什么是身份与访问管理？IAM 指南

身份与访问管理（IAM）是一个由业务流程、策略和技术组成的框架，用于管理数字身份。借助 IAM 框架，IT 安全团队可以控制用户对其组织内关键信息的访问。

IAM 技术使用单点登录、双因素认证和特权访问管理等方法，安全地存储身份和档案数据，并管理数据治理功能，以确保仅共享必要和相关的数据。

IAM 执行以下基本安全操作：

1. 通过身份管理和认证来识别系统中的个人。
2. 识别系统中的角色以及角色如何分配给个人。
3. 在系统中添加、删除和更新个人及其角色。
4. 为个人或群组分配访问级别。
5. 保护系统内的敏感数据并确保系统自身安全。

企业能够知晓谁在何时何地访问哪些数据和系统，这不仅有益，而且对数据保护至关重要。员工分散在各个地点，有时在分支机构，有时在家远程工作。围绕已知边界构建的传统防御已不再足够，这也是网络安全专家现在将身份称为“新边界”的原因之一。

为什么 IAM 重要？

业务领导和 IT 部门面临着既要授予对公司资源的访问权限，又要保护这些资源的压力。这是一个平衡，且并不简单。安全团队必须分配和跟踪用户权限，以便用户能够使用他们需要的数据和应用程序来提高工作效率——同时又不能过于宽松，让不良行为者有机可乘。

云服务的日益普及以及混合和远程劳动力的增长，意味着更多用户从更多地点访问更多应用程序。这些情况使得正确的身份管理变得不可或缺。

网络安全依赖于 IAM 及其不断增长的功能列表，包括生物识别、行为分析和人工智能。通过其对高度分布式和动态环境中资源访问的严格控制，IAM 符合安全领域从使用传统防火墙和固有信任实践向更严格的控制架构转变的趋势。

这些更严格的控制中最重要的是零信任模型。实施零信任的组织会持续地授权和认证用户，而不仅仅是在边界进行一次认证。这颠覆了认为已被审查的用户可以完全信任的观念。零信任架构防止了应用程序和系统之间的不必要移动，从而限制了入侵者可能造成的损害。

有了 IAM，组织便获得了以有组织的方式高度控制管理用户访问的重要能力。自动化功能消除了手动步骤，从而提高了效率并降低了人为错误的机会。

忽视 IAM 的企业会面临入侵、数据丢失、勒索攻击甚至更糟的风险。不良行为者经常使用窃取的凭据冒充有效用户。由于这种访问看起来是合法的，网络犯罪分子可以滥用凭据在网络内长时间潜伏。如果被窃取的凭据可用于获得管理员权限，数据丢失和潜在损害可能相当大。不良行为者使用一系列策略（包括网络钓鱼和语音钓鱼）来获取凭据。

威瑞森的研究发现，在过去十年中，近三分之一的违规事件涉及被盗凭据。凭据盗窃如此有效，以至于普通的网络犯罪分子和高度组织化的国家级威胁行为者都在使用它。

IAM 的基本组件

IAM 产品提供访问控制，使系统管理员能够根据企业内个体用户的角色来规范对系统或网络的访问。

在此背景下，“访问”是指单个用户执行特定任务（例如查看、创建或修改文件）的能力。“角色”根据工作、权限和职责定义。关键的访问控制类型包括：

• 基于角色的访问控制。
• 自主访问控制。
• 基于属性的访问控制。
• 强制访问控制。

为了获得对这些授权资源的访问权限，用户必须证明他们就是他们所声称的人。这是 IAM 一个复杂但必要的组成部分，通常涉及密码、质询-响应认证及相关方法。

IAM 系统应捕获和记录用户登录信息，管理用户身份的企业数据库，并协调访问权限的分配和移除。用于 IAM 的工具应提供一个集中的目录服务，对公司用户群的所有方面进行监督和可见性。

