零信任要求下一代IAM。以下是原因

我们都认同这个目标：在访问过程中持续验证用户、设备和情境。这就是零信任指引我们的方向。但大多数IAM工具仍然只检查一次，然后就信任数小时。这留下了一个漫长的窗口期，其间情况可能发生变化——而攻击者正利用这一点。

他们并不总是攻破登录环节。他们更常利用登录后产生的会话。令牌和Cookie易于携带却难以控制。因此，组织的应对措施是关闭敏感应用程序的单点登录（SSO），并增加更多的多因素认证（MFA）提示。人们工作效率变慢，挫败感增加，而数据泄露事件仍在继续。

如果零信任和真正的安全至关重要，那么IAM必须改变。需要一种下一代模型。

让我们阐明显而易见（或并非如此）之事！

零信任阐明了原则：持续验证用户和设备。我们建议增加一些实际标准——这些想法看似明显却常被忽视——在当今日益复杂的威胁环境中，它们比以往任何时候都更重要：验证必须准确且具有弹性。

准确意味着检查与正在使用实际设备的真实用户绑定——不仅仅是远程断言（可以理解，远程断言无法达到本地MFA的确定性水平）。

具有弹性意味着即使在网络波动、服务中断或攻击者尝试高级技巧时，保护措施也能持续工作并强制执行。

仅靠远程提示已不再能满足这一标准。深度伪造的语音和视频、社会工程学以及中继工具包都可能欺骗远程检查。

首先，将验证锚定在端点。

将访问权限与正在使用设备的用户绑定。利用设备本地已知的信息：操作系统是否正确用户登录、屏幕是否解锁、硬件密钥是否可用、设备是否健康？必要时，直接在设备上请求本地MFA。这是反复确认“用户+设备”最准确、最具弹性的方式——无需要求人们去解决那些越来越容易被伪造的远程难题。

其次，维持一个实时的可信通道。

信任不能是早上的一个快照；它必须保持实时。端点与身份服务之间可信的、始终在线的连接，能让任何变化发生时，更新信息都能双向即时流动。如果用户锁定了屏幕，如果设备偏离了策略，如果情境发生变化，访问权限会立即调整。不会存在漫长的“一切正常”窗口期，而实际上并非如此。

第三，绑定并保护会话。

大多数现实世界中的攻击是利用了一次干净登录之后产生的会话。下一代IAM必须关闭这扇门。无论你如何实现它，会话都需要绑定到已验证设备上的已验证用户，这样被窃取的Cookie和令牌就无法转移。具体的实现机制可以随时间演进；但这一要求不会改变。如果有人窃取了一个令牌，它在原始设备之外应该毫无用处。

体验变得简单。你登录电脑并开始工作。当一切正常时，没有任何事情会打扰你。如果你离开并锁定了屏幕，访问权限随之暂停。如果你的设备偏离了策略，敏感操作会等到问题修复后再继续。你无需每小时都应对挑战；系统利用它已经掌握的关于你和设备的信息，只有在情境真正需要时才要求更多验证。

控制更贴近事实。决策基于来自端点的实时信号，而非昨天的日志。撤销是实时的，而不是一张服务台工单。会话窃取变得困难得多，因为会话不再脱离设备自由存在。并且由于通道是可信且始终在线的，变更能够快速传播而不会干扰正常工作。

这些功能可以在安全性和用户体验上产生巨大差异。在评估IAM解决方案时，值得考虑它们是否包含：

这不需要“大爆炸”式的改革。首先，将设备登录和设备健康状况作为每次访问决策的基线。建立可信通道，以便能够实时更新和撤销访问权限。然后，加强会话的创建和维护方式，使其绑定到已验证设备上的已验证用户。随着信心的增长，你可以移除不必要的提示，并将此模型扩展到更多应用程序。

大多数IAM系统——包括下一代系统——仍然需要考虑到非受管或自带设备（BYOD）端点。最安全的方法是限制这些设备只能访问敏感度较低的应用程序，并对任何关键资源应用更强的控制。

零信任要求我们持续验证用户和设备。当今的IAM试图从外部通过一次性检查和远程提示来实现这一点。这种方法已达到其极限。

这就是下一代IAM的基础：在端点进行准确、有弹性的验证，一个实时的可信通道，以及无法被窃取的会话。

更强的安全性。更少的中断。给攻击者更少的空间。这才是下一代IAM应该提供的。

想了解这种方法背后的完整框架？ 探索MagicEndpoint的9大原则