你好,我是茆正华。欢迎来到派拉软件“数字安全前沿栏目”之解读《新一代身份和访问控制管理》的第一讲,认识IAM(身份和访问控制管理)。
1.
如何理解IAM?
简单说,IAM只做两件事:
1、身份证明和确认;
2、授予权限以访问资源。
用个形象的比喻,IAM就好比当我们要进入一栋大楼,这时候我们需要先出示身份证明来验证我们的身份,然后才能进入大楼。
大楼的管理员会将你的身份和权限进行管理和控制,确保只有经过授权的人才可以进入特定区域或使用特定资源。管理员会根据你的身份和需要给你分配不同的门禁卡,以控制你能够进入哪些房间或楼层。
这个比喻中的大楼就好比企业内生的数字世界,每一层楼或房间代表着企业各个信息化、数字化系统与资源,甚至可以不断细化到某个系统的某个菜单下的某个功能或某个资源等;在某些特定场景下还需要更加深入到数据级的行和列的控制。
身份与访问控制管理(IAM)系统就是大楼的管理系统。它负责创建、验证和管理用户的身份信息,并分配和控制他们的访问权限。
它可以确保只有经过身份验证和授权的人才能访问到需要的资源,同时记录和监控他们整个访问行为,以便进行安全审计和合规性检查。
那企业IAM系统究竟是怎么去管理这些要进入企业数字世界的身份和对应的访问权限呢?这就要回到IAM本身进行解答。
2.
IAM核心内容是什么?
首先,我们来看看IAM的定义,英文名称:Identity and Access Management,中文译为身份和访问控制管理。
字面可拆解为身份+身份管理+访问控制管理。那什么是身份?什么是身份管理?什么又是访问控制?
身份(Identity),即一个人或实体在特定环境中被识别和确认的方式。它通常由一些特征、属性、角色、权限等元素构成,用于确定一个人或实体的唯一性和辨识度。它是标识物理世界人或实体在数字世界的孪生复制体。
身份管理(Identity Management)则指管理和维护用户身份信息的过程和系统。它包括创建、验证、授权、更新和撤销用户身份等身份的生命周期管理,以确保身份信息变化能及时并正确的映射到数字世界。
访问控制(Access Control)是一种安全机制,用于控制对系统、应用程序、网络或资源的访问权限。它确定了谁可以访问何种资源,以及在何种条件下可以访问。访问控制的目的是保护敏感信息,防止未经授权的访问和数据泄露。
根据上述定义,我们可以看到,IAM的核心安全管理主线是为了保证正确的身份在正确的授权前提下访问正确的企业系统或资源。
但IAM的核心能力却并不像上面介绍的这么简单。根据Gartner的介绍,IAM核心能力包括身份治理与管理(IGA)、访问管理(AM)、用户认证、特权访问管理(PAM)。
而每一项能力背后都涉及了复杂的管理思想、安全策略以及技术实现。后续在书籍解读的其他主题分享中会对IGA与PAM进行详细介绍,这里主要和大家介绍下用户认证。
用户认证是指以隐含或名义上的信心或信任,对已创建的身份请求进行实时验证,使其能够访问数字资产。用户认证的本质是帮助识别已知用户,验证被请求的身份是否属于发出请求的用户。
当前,很多企业机构对数字业务的无密码认证技术越来越感兴趣,因为它们提供了更好的用户体验,并且可以避免攻击者利用密码固有的弱点。例如,密码可能被盗,且人们在多个网站使用同一个密码的情况并不少见。
目前,已有多种方法可以实现无密码认证,例如快速身份在线(FIDO)认证、“短信令牌”认证、OTP认证等都被广泛用于取代密码。
3.
IAM是为了解决什么问题?
回到实际应用,每一项技术的发明与出现都是为了解决现实中的实际应用问题。为什么企业需要IAM?IAM是为了解决什么实际问题而产生的?
下面这张图就非常简单精准地展现了IAM在实际应用中的作用。
简单说,IAM就是链接现实世界和数字世界的纽带,为了把现实世界中的人或实体一比一映射到物理世界,这样便于在数字世界里彼此间建立认识的基础。就好比现实世界里的两个人(无论是彼此熟悉还是陌生)交流互动,往往都要从身份建立认识基础。
但是,有了一比一映射的身份还不行,还需要建立单一可信的、权威身份信息。否则任何一方撒谎或者伪造身份,数字世界将无法进行有效的对比认证。所以,IAM还需要为数字化业务和系统提供可信的、权威身份信息。
确保了身份可信,接下来IAM要解决的是实体人和物与业务系统的资源访问权限不匹配或断层问题,也就是前面提到的让正确的身份,在正确的权限授权下,访问正确的资源,从而保障企业数据安全。
那IAM是基于什么样的管理思路或者访问控制模型来帮助企业能够有效的遵循法律法规以及企业管理要求,从而安全有效地管控整个企业内生数字世界的身份与访问控制?
4.
访问控制模型
目前,业内比较流行的访问控制模型有以下2种,可以给企业的身份与访问控制管理提供基本的管理思路与框架:
01 RBAC模型
英文全称:Role-Based Access Control,译为基于角色的访问控制。
即通过不同角色定义相关权限和访问规则的集合,每个用户根据实际需求分配一个或多个角色,根据角色对应的权限规则,确定并授予用户可执行的操作和访问资源权限。
这种模型简化了权限分配和维护的工作,降低了人为错误和风险。但与此同时,随着组织规模增长与复杂性增加,角色的管理也随之复杂,容易出现角色爆炸现象,甚至形成每一个都有独特的角色(一人一岗),从而加大了管理复杂度。
此外,RBAC模型在细粒度上对权限的控制有限,难以满足某些复杂的访问控制需求。所以,它一般适用于企业内部,对员工、合作伙伴和供应商等用户进行权限管理和访问控制。
02 ABAC模型
英文全称:Attribute-Based Access Control Model,译为基于属性的访问控制。
即通过对用户、资源、环境以及上下文等特征属性的描述,定义基于这些属性的访问规则与策略,例如"只有高级管理人员在上班时间才能访问敏感数据