你好,我是茆正華。歡迎來到派拉軟件“數(shù)字安全前沿欄目”之解讀《新一代身份和訪問控制管理》的第一講,認(rèn)識IAM(身份和訪問控制管理)。
1.
如何理解IAM?
簡單說,IAM只做兩件事:
1、身份證明和確認(rèn);
2、授予權(quán)限以訪問資源。
用個形象的比喻,IAM就好比當(dāng)我們要進入一棟大樓,這時候我們需要先出示身份證明來驗證我們的身份,然后才能進入大樓。
大樓的管理員會將你的身份和權(quán)限進行管理和控制,確保只有經(jīng)過授權(quán)的人才可以進入特定區(qū)域或使用特定資源。管理員會根據(jù)你的身份和需要給你分配不同的門禁卡,以控制你能夠進入哪些房間或樓層。
這個比喻中的大樓就好比企業(yè)內(nèi)生的數(shù)字世界,每一層樓或房間代表著企業(yè)各個信息化、數(shù)字化系統(tǒng)與資源,甚至可以不斷細(xì)化到某個系統(tǒng)的某個菜單下的某個功能或某個資源等;在某些特定場景下還需要更加深入到數(shù)據(jù)級的行和列的控制。
身份與訪問控制管理(IAM)系統(tǒng)就是大樓的管理系統(tǒng)。它負(fù)責(zé)創(chuàng)建、驗證和管理用戶的身份信息,并分配和控制他們的訪問權(quán)限。
它可以確保只有經(jīng)過身份驗證和授權(quán)的人才能訪問到需要的資源,同時記錄和監(jiān)控他們整個訪問行為,以便進行安全審計和合規(guī)性檢查。
那企業(yè)IAM系統(tǒng)究竟是怎么去管理這些要進入企業(yè)數(shù)字世界的身份和對應(yīng)的訪問權(quán)限呢?這就要回到IAM本身進行解答。
2.
IAM核心內(nèi)容是什么?
首先,我們來看看IAM的定義,英文名稱:Identity and Access Management,中文譯為身份和訪問控制管理。
字面可拆解為身份+身份管理+訪問控制管理。那什么是身份?什么是身份管理?什么又是訪問控制?
身份(Identity),即一個人或?qū)嶓w在特定環(huán)境中被識別和確認(rèn)的方式。它通常由一些特征、屬性、角色、權(quán)限等元素構(gòu)成,用于確定一個人或?qū)嶓w的唯一性和辨識度。它是標(biāo)識物理世界人或?qū)嶓w在數(shù)字世界的孿生復(fù)制體。
身份管理(Identity Management)則指管理和維護用戶身份信息的過程和系統(tǒng)。它包括創(chuàng)建、驗證、授權(quán)、更新和撤銷用戶身份等身份的生命周期管理,以確保身份信息變化能及時并正確的映射到數(shù)字世界。
訪問控制(Access Control)是一種安全機制,用于控制對系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)或資源的訪問權(quán)限。它確定了誰可以訪問何種資源,以及在何種條件下可以訪問。訪問控制的目的是保護敏感信息,防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。
根據(jù)上述定義,我們可以看到,IAM的核心安全管理主線是為了保證正確的身份在正確的授權(quán)前提下訪問正確的企業(yè)系統(tǒng)或資源。
但IAM的核心能力卻并不像上面介紹的這么簡單。根據(jù)Gartner的介紹,IAM核心能力包括身份治理與管理(IGA)、訪問管理(AM)、用戶認(rèn)證、特權(quán)訪問管理(PAM)。
而每一項能力背后都涉及了復(fù)雜的管理思想、安全策略以及技術(shù)實現(xiàn)。后續(xù)在書籍解讀的其他主題分享中會對IGA與PAM進行詳細(xì)介紹,這里主要和大家介紹下用戶認(rèn)證。
用戶認(rèn)證是指以隱含或名義上的信心或信任,對已創(chuàng)建的身份請求進行實時驗證,使其能夠訪問數(shù)字資產(chǎn)。用戶認(rèn)證的本質(zhì)是幫助識別已知用戶,驗證被請求的身份是否屬于發(fā)出請求的用戶。
當(dāng)前,很多企業(yè)機構(gòu)對數(shù)字業(yè)務(wù)的無密碼認(rèn)證技術(shù)越來越感興趣,因為它們提供了更好的用戶體驗,并且可以避免攻擊者利用密碼固有的弱點。例如,密碼可能被盜,且人們在多個網(wǎng)站使用同一個密碼的情況并不少見。
目前,已有多種方法可以實現(xiàn)無密碼認(rèn)證,例如快速身份在線(FIDO)認(rèn)證、“短信令牌”認(rèn)證、OTP認(rèn)證等都被廣泛用于取代密碼。
3.
IAM是為了解決什么問題?
回到實際應(yīng)用,每一項技術(shù)的發(fā)明與出現(xiàn)都是為了解決現(xiàn)實中的實際應(yīng)用問題。為什么企業(yè)需要IAM?IAM是為了解決什么實際問題而產(chǎn)生的?
下面這張圖就非常簡單精準(zhǔn)地展現(xiàn)了IAM在實際應(yīng)用中的作用。
簡單說,IAM就是鏈接現(xiàn)實世界和數(shù)字世界的紐帶,為了把現(xiàn)實世界中的人或?qū)嶓w一比一映射到物理世界,這樣便于在數(shù)字世界里彼此間建立認(rèn)識的基礎(chǔ)。就好比現(xiàn)實世界里的兩個人(無論是彼此熟悉還是陌生)交流互動,往往都要從身份建立認(rèn)識基礎(chǔ)。
但是,有了一比一映射的身份還不行,還需要建立單一可信的、權(quán)威身份信息。否則任何一方撒謊或者偽造身份,數(shù)字世界將無法進行有效的對比認(rèn)證。所以,IAM還需要為數(shù)字化業(yè)務(wù)和系統(tǒng)提供可信的、權(quán)威身份信息。
確保了身份可信,接下來IAM要解決的是實體人和物與業(yè)務(wù)系統(tǒng)的資源訪問權(quán)限不匹配或斷層問題,也就是前面提到的讓正確的身份,在正確的權(quán)限授權(quán)下,訪問正確的資源,從而保障企業(yè)數(shù)據(jù)安全。
那IAM是基于什么樣的管理思路或者訪問控制模型來幫助企業(yè)能夠有效的遵循法律法規(guī)以及企業(yè)管理要求,從而安全有效地管控整個企業(yè)內(nèi)生數(shù)字世界的身份與訪問控制?
4.
訪問控制模型
目前,業(yè)內(nèi)比較流行的訪問控制模型有以下2種,可以給企業(yè)的身份與訪問控制管理提供基本的管理思路與框架:
01 RBAC模型
英文全稱:Role-Based Access Control,譯為基于角色的訪問控制。
即通過不同角色定義相關(guān)權(quán)限和訪問規(guī)則的集合,每個用戶根據(jù)實際需求分配一個或多個角色,根據(jù)角色對應(yīng)的權(quán)限規(guī)則,確定并授予用戶可執(zhí)行的操作和訪問資源權(quán)限。
這種模型簡化了權(quán)限分配和維護的工作,降低了人為錯誤和風(fēng)險。但與此同時,隨著組織規(guī)模增長與復(fù)雜性增加,角色的管理也隨之復(fù)雜,容易出現(xiàn)角色爆炸現(xiàn)象,甚至形成每一個都有獨特的角色(一人一崗),從而加大了管理復(fù)雜度。
此外,RBAC模型在細(xì)粒度上對權(quán)限的控制有限,難以滿足某些復(fù)雜的訪問控制需求。所以,它一般適用于企業(yè)內(nèi)部,對員工、合作伙伴和供應(yīng)商等用戶進行權(quán)限管理和訪問控制。
02 ABAC模型
英文全稱:Attribute-Based Access Control Model,譯為基于屬性的訪問控制。
即通過對用戶、資源、環(huán)境以及上下文等特征屬性的描述,定義基于這些屬性的訪問規(guī)則與策略,例如"只有高級管理人員在上班時間才能訪問敏感數(shù)據(jù)"。從而,依據(jù)設(shè)定的屬性和策略進行訪問控制決策。
