAM 项目会遭受范围不明确、范围蔓延和被技术要求所取代。

问题：企业需要推动项目并引领技术，而不是相反。

缓解：除了满足监管规范和审计要求外，还需要传达 IAM 的其他好处，包括获得用户的整体视图、快速连接新业务合作伙伴的能力以及增加业务的敏捷性。在将技术部署在适当的环境中之前，了解和规划业务环境非常重要。
 

3. 战略

风险：IAM 项目可能很复杂，使得“大爆炸”方法难以控制。必须从一开始就考虑到需要管理的企业身份的倍增。

问题：尽管最初的实施可能只为一组员工提供一小部分功能，但必须对其进行设计，以便它们可以扩展。

缓解措施：IAM 实施应分解为单独且范围明确的项目，而不是一个边界不明确的大型项目。
 

4. 技术

风险：IAM 实施可能会因技术失误而停止，例如选择错误的产品、试图利用现有的失败产品或让供应商或其他技术“专家”驱动程序。

问题：技术专长不足以成功实施 IAM。它需要对环境有一个全面的了解，并且对项目的成功有既得利益。

缓解：确保系统集成商、供应商和技术团队得到利用和尊重，但实施最终由业务指导和控制。为技术团队提供一个平台来表达他们的担忧并让他们参与进来，但不要让他们限制业务需求。
 

5. 人

风险：人对 IAM 的成功至关重要。但是个人会根据他们的角色和/或以前的技术经验对 IAM 的运作方式有不同的理解。由于对 IAM 应该包含的内容存在冲突的看法，项目很快就会变得政治化，从而在业务和技术团队之间造成分裂和内讧。

问题：部门需要能够控制对自己系统的访问。新用户组需要轻松入职。

缓解：必须从一开始就考虑个人及其各自的需求和理解。必须自由分享知识，定期交流进展并庆祝成功。最后也是最重要的一点，IAM 必须足够简单，才能为最终用户工作。

IAM 的未来是什么？

远程工作、网络安全、数据隐私和客户体验的趋势继续影响 IAM 的优先事项。虽然未来永远无法完全预测，但指标表明身份安全即将发生六种转变。

更好地控制个人数据

在消费者隐私法规的推动下，客户要求对其个人数据的使用和共享方式进行更多控制。为了满足这一需求，新的个人身份框架正在不断发展，使客户能够控制他们的身份以及与服务提供商共享哪些属性，并在不需要过多个人数据的情况下实现身份的安全验证。

加速零信任

零信任将成为企业安全的基础。作为一种简化工作流程并实施自适应身份验证、授权和身份验证服务的安全模型，零信任为组织提供了从根本上更强大的安全态势，以抵御不断演变的威胁。

SSN 作为安全身份验证器的结束
在大流行期间和之后，超过 600 亿美元的欺诈性失业保险索赔困扰着美国的国有失业机构，突显了使用社会安全号码作为可信身份验证者的后果。如果我们之前不相信，这个代价高昂的教训强调了消除将 SSN 用作安全身份验证因素的必要性。

更安全的远程工作

至少有一部分时间在家工作。但为远程工作者提供无缝体验带来了挑战。IAM 通过单点登录和自适应身份验证为工作人员提供无障碍访问，从而支持 WFH。同时，您会更加确信只有合适的人才能访问公司资源，并提高敏捷性以推进您的云计划。

无密码客户身份验证的兴起

为了与在家工作的趋势保持一致，消费者也比以往任何时候都更多地在家购物。随着客户体验之战的继续进行，公司将把客户转变为无密码体验，以在不牺牲安全性的情况下最大限度地减少摩擦。无密码身份验证允许客户使用风险密码以外的其他方式进行身份验证，例如受信任设备上的生物特征推送通知。

更普遍的人工智能和机器学习

随着人工智能的使用越来越广泛，它也有可能成为新的攻击机制。为了快速识别可疑活动并根据风险级别调整访问权限，应将行为分析和风险信号集成到所有访问和生命周期管理流程中。然而，人工智能和机器学习并不是万能的，最好与现有的威胁检测方法结合使用。

本文：什么是身份和访问管理 (IAM)？