为了确保其 IAM 工作的有效性，安全团队应参考各种身份标准和协议。这些经过实践检验的标准可以帮助改善组织的安全状况、合规工作甚至用户体验。例如，认证、授权和计费框架是安全团队组织其 IAM 工作的一种方式。它为访问控制、策略实施和使用跟踪提供了结构。

企业管理 IAM 的另一种方式是使用身份治理和管理，这是一组过程的集合，有助于确保 IAM 策略的正确安装、监督、执行和审计。

值得记住的是，数字身份不仅适用于人。IAM 可以而且应该管理设备和应用程序的数字身份——这通常被称为机器身份管理或非人身份管理。这些可以是访问信息并需要管理的 API、服务器和设备。安全专家表示，组织已经开始意识到其环境中存在多少此类身份。努力保护它们是 IAM 的新兴趋势之一。

IAM 的优势

IAM 技术可用于以自动化方式启动、捕获、记录和管理用户身份及其相关的访问权限。在劳动力地理分布比以往任何时候都更加分散的时代，运行良好的 IAM 变得尤为重要。

拥有有效 IAM 计划的组织应期望看到以下好处，以及其他优势：

• 访问权限根据策略授予，所有个人和服务都经过适当的认证、授权和审计。
• 控制用户访问，降低内部和外部数据泄露的风险。
• 执行有关用户认证、验证和授权的策略。
• 更好地遵守政府法规。

IAM 实施对于安全运营是必要的，但公司也可以获得竞争优势。例如，IAM 技术使企业能够为组织外部的用户（如客户、合作伙伴、承包商和供应商）提供对应用程序和数据的访问，而不会损害安全性。

IAM 技术与工具

IAM 技术旨在简化用户配置和账户设置过程。这些系统应通过减少错误和潜在滥用可能性的受控工作流程，缩短完成这些过程的时间，同时实现自动化的账户配置。IAM 系统还应允许管理员即时查看和更改不断变化的访问角色和权限。

这些系统应平衡其流程的速度和自动化与管理所需的监控和修改访问权限的控制。因此，为了管理访问请求，中央目录需要一个访问权限系统，能够自动将员工的职位、业务单位标识符和位置与其相关的权限级别相匹配。

可以将多级审查作为工作流程包含在内，以实现对单个请求的适当检查。这简化了为更高级别访问设置适当审查流程的工作。这也简化了对现有权限的审查，以防止权限蔓延（即用户逐渐积累超出其工作所需的访问权限）。

一个好的 IAM 工具将自动化最小权限配置，支持跨多个应用和提供商的单点登录，提供对组织系统广泛的访问可见性，并提供相对流畅的用户体验，以及其他功能。

IAM 系统应提供灵活性，以便为特定角色建立具有特定权限的组，从而可以统一分配基于员工工作职能的访问权限。该系统还应提供修改权限的请求和批准流程，因为具有相同职位和工作地点的员工可能需要定制或略有不同的访问权限。

