零信任要求下一代IAM：原因解析

我们都认同这个目标：在整个访问过程中持续验证用户、设备和情境。这就是零信任指引我们的方向。但大多数IAM工具仍然只检查一次，然后就信任数小时。这留下了很长的窗口期，情况可能发生变化——攻击者正利用这一点。

攻击者并不总是破坏登录过程。他们会重用登录后的会话。令牌和Cookie易于携带但难以控制。因此，组织的应对措施是关闭敏感应用的SSO，并增加更多MFA提示。人们的工作效率变慢，挫败感增强，而数据泄露仍在持续发生。

如果零信任和真正的安全很重要，IAM必须改变。需要下一代模型。

澄清显而易见——或并非如此的事实！

零信任阐明了原则：持续验证用户和设备。我们建议增加一些实际标准——这些想法看似明显但经常被忽视——在当今日益复杂的威胁环境中比以往任何时候都更重要：验证必须准确且具有弹性。

准确意味着检查要与实际使用设备上的真实用户绑定——不仅仅是远程断言，这显然无法与本地MFA的确定性相匹配。

弹性意味着保护在网络波动、服务中断或攻击者尝试高级技巧时仍能持续工作和执行。

仅靠远程提示已不再满足这一标准。深度伪造语音和视频、社会工程学和中继工具包都可以欺骗远程检查。

将访问与用户正在使用的设备上的人员绑定。利用设备本地知道的信息：是否正确用户登录了操作系统、屏幕是否解锁、硬件密钥是否可用、设备是否健康？需要时，直接在设备上请求本地MFA。这是反复确认"用户+设备"最准确、最具弹性的方式——无需让人们解决越来越容易伪造的远程谜题。

信任不能是早晨的快照；它必须保持实时。端点和身份服务之间可信的、始终在线的连接让更新在情况变化时能够双向流动。如果用户锁定屏幕、如果设备偏离策略、如果情况变化，访问立即调整。没有长的"一切正常"窗口期，而实际上并非如此。

大多数现实世界的攻击利用的是干净登录后的会话。下一代IAM必须关闭这扇门。无论你如何实现，会话都需要绑定到已验证设备上的已验证用户，这样被窃取的Cookie和令牌就无法转移。具体机制可以随时间演进；但这一要求不会改变。如果有人窃取令牌，它在原始设备外应该毫无用处。

体验变得简单。你登录计算机并开始工作。当一切正常时，没有任何干扰。如果你离开并锁定屏幕，访问随之暂停。如果你的设备偏离策略，敏感操作会等待问题解决。你不需要每小时解决挑战；系统使用它已经了解的关于你和设备的信息，只在情况真正需要时要求更多验证。

控制更接近事实。决策基于来自端点的实时信号，而不是昨天的日志。撤销是实时的，而不是帮助台工单。会话盗窃变得困难得多，因为会话不再与设备分离。而且由于通道是可信且始终在线的，变更能够快速传播而不会干扰正常工作。

这些功能可以在安全性和用户体验方面产生重大影响。在评估IAM解决方案时，值得考虑它们是否包含：

这不是"大爆炸"式变革。首先将设备登录和设备健康作为每个访问决策的基线。建立可信通道，以便能够实时更新和撤销。然后加强会话的创建和维护方式，使它们绑定到已验证设备上的已验证用户。随着信心增长，你可以移除不必要的提示并将模型扩展到更多应用程序。

大多数IAM系统——包括下一代系统——仍然需要处理非托管或BYOD端点。最安全的方法是限制这些设备只能访问敏感性较低的应用，并对任何关键内容应用更强的控制。

零信任要求我们持续验证用户和设备。今天的IAM试图从外部做到这一点，通过一次性检查和远程提示。这种方法已经达到极限。

这是下一代IAM的基础：准确、有弹性的端点验证、实时信任通道以及无法被盗用的会话。

更强的安全性。更少的中断。攻击者更少的空间。这就是下一代IAM应该提供的。

想要了解这种方法背后的完整框架？ 👉 探索MagicEndpoint的9大原则