零信任之从IAM概述到应用实现

IAM概述：基于动态身份的安全新边界

随着用户维度快速扩展、应用规模迅速增长、电子身份智能化以及监管要求等数字化转型带来的身份变化，传统安全边界消失，需要更灵活的技术手段给动态变化的人、终端、系统建立新的逻辑边界，通过对人、终端和系统进行识别、跟踪及访问控制，实现全面的身份化。因此，以身份为中心的零信任安全逐渐成为一种趋势。在零信任模型下，只要处于网络中，任何用户都不可被信任，任何环节、设备、身份及权限都有必要被验证。

IAM（Identity and Access Management），即身份与访问管理，或称为身份管理与访问控制，作为零信任模型中的重要组成部分，可以实现身份管理、认证和授权等重要功能，如图所示：

IAM身份管理与访问控制系统作为新一代身份认证与资源整合产品，主要用于给人或物赋予恰当的权限，从而允许其访问相应的资源。其中，“人或物”称为主体，“资源”称为客体。IAM产品主要由身份管理、认证管理、权限管理、单点登录和审计等模块组成，实现集中帐号管理、集中认证、集中授权、应用集成和集中审计等功能。具体功能体现在：

■ 可实现应用的单点登录；

■ 实现用户电子身份、账号权限的全生命周期的自动化管控，做到自动创建与一键回收，规避人为不当操作造成的安全后门和对信息的恶意窃取；

■ 融合多终端、多因素的认证方式；

■ 对敏感数据的使用行为做到集中化管控和有效的分级授权，实现对各应用系统的统一授权管理，建立统一的权限管理模型，支持未来新业务发展。

IAM可与环境感知等模块或终端安全设备联动，对内、外用户的访问行为实现实时的事前预警与防范，通过预警等信息为主体动态授权从而实现事中访问控制，通过审计日志实现事后责任追溯，从而形成了完善的风险控制管理体系。

IAM典型应用

基于IAM的用户业务接入方案如下图所示：

其工作流程图如下所示：

用户访问视角的IAM业务处理流程：

1）用户访问业务系统，通过IAM认证中心多因素认证登录；

2）用户登录成功后，根据单点登录应用导航直接进行业务访问。

3）IAM和HR系统连接，同步用户信息。

三大IAM主要模块

（1）身份管理模块

身份管理模块提供统一用户身份管理，主要负责用户、机构、应用业务等的管理。该模块实现用户信息与账号的集中存储、全生命周期闭环管理，用户账号可自动开通、变更和回收，同时对下游应用系统提供用户主数据供给。支持多用户授权模式。

该模块主要具有以下功能特点：

■ 标准化接口：产品提供完整的管理 REST API 接口，可以轻松进行业务流程再造，支持标准化的集成场景。整合OA系统、AD等用户身份信息，形成用户、组织机构信息的权威数据源，如下图所示：

■ 实现用户身份全生命周期管理。

■ 实现多组织机构管理，支持用户与多套组织机构关联。

■ 建立统一规则、密码强度规则等，实现全局管控。

■ 个人自助服务中心：可实现用户信息自助更新、权限申请和权限审批等功能。

（2）认证管理模块

认证管理模块，主要用于在主体申请访问客体时对主体进行认证。认证方式支持用户名密码、短信验证码、数字证书、人脸和声纹等。认证协议或实现单点登录的方案有SAML、oAuth、Cookie等，认证协议通常和单点登录息息相关。单点登录（Single Sign On），简称为 SSO，是指多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

认证管理平台为用户、应用业务等提供认证服务，支持标准代理、SDK、代填代理的方式，实现对应用的访问控制。标准代理和SDK将拦截所有应用的请求，在认证管理平台进行统一的认证，为应用提供单点登录服务；代填代理为不易改造的应用提供了密码代填模式，以表单代填的方式，实现单点登录。应用做少量的改造工作，即可实现统一认证，和其他接入的应用一起实现单点登录功能。

该模块主要具有以下功能特点：

丰富的多因素认证功能

■ 支持的认证因子包含口令、数字证书、手机短信认证、证书认证、人脸识别、声纹识别、指纹识别、虹膜识别等；多个认证因素可以灵活地进行组合认证，形成多种认证方式。

■ 支持目前市面上主流的社交应用认证源，如微信，钉钉等。

敏捷的应用业务、第三方组件对接

■ 支持丰富的默认连接器：可以通过默认连接器实现与商业化产品例如DB、LDAP、SAP、AD、Domino等应用的快捷对接，应用端无需开发。

■ 支持强大的自定义连接器框架：对于与客户自开发的应用对接集成，可以通过权限管理平台的自定义连接器框架来实现，客户的应用服务只需提供相应的接口，即可实现对接集成，方便快捷。

■ 支持强大的Restful API开发平台：可以通过快速开发Restful API接口，与第三方应用、组件对接。

■ 支持通过SDK方式，与客户的应用、第三方组件进行对接。

应用管理，主要实现对应用业务的认证管理

■ 应用认证设置：认证等级、每个认证等级的认证方式。

■ 访问应用的用户属性设置。

■ 有关应用的token有效期。

■ 应用相关信息的编辑、查询等。

（3）权限管理模块

权限管理模块提供统一用户可信权限管理，主要负责业务主体和客体之间的授权关系管理、用户访问权限的鉴权管理、权限审批、日志审计等。该模块支持多用户授权模式，同时可以根据用户的安全风险等级调整用户的访问权限。

该模块主要具有以下功能特点：

■ 业务适应性：不仅支持标准的RBAC和XRBAC权限模型，同时支持复杂场景的权限模型。

■ 细粒度授权：支持应用级、功能级、服务级、数据级的授权。

■ 用户鉴权功能：对用户的访问权限进行鉴权，支持应用级、功能级、服务级和数据级鉴权。

■ 灵活的授权机制：可以基于用户、应用、API、授权组进行授权，从而实现基于用户、角色、机构、任务的灵活授权。

■ 支持动态权限变更，实现实时权限最小化：可以和终端安全设备以及态势感知系统形成联动，达到用户风险和应用风险联动，实现实时用户权限最小化。

IAM在新华三的实现

H3C SecCenter IAM系统主要包括认证管理平台、权限管理平台和可信代理控制服务平台。除以上介绍的身份管理模块、认证模块和权限管理模块，新华三的IAM系统主要组件还包括可信代理控制服务模块，该模块可以和身份管理、权限管理以及认证系统联动，支持权限变更订阅、权限判定以及用户会话管理；可以和应用集成，实现访问控制服务。该模块主要应用在零信任安全架构。

可信代理控制服务模块主要具有以下功能特点：

■ 汇集了用户风险和业务风险，结合用户的权限，实现实时用户权限最小化。

■ 作为策略控制器的策略管理者，起到了上传下达的作用，将用户认证请求上传到认证中心，将匹配风险情况的用户权限下发到策略执行器如可信接入代理、可信API代理。

■ 对用户访问的业务进行会话管理，可以很好地展示用户的访问情况，也可以通过会话进行人工控制。

IAM具有统一的身份管理功能，以及集中式的身份和权限管理，使得用户身份维护可以同步，减少用户认证系统的维护成本。IAM具有统一的安全策略功能，使得身份认证的过程更加标准化，安全性方面更加靠。IAM具有单点登录、细粒度的访问控制功能、动态授权、多因素认证以及基于策略的集中式授权和审计等功能，其强大的身份管理和访问控制功能，使得该系统可成功运用于公安政务网零信任应用场景、基于IAM的用户业务接入等场景中，以满足客户多样化的需求。