认识IAM，向着“零信任”安全架构迈进

安全是企业数字化转型策略面临的最大困境。根据Ponemon Institute的数据，数据泄露的数量和损失持续增长，如今网络犯罪导致的数据泄露给企业带来的平均损失超过386万美元。对于大多数企业来说，面对数据泄露的“溃坝”，做好IAM（身份访问与管理）是基本功。Gartner新发布《2020年规划指南：身份和访问管理》中也提出关键论点：IT必须推进IAM（身份和访问管理）计划。2020向着“零信任”安全架构迈进，企业需要了解的IAM四大问：
什么是IAM？
企业为什么需要IAM？
有哪些IAM术语是应该了解的？
2020年IAM趋势是什么？

什么是IAM ?

IAM（身份与访问管理）是任何企业安全计划的重要一环，因为在今天的数字化经济中，它与企业的安全和生产力密不可分。
IAM可以通过为用户设备添加指纹并部署多因素身份验证（MFA）来检测和拒绝来自无法识别平台的登录尝试，从而防止凭据填充攻击。IAM解决方案还限制了每个用户登录后能够访问的应用程序和服务范围。
因此，即使恶意行为者获得了有效的凭据并可以绕过MFA，IAM解决方案也将严格限制攻击面和减少“横向移动”，做到“可防可控”。
凭证填充攻击的日益增长是许多公司采用IAM进行自我保护的原因之一。被盗用户凭证往往是进入企业网络及其信息资产的入口点。企业运用身份管理来守护信息资产，使其不受日渐增多的勒索软件、犯罪黑客活动、网络钓鱼和其他恶意软件攻击的影响。
很多企业里，用户有时候会拥有超出工作所需的访问权限。而健壮的IAM系统可以贯彻用户访问规则和策略，为整个企业加上一层重要的防护。
IAM自身正在迅速发展，以满足更多公司的需求，并且变得更加安全，集成且易于使用。

安全热词随时在变，但IAM中一些关键术语是需要了解清楚的：

1.访问管理

指用于控制和监视网络访问的过程及技术。访问管理功能，比如身份验证、授权、信任和安全审计，是企业内部及云端系统顶级ID管理系统不可缺少的重要部分。
2.生物特征识别身份验证

依靠用户独特的生物特征来验证用户身份的安全过程。生物特征识别身份验证技术包括指纹传感器、虹膜和视网膜扫描，还有人脸识别等。
3.上下文感知网络访问控制

一种基于策略的授权方法，根据索要访问权限的用户的当前上下文来授予网络资源访问权。比如说，某用户试图通过身份验证，但其IP地址却没在白名单之内，那该用户就不能获得授权。
4.凭证

用户用以获取网络访问权的标识，比如用户的口令、公钥基础设施(PKI)证书，或者生物特征信息(指纹、虹膜扫描等)。
5.撤销

将某身份从ID存储中移除并终止其访问权限的过程。
6.数字身份

ID本身，包括对用户及其访问权限的描述。(笔记本电脑或手机之类的终端也可拥有自己的数字身份。)
7.权益

指已验证安全主体所具备的访问权限的一系列属性。
8.身份即服务(IDaaS)

基于云的IDaaS为位于企业内部及云端的系统提供身份及访问管理功能。
9.身份生命周期管理

与访问生命周期管理类似，该术语指的是维护和更新数字身份的一整套过程和技术。身份生命周期管理包括身份同步、配置、撤销和对用户属性、凭证及权益的持续管理。
10.轻量级目录访问协议(LDAP)

用于管理和访问分布式目录服务（比如微软AD）的开放标准协议。
11.多因子身份验证(MFA)

网络或系统的身份验证中要求不止一个因子(比如用户名和口令)的情况。验证过程中至少还有额外的一步，比如用手机接收通过短信发送的验证码、插入智能卡或U盘、满足生物特征识别验证要求(指纹扫描等)。
12.口令重置

口令重置指的是ID管理系统允许用户重新设置自身口令的功能。该功能可将管理员从繁琐的口令重置工作中解脱出来，还能减少客户服务接到的求助电话。用户通常可通过浏览器访问重置应用，提交相应的密语或回答一系列问题即可验证用户身份。
13.特权账户管理

基于用户权限对账户和数据访问进行管理与审计。一般来讲，特权用户因其工作或功能需求而往往被赋予管理员权限。比如说，特权用户可能拥有添加或删除用户账户和角色的权限。
14.配置

创建身份，定义其访问权限，并将其添加到ID存储中的过程。
15.基于风险的身份验证(RBA)

