簡(jiǎn)單說(shuō),IAM只做兩件事:
1��、身份證明和確認(rèn)��;
2��、授予權(quán)限以訪問(wèn)資源����。
用個(gè)形象的比喻���,IAM就好比當(dāng)我們要進(jìn)入一棟大樓�,這時(shí)候我們需要先出示身份證明來(lái)驗(yàn)證我們的身份�����,然后才能進(jìn)入大樓��。
大樓的管理員會(huì)將你的身份和權(quán)限進(jìn)行管理和控制����,確保只有經(jīng)過(guò)授權(quán)的人才可以進(jìn)入特定區(qū)域或使用特定資源���。管理員會(huì)根據(jù)你的身份和需要給你分配不同的門(mén)禁卡,以控制你能夠進(jìn)入哪些房間或樓層���。
這個(gè)比喻中的大樓就好比企業(yè)內(nèi)生的數(shù)字世界�,每一層樓或房間代表著企業(yè)各個(gè)信息化�����、數(shù)字化系統(tǒng)與資源�����,甚至可以不斷細(xì)化到某個(gè)系統(tǒng)的某個(gè)菜單下的某個(gè)功能或某個(gè)資源等��;在某些特定場(chǎng)景下還需要更加深入到數(shù)據(jù)級(jí)的行和列的控制���。
身份與訪問(wèn)控制管理(IAM)系統(tǒng)就是大樓的管理系統(tǒng)��。它負(fù)責(zé)創(chuàng)建�、驗(yàn)證和管理用戶(hù)的身份信息�����,并分配和控制他們的訪問(wèn)權(quán)限。
它可以確保只有經(jīng)過(guò)身份驗(yàn)證和授權(quán)的人才能訪問(wèn)到需要的資源��,同時(shí)記錄和監(jiān)控他們整個(gè)訪問(wèn)行為����,以便進(jìn)行安全審計(jì)和合規(guī)性檢查。
那企業(yè)IAM系統(tǒng)究竟是怎么去管理這些要進(jìn)入企業(yè)數(shù)字世界的身份和對(duì)應(yīng)的訪問(wèn)權(quán)限呢��?這就要回到IAM本身進(jìn)行解答���。
首先���,我們來(lái)看看IAM的定義�����,英文名稱(chēng):Identity and Access Management���,中文譯為身份和訪問(wèn)控制管理。
字面可拆解為身份+身份管理+訪問(wèn)控制管理���。那什么是身份����?什么是身份管理?什么又是訪問(wèn)控制�����?
身份(Identity)�,即一個(gè)人或?qū)嶓w在特定環(huán)境中被識(shí)別和確認(rèn)的方式。它通常由一些特征��、屬性����、角色、權(quán)限等元素構(gòu)成����,用于確定一個(gè)人或?qū)嶓w的唯一性和辨識(shí)度。它是標(biāo)識(shí)物理世界人或?qū)嶓w在數(shù)字世界的孿生復(fù)制體�。
身份管理(Identity Management)則指管理和維護(hù)用戶(hù)身份信息的過(guò)程和系統(tǒng)。它包括創(chuàng)建�����、驗(yàn)證、授權(quán)�����、更新和撤銷(xiāo)用戶(hù)身份等身份的生命周期管理��,以確保身份信息變化能及時(shí)并正確的映射到數(shù)字世界���。
訪問(wèn)控制(Access Control)是一種安全機(jī)制���,用于控制對(duì)系統(tǒng)、應(yīng)用程序���、網(wǎng)絡(luò)或資源的訪問(wèn)權(quán)限����。它確定了誰(shuí)可以訪問(wèn)何種資源��,以及在何種條件下可以訪問(wèn)�。訪問(wèn)控制的目的是保護(hù)敏感信息��,防止未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露���。
根據(jù)上述定義����,我們可以看到,IAM的核心安全管理主線是為了保證正確的身份在正確的授權(quán)前提下訪問(wèn)正確的企業(yè)系統(tǒng)或資源����。
