零信任要求下一代IAM：原因解析

我们都认同这个目标：在整个访问过程中持续验证用户、设备和情境。这就是零信任指引我们的方向。但大多数IAM工具仍然只检查一次，然后就信任数小时。这留下了很长的窗口期，期间情况可能发生变化——攻击者正利用这一点。

攻击者并不总是突破登录环节。他们会重用登录后的会话。令牌和Cookie易于携带却难以控制。因此组织通过关闭敏感应用的SSO并增加更多MFA提示来应对。人们效率降低、更加沮丧，而数据泄露仍在持续发生。

如果零信任和真正安全很重要，IAM就必须改变。需要下一代模型。

澄清显而易见——却常被忽视的原则

零信任阐明了原则：持续验证用户和设备。我们建议增加几个实用标准——这些看似明显却常被忽略的理念，在当今日益复杂的威胁环境中比以往任何时候都更重要：验证必须准确且具有弹性。

准确意味着检查要与实际使用设备上的真实用户绑定——不仅仅是远程断言，这理所当然无法与本地MFA的确定性相匹配。

弹性意味着即使网络波动、服务中断或攻击者尝试高级技巧，保护仍能持续工作和执行。

仅靠远程提示已不再满足这一标准。深度伪造语音视频、社会工程学和中继工具包都能欺骗远程检查。

将访问与用户正在使用的设备绑定。利用设备本地已知信息：是否正确用户登录了操作系统、屏幕是否解锁、硬件密钥是否可用、设备是否健康？需要时，直接在设备上请求本地MFA。这是反复确认“用户+设备”最准确、最具弹性的方式——无需让人们解决越来越容易伪造的远程谜题。

信任不能是早上的快照；必须保持实时。端点与身份服务之间可信的常连接让更新在情况变化时能双向流动。如果用户锁定屏幕、设备偏离策略或情境变化，访问立即调整。没有漫长的“一切正常”窗口期，即使事实并非如此。

大多数现实世界攻击利用的是干净登录后的会话。下一代IAM必须关闭这扇门。无论如何实现，会话都需要绑定到已验证设备的已验证用户，这样被窃取的Cookie和令牌就无法转移。具体机制可以随时间演进；但需求不会改变。如果有人窃取令牌，它在原设备外应该毫无用处。

体验变得简单。您登录计算机并开始工作。一切正常时没有任何干扰。如果您离开并锁定屏幕，访问随之暂停。如果您的设备偏离策略，敏感操作会等待问题修复。您无需每小时解决挑战；系统利用它已知的关于您和设备的信息，只在情境真正需要时要求更多验证。

控制更接近事实。决策基于来自端点的实时信号，而非昨天的日志。撤销是实时的，而非服务台工单。会话盗窃变得困难得多，因为会话不再与设备分离。由于通道可信且常开，变更能快速传播而不干扰正常工作。

这些功能能在安全性和用户体验上产生重大影响。评估IAM解决方案时，值得考虑是否包含：

这不是“大爆炸”式变革。首先将设备登录和设备健康作为每个访问决策的基线。建立可信通道以便实时更新和撤销。然后收紧会话创建和维护方式，使其绑定到已验证设备的已验证用户。随着信心增长，可以移除不必要的提示并将模型扩展到更多应用。

大多数IAM系统——包括下一代系统——仍需考虑非托管或BYOD端点。最安全的方法是限制这些设备只能访问低敏感度应用，并对任何关键内容应用更强控制。

零信任要求我们持续验证用户和设备。今天的IAM试图从外部通过一次性检查和远程提示来实现。这种方法已达到极限。

这就是下一代IAM的基础：准确、弹性的端点验证，实时信任通道，以及无法被盗取的会话。

更强的安全性。更少的中断。攻击者更少的空间。这就是下一代IAM应该提供的。

想了解这种方法背后的完整框架？探索MagicEndpoint的9大原则