在用户尝试身份验证时根据用户情况动态调整验证要求的身份验证方法。比如说，如果用户尝试从之前未关联过的地理位置或IP地址发起身份验证，可能就会面临额外的验证要求。
16.安全主体

具备1个或多个可被验证或授权的凭证以访问网络的数字身份。
17.单点登录(SSO)

对相关但独立的多个系统实施的一种访问控制。单点登录模式下，用户仅凭同一套用户名和口令就可访问1个或多个系统，无需多个不同凭证。
18.用户行为分析(UBA)

UBA技术检查用户行为模式，并自动应用算法和分析以检测可能昭示潜在安全威胁的重要异常。UBA区别于专注跟踪设备或安全事件的其他安全技术，有时候也会与实体行为分析归到一类，被称为UEBA。

2020年IAM趋势是什么 ?

对于企业而言，现在是实现零信任架构理想时机，因为身份泄露造成的数据泄露威胁正与日俱增。而IAM“武器库”的建设，正是企业迈向零信任的第一步。根据安全牛资料，2020年，IAM三大趋势如下：

1.身份和访问管理即服务

管理一组应用程序和文件的访问可能很棘手，且要求很高。尽管IAM早已迁移到云中（即使Microsoft的古老Active Directory软件也跳到了Azure），但对应用程序进行精细维护的责任仍然在于管理员。
借助IAM即服务（IAMaaS），许多IAM功能被转移到云中并实现了自动化。远程用户可以轻松而轻松地访问其工具：他们只需使用一次登录（SSO）即可访问所需的所有资源和解决方案。
借助IAMaaS，用户可以轻松、自动化地连接安全和防欺诈保护系统，提高应用程序和文件的安全性，而无需付出额外的努力。此外，自动化工具将大大减少管理员的工作负担。

2.微服务的身份和访问管理

微服务已经席卷了IT世界。开发人员使用链接的容器化小程序而不是单个整体应用程序来执行以前由单个集成应用程序完成的功能。即使一个组件失败，整个应用程序也不会崩溃。
取而代之的是，自动化系统启动了故障组件的副本，使用户的停机时间降至零。
从传统的IAM的角度来看，这是有问题的。现在，应用程序的各个组件可以通过网络进行通信，这意味着攻击者有可能窃听或伪造这些通信。有时，这些服务使用公共互联网在多个数据中心之间进行通信，这使得加密和安全性变得更加重要。
因此，IAM解决方案开始与微服务集成。在一个这样的解决方案中，微服务之间的每个通信还包括一个唯一的令牌，该令牌在收到后便会得到验证。应用程序仅在收到有效令牌后才执行请求的功能。
这对应用程序造成的性能影响很小，但却可以防止不良行为者假冒微服务或窃听您的应用程序。

3.自主身份

用户所拥有的身份数据，需重复证明，也不属于自己，这是一件怪诞但现实的事情，这不仅仅带来不便，而且是数据泄露的万恶之源。
自主主权身份是搭建在区块链上的数字身份，也是用户对数字身份掌控度最高的形式，此类数字身份因为结合了区块链的去中心化、分布式、共识机制、哈希加密等特性，因此在自主、安全、可控层面更上一层楼。
在物理世界中，用户可以通过多种方式来验证其身份，而无需用户名或密码。他们可能会出示驾照、护照、社会保险卡或其他身份证。
过去，显示完整账号的信用卡收据使身份盗窃变得容易。而所谓的自主身份，指的是当个人使用这些实体来验证其身份时，没有第三方（发行机构除外）维护副本，因此被盗的风险较小。
简而言之，自我主权身份使用户在网上也能够以“亲自证明”相同的方式对自己进行身份验证。用户可以存储自己的个人识别数据，而不必将其提交到某个公司管理的集中化数据库中，因为如果这些公司被黑客入侵，数据泄露将不可避免。
自我主权身份的问题在于，目前还没有一种普遍认同的媒介可以用来存储自己的身份并对其进行验证。现在，许多自我主权身份的支持者认为，区块链是一种加密的去中心化个人信息数据库，代表了个人可以轻松地在线验证其身份的理想机制。
因此，整合区块链有可能在很大程度上改变IAM。根据您的居住地、您的用户名和密码可能会替换为政府颁发的数字身份。这已经在瑞士的楚格（Zug）市发生，您的城镇可能是下一个。

总之，可以预见的是，随着全球主要公司和政府努力“消灭密码”，在线身份识别和管理方式也正面临一场巨变。

安全牛-《2020身份与访问管理的三大趋势》这里是引用、CSDN-makenothing-《身份访问与管理(IAM)》

欢迎关注我们，了解更多网络安全资讯！