但I(xiàn)AM的核心能力卻并不像上面介紹的這么簡(jiǎn)單。根據(jù)Gartner的介紹��,IAM核心能力包括身份治理與管理(IGA)�、訪問(wèn)管理(AM)、用戶(hù)認(rèn)證��、特權(quán)訪問(wèn)管理(PAM)���。
而每一項(xiàng)能力背后都涉及了復(fù)雜的管理思想�、安全策略以及技術(shù)實(shí)現(xiàn)�。后續(xù)在書(shū)籍解讀的其他主題分享中會(huì)對(duì)IGA與PAM進(jìn)行詳細(xì)介紹,這里主要和大家介紹下用戶(hù)認(rèn)證�����。
用戶(hù)認(rèn)證是指以隱含或名義上的信心或信任,對(duì)已創(chuàng)建的身份請(qǐng)求進(jìn)行實(shí)時(shí)驗(yàn)證��,使其能夠訪問(wèn)數(shù)字資產(chǎn)�。用戶(hù)認(rèn)證的本質(zhì)是幫助識(shí)別已知用戶(hù),驗(yàn)證被請(qǐng)求的身份是否屬于發(fā)出請(qǐng)求的用戶(hù)���。
當(dāng)前����,很多企業(yè)機(jī)構(gòu)對(duì)數(shù)字業(yè)務(wù)的無(wú)密碼認(rèn)證技術(shù)越來(lái)越感興趣��,因?yàn)樗鼈兲峁┝烁玫挠脩?hù)體驗(yàn)���,并且可以避免攻擊者利用密碼固有的弱點(diǎn)���。例如,密碼可能被盜�,且人們?cè)诙鄠€(gè)網(wǎng)站使用同一個(gè)密碼的情況并不少見(jiàn)。
目前�,已有多種方法可以實(shí)現(xiàn)無(wú)密碼認(rèn)證,例如快速身份在線(FIDO)認(rèn)證�、“短信令牌”認(rèn)證����、OTP認(rèn)證等都被廣泛用于取代密碼�����。
回到實(shí)際應(yīng)用���,每一項(xiàng)技術(shù)的發(fā)明與出現(xiàn)都是為了解決現(xiàn)實(shí)中的實(shí)際應(yīng)用問(wèn)題。為什么企業(yè)需要IAM�?IAM是為了解決什么實(shí)際問(wèn)題而產(chǎn)生的?
下面這張圖就非常簡(jiǎn)單精準(zhǔn)地展現(xiàn)了IAM在實(shí)際應(yīng)用中的作用���。
.jpg)
簡(jiǎn)單說(shuō)���,IAM就是鏈接現(xiàn)實(shí)世界和數(shù)字世界的紐帶,為了把現(xiàn)實(shí)世界中的人或?qū)嶓w一比一映射到物理世界��,這樣便于在數(shù)字世界里彼此間建立認(rèn)識(shí)的基礎(chǔ)����。就好比現(xiàn)實(shí)世界里的兩個(gè)人(無(wú)論是彼此熟悉還是陌生)交流互動(dòng),往往都要從身份建立認(rèn)識(shí)基礎(chǔ)��。
但是,有了一比一映射的身份還不行�����,還需要建立單一可信的�����、權(quán)威身份信息���。否則任何一方撒謊或者偽造身份�,數(shù)字世界將無(wú)法進(jìn)行有效的對(duì)比認(rèn)證����。所以,IAM還需要為數(shù)字化業(yè)務(wù)和系統(tǒng)提供可信的��、權(quán)威身份信息��。
確保了身份可信����,接下來(lái)IAM要解決的是實(shí)體人和物與業(yè)務(wù)系統(tǒng)的資源訪問(wèn)權(quán)限不匹配或斷層問(wèn)題,也就是前面提到的讓正確的身份�����,在正確的權(quán)限授權(quán)下�����,訪問(wèn)正確的資源�,從而保障企業(yè)數(shù)據(jù)安全。
那IAM是基于什么樣的管理思路或者訪問(wèn)控制模型來(lái)幫助企業(yè)能夠有效的遵循法律法規(guī)以及企業(yè)管理要求�,從而安全有效地管控整個(gè)企業(yè)內(nèi)生數(shù)字世界的身份與訪問(wèn)控制?