借助 IAM，企业可以实施一系列数字认证方法来证明数字身份并授权访问公司资源。

• 唯一密码。最常见的数字认证类型仍然是唯一密码。虽然不够安全或方便，但密码通常是用户访问购物、银行、娱乐、电子邮件和工作账户的方式。为了增强密码安全性，一些组织要求使用更长或更复杂的密码，包含字母、符号和数字的组合。用户可以理解地发现记住哪个又长又复杂的密码可以让他们登录这个或那个应用程序或网站是件繁琐的事。单点登录入口点和密码管理器有助于减轻这种负担。
• 多因素认证。MFA 是一种日益常见的认证类型。例如，要求用户输入发送到其手机的代码的 IAM 系统，增加了访问尝试是合法的可能性。除非已经获得对用户手机的访问权或占有权，否则拥有被盗密码的不良行为者将无法跨越第二个认证障碍。
• 自适应认证。在处理高度敏感的信息和系统时，组织可以使用行为或自适应认证方法来协助身份管理。例如，IAM 工具现在更能注意到，当一个通常从某个地点在某个时间登录的人试图从另一个地点、在通常不工作的时间访问系统时的情况。这些行为可能表明用户的凭据已泄露。通过应用人工智能，组织可以更容易地识别用户或机器行为是否偏离常态；异常应触发自动锁定。
• 生物识别。一些 IAM 系统使用生物识别技术作为其认证方法。生物特征（如指纹、虹膜、面部、手掌、步态、声音，在某些情况下甚至是 DNA）被视为准确知晓谁在访问什么的一种简单而精确的方式。虽然面部识别或指纹扫描的便利性不可否认，但使用生物识别技术涉及风险——这些风险与 IT 或安全领域的其他挑战不同。例如，被盗的指纹数据无法像被黑的密码那样被替换。确保完全理解生物识别认证的利弊。当组织收集个人的特定面部特征时，它就承担了保护该数据的严肃责任。计划采用生物识别技术的组织在承诺使用这种认证形式之前，需要解决一长串隐私和法律问题。

在企业中实施 IAM

IAM 中一个关键关注领域是账户如何被配置和取消配置。

IT 团队有时会授予用户超出其特定工作所需的权限。对于入侵者来说，这些过度授权的账户是特别有价值的目标，因为它们允许访问组织的许多部分。一个相关的风险是不良的取消配置实践，即在特定员工改变角色或离开公司时未移除访问权限。严格的配置也降低了内部威胁的可能性。

组织需要确定一个团队，该团队将在身份和访问策略的执行中发挥主导作用。IAM 影响每个部门和每种类型的用户——员工、承包商、合作伙伴、供应商、客户等——因此，IAM 团队必须由多种企业职能人员组成。围绕相同目标汇集不同人员的做法应能提高身份安全成功的机会。

有效的 IAM 基础设施需要什么？需要评估的关键点包括如何处理认证和联合身份管理。这些活动可能涉及决定使用 OpenID Connect 协议或 SAML 标准，它们相似但不同。

实施时应牢记 IAM 最佳实践，包括：

• 采用零信任架构。
• 使用 MFA。
• 强密码策略。
• 推广安全意识培训。

企业还应确保围绕身份集中安全和关键系统。也许最重要的是，组织应创建一个流程，用于评估当前 IAM 控制的有效性。

虽然 IAM 依赖于大量技术，但它不仅仅是框架和工具。IT 安全团队需要拥有 IAM 技能和专业知识的人员。那些寻求在该领域工作的人应该在 IAM 工作面试时准备好展示他们的知识。

IAM 风险

虽然对安全工作至关重要，但 IAM 并非没有风险。组织在尝试管理身份和控制访问时可能——也确实会——出错。

当用户账户的配置和取消配置处理不当时，访问管理可能成为问题。安全团队需要注意脆弱的、不活动的用户账户。当管理员账户泛滥时，应该有人注意到并提出质疑。组织需要确保对 IAM 所有方面的生命周期控制，以防止恶意行为者获得用户身份和密码的访问权限。

需要警惕的特定 IAM 风险包括：

• 不规范的访问审查。
• 弱密码和缺少 MFA。
• 过度授权的账户。
• 跨系统和云的 IAM 集成不良。

审计能力作为一种检查手段，确保用户切换角色或离开组织时，其访问权限相应改变。

为了更好地评估组织的安全风险，IT 专业人员可以追求安全认证。有些认证是专门针对身份管理的。

IAM 供应商与产品

IAM 供应商范围广泛，从大型公司（如 IBM、Microsoft、Oracle 和 RSA）到纯供应商（如 Okta、Ping Identity、SailPoint 和 OneLogin）。

IAM 工具市场的动态性意味着组织有很多选择。这也意味着安全团队需要做一些基础工作，以确定能满足业务需求（如集中管理、单点登录、治理、合规性和风险分析工具）的合适产品组合。