這種模型具有較高的靈活性,可以根據(jù)不同的屬性條件進行靈活動態(tài)的訪問控制決策,支持細(xì)粒度的訪問控制,可以基于多個屬性條件進行訪問控制決策,適用于需要基于更復(fù)雜屬性條件進行訪問控制的場景。
例如基于用戶屬性、資源屬性和上下文信息等進行動態(tài)訪問決策的情況。但這也造成了實施的復(fù)雜度與管理、維護成本的增加。
目前,業(yè)內(nèi)流行的零信任安全架構(gòu),就需要基于ABAC模型進行訪問控制管控,從而滿足“從不信任,始終驗證”的安全理念。
這些理論體系和模型提供了不同的方法和框架來管理身份和訪問權(quán)限,以確保系統(tǒng)和資源的安全性和合規(guī)性。企業(yè)可以根據(jù)自身需求和情況選擇適合的模型,并結(jié)合最佳實踐和安全控制措施來實施身份與訪問管理,從而保護企業(yè)敏感數(shù)據(jù)和系統(tǒng)的安全。
5.
IAM發(fā)展歷程
最后,我們再來看看IAM的發(fā)展。隨著數(shù)字化轉(zhuǎn)型深化,企業(yè)對身份管理和訪問控制需求的不斷提高,IAM技術(shù)也在逐步演變和升級。
從3A級別的身份與訪問管理,實現(xiàn)身份驗證(Authentication)、授權(quán)(Authorization)和賬戶管理(Accounting)。
其中,身份驗證用于確認(rèn)用戶的身份,授權(quán)確定用戶在系統(tǒng)中的訪問權(quán)限,賬戶管理涉及用戶賬戶、認(rèn)證、權(quán)限等的創(chuàng)建、配置、更新和刪除等內(nèi)容。
隨后,4A在3A的基礎(chǔ)上增加了審計(Auditing),實現(xiàn)對用戶操作行為的記錄和監(jiān)控,以便進行安全審計和合規(guī)性檢查。
5A則在4A的基礎(chǔ)上增加了分析(Analytics),通過持續(xù)收集和處理身份相關(guān)的配置、分配和使用數(shù)據(jù),獲得運營和安全方面的深刻認(rèn)識,從而為身份安全治理提供依據(jù),甚至預(yù)測性。
從IAM的發(fā)展歷程,我們可以看到IAM正在不斷地被完善并加強。所以,企業(yè)在落地IAM項目實踐過程中,需要轉(zhuǎn)換思維,要明白IAM的定位應(yīng)該是數(shù)字業(yè)務(wù)的推動者,而不僅是一個安全技術(shù)項目。它需要持續(xù)和長期的投資,而不能作為一次性項目來對待。
未來,IAM還會繼續(xù)強化,尤其是在AI、區(qū)塊鏈、大數(shù)據(jù)、算法等新技術(shù)的加持下,IAM將會使得企業(yè)的身份與訪問控制管理變得更加高效化、自動化、智能化。
這也是派拉軟件今年在重點攻破的方向。至于具體會帶來什么樣的新變化,我們后續(xù)課程會不斷更新。
下期預(yù)告
下一講,我將為你介紹零信任,以及IAM為何能成為零信任安全架構(gòu)三大核心組件的最核心!
我們下期內(nèi)容再見,也歡迎你在文末留言,對本期內(nèi)容進行探討,我會盡力解答!