目前���,業(yè)內(nèi)比較流行的訪問(wèn)控制模型有以下2種����,可以給企業(yè)的身份與訪問(wèn)控制管理提供基本的管理思路與框架:
01 RBAC模型
英文全稱(chēng):Role-Based Access Control����,譯為基于角色的訪問(wèn)控制。
即通過(guò)不同角色定義相關(guān)權(quán)限和訪問(wèn)規(guī)則的集合�,每個(gè)用戶(hù)根據(jù)實(shí)際需求分配一個(gè)或多個(gè)角色,根據(jù)角色對(duì)應(yīng)的權(quán)限規(guī)則�����,確定并授予用戶(hù)可執(zhí)行的操作和訪問(wèn)資源權(quán)限。
這種模型簡(jiǎn)化了權(quán)限分配和維護(hù)的工作����,降低了人為錯(cuò)誤和風(fēng)險(xiǎn)。但與此同時(shí)�,隨著組織規(guī)模增長(zhǎng)與復(fù)雜性增加,角色的管理也隨之復(fù)雜�,容易出現(xiàn)角色爆炸現(xiàn)象,甚至形成每一個(gè)都有獨(dú)特的角色(一人一崗)����,從而加大了管理復(fù)雜度。
此外�����,RBAC模型在細(xì)粒度上對(duì)權(quán)限的控制有限�,難以滿(mǎn)足某些復(fù)雜的訪問(wèn)控制需求。所以���,它一般適用于企業(yè)內(nèi)部����,對(duì)員工����、合作伙伴和供應(yīng)商等用戶(hù)進(jìn)行權(quán)限管理和訪問(wèn)控制�����。
02 ABAC模型
英文全稱(chēng):Attribute-Based Access Control Model,譯為基于屬性的訪問(wèn)控制��。
即通過(guò)對(duì)用戶(hù)����、資源、環(huán)境以及上下文等特征屬性的描述��,定義基于這些屬性的訪問(wèn)規(guī)則與策略�����,例如"只有高級(jí)管理人員在上班時(shí)間才能訪問(wèn)敏感數(shù)據(jù)"����。從而,依據(jù)設(shè)定的屬性和策略進(jìn)行訪問(wèn)控制決策����。
這種模型具有較高的靈活性�,可以根據(jù)不同的屬性條件進(jìn)行靈活動(dòng)態(tài)的訪問(wèn)控制決策�����,支持細(xì)粒度的訪問(wèn)控制�,可以基于多個(gè)屬性條件進(jìn)行訪問(wèn)控制決策,適用于需要基于更復(fù)雜屬性條件進(jìn)行訪問(wèn)控制的場(chǎng)景��。
例如基于用戶(hù)屬性�����、資源屬性和上下文信息等進(jìn)行動(dòng)態(tài)訪問(wèn)決策的情況����。但這也造成了實(shí)施的復(fù)雜度與管理、維護(hù)成本的增加���。
目前���,業(yè)內(nèi)流行的零信任安全架構(gòu),就需要基于ABAC模型進(jìn)行訪問(wèn)控制管控�,從而滿(mǎn)足“從不信任,始終驗(yàn)證”的安全理念����。
這些理論體系和模型提供了不同的方法和框架來(lái)管理身份和訪問(wèn)權(quán)限�,以確保系統(tǒng)和資源的安全性和合規(guī)性���。企業(yè)可以根據(jù)自身需求和情況選擇適合的模型�����,并結(jié)合最佳實(shí)踐和安全控制措施來(lái)實(shí)施身份與訪問(wèn)管理,從而保護(hù)企業(yè)敏感數(shù)據(jù)和系統(tǒng)的安全��。
最后����,我們?cè)賮?lái)看看IAM的發(fā)展。隨著數(shù)字化轉(zhuǎn)型深化��,企業(yè)對(duì)身份管理和訪問(wèn)控制需求的不斷提高��,IAM技術(shù)也在逐步演變和升級(jí)��。