一些供应商正朝着将各种产品和工具组合成 IAM 平台的方向发展。在单一平台中拥有一套功能套件，可能会减轻当前 IAM 产品市场分散带来的集成问题。

IAM 与合规

IAM 的核心是遵守最小权限原则，即仅授予用户履行其特定工作职责所必需的访问权限。这种预定和实时的访问控制对于安全和合规都是必要的。

通过实施 IAM 控制，企业应能向外部实体证明其认真对待安全责任并保护了数据。拥有有效 IAM 的组织可以证明合规并遵守适用的法规，如 GDPR、HIPAA 和《萨班斯-奥克斯利法案》。

IAM 路线图

围绕 IAM 的创新层出不穷，企业是得到产品和新功能支持的新战略的受益者。然而，一如既往，安全专业人员必须面对已知的威胁（因其有效性而持续存在）以及新兴且定义尚不明确的威胁。

较新的与 IAM 相关的网络攻击防御之一是身份威胁检测与响应。ITDR 是工具和最佳实践的结合，旨在阻止不良行为者利用脆弱的身份，例如与不兼容现代访问管理工具的遗留应用程序相关的身份。ITDR 可以标记这些弱点，让 IT 团队有机会在漏洞被利用之前解决它们。

人工智能的进步加剧了对身份安全的担忧。专家担心人工智能可能使钓鱼攻击策略更加复杂和可信。有效的钓鱼攻击通常需要一些信息碎片，至少让信息听起来有几分真实性——听起来足够合理，足以诱使收件人采取行动。人工智能可以快速有效地收集提供这种合法性外衣的信息碎片。

虽然更长更强的密码可能会改善身份管理，但它们无法满足那些希望看到所有密码永久失效的人的愿望。当网络犯罪分子诱导受害者点击链接或泄露密码时，即使是强大的组织防御和 IAM 保护也可能被挫败。

即使没有人工智能的帮助，密码长期以来也一直很脆弱。破解技术使许多密码可解。而且需要创建并记住又一个密码的前景是常见的烦恼。可以公平地说，密码对黑客的受欢迎程度与对用户的不受欢迎程度相当。

尽管风险高且不受欢迎，密码仍然存在。向无密码认证的转变很诱人，但这个无密码的未来尚未到来。

在 2024 年 9 月的财报电话会议上，甲骨文董事长兼联合创始人拉里·埃里森哀叹科技界对密码的持续依赖。埃里森认为，面部识别工具应该是未来的方向。“看着我并认出我，”埃里森说，“不要让我输入那些愚蠢的 17 个字母的密码。”

埃里森的言论大致与美国国家标准与技术研究院（NIST，该机构制定了最广泛接受的网络安全标准）提出对其密码指南进行重大调整的时间相同。认识到密码仍被广泛使用，并且在可预见的未来很可能仍然如此，NIST 主张使用更好的密码。2024 年的草案指南呼吁组织取消常见的强制用户每 90 天重置密码的规定；NIST 建议，仅当有证据或合理理由认为违规行为已泄露某人凭据时，才应更改密码。NIST 提案还建议密码长度增加到 15 到 64 个字符。

更长更强的密码可能会改善身份管理，但无法满足那些希望看到所有密码永久失效的人的愿望。例如，通行密钥的推广者认为，用户应该能够使用与解锁设备相同安全简单的方法来访问应用程序和网站。一旦创建了通行密钥，密码管理技术会将其仅对正在访问的服务已知的公钥与仅对正在使用的设备已知的私钥进行匹配。这对加密密钥使用户无需记住密码即可认证自己——前提是他们已通过 PIN 或生物识别方法安全地解锁了正在使用的设备。

FIDO 联盟（一个得到谷歌等公司支持的非营利组织）正在推动实现更广泛使用通行密钥的标准。其目标是有效地取代密码。企业和个人是否会接受通行密钥和密码管理器远未确定。值得记住的是，密码的消亡已被寻求和预测了很久，这让你下次停下来思考如何登录账户时有所思考。