從3A級(jí)別的身份與訪問(wèn)管理�����,實(shí)現(xiàn)身份驗(yàn)證(Authentication)、授權(quán)(Authorization)和賬戶(hù)管理(Accounting)�。
其中,身份驗(yàn)證用于確認(rèn)用戶(hù)的身份�,授權(quán)確定用戶(hù)在系統(tǒng)中的訪問(wèn)權(quán)限,賬戶(hù)管理涉及用戶(hù)賬戶(hù)��、認(rèn)證�����、權(quán)限等的創(chuàng)建�����、配置���、更新和刪除等內(nèi)容��。
隨后���,4A在3A的基礎(chǔ)上增加了審計(jì)(Auditing),實(shí)現(xiàn)對(duì)用戶(hù)操作行為的記錄和監(jiān)控�,以便進(jìn)行安全審計(jì)和合規(guī)性檢查。
5A則在4A的基礎(chǔ)上增加了分析(Analytics),通過(guò)持續(xù)收集和處理身份相關(guān)的配置���、分配和使用數(shù)據(jù)����,獲得運(yùn)營(yíng)和安全方面的深刻認(rèn)識(shí)��,從而為身份安全治理提供依據(jù)��,甚至預(yù)測(cè)性�。
從IAM的發(fā)展歷程,我們可以看到IAM正在不斷地被完善并加強(qiáng)��。所以�,企業(yè)在落地IAM項(xiàng)目實(shí)踐過(guò)程中�����,需要轉(zhuǎn)換思維���,要明白IAM的定位應(yīng)該是數(shù)字業(yè)務(wù)的推動(dòng)者�����,而不僅是一個(gè)安全技術(shù)項(xiàng)目����。它需要持續(xù)和長(zhǎng)期的投資,而不能作為一次性項(xiàng)目來(lái)對(duì)待���。
未來(lái)����,IAM還會(huì)繼續(xù)強(qiáng)化��,尤其是在AI���、區(qū)塊鏈����、大數(shù)據(jù)����、算法等新技術(shù)的加持下,IAM將會(huì)使得企業(yè)的身份與訪問(wèn)控制管理變得更加高效化����、自動(dòng)化���、智能化。
這也是派拉軟件今年在重點(diǎn)攻破的方向�。至于具體會(huì)帶來(lái)什么樣的新變化,我們后續(xù)課程會(huì)不斷更新��。
下一講�����,我將為你介紹零信任���,以及IAM為何能成為零信任安全架構(gòu)三大核心組件的最核心�!
我們下期內(nèi)容再見(jiàn)��,也歡迎你在文末留言�,對(duì)本期內(nèi)容進(jìn)行探討,我會(huì)盡力解答�����!
員工身份與訪問(wèn)控制eIAM
客戶(hù)身份與訪問(wèn)控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測(cè)API-SD
API管理平臺(tái)APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問(wèn)管理PAM
數(shù)據(jù)庫(kù)訪問(wèn)管理CQ
數(shù)據(jù)治理平臺(tái)PDMP
一體化零信任
運(yùn)維安全
數(shù)據(jù)安全治理
遠(yuǎn)程辦公安全
國(guó)產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺(tái)
數(shù)字化員工門(mén)戶(hù)
.jpg)
.jpg)
熱門(mén)文章
7*24小時(shí)服務(wù)
專(zhuān)屬安全顧問(wèn)
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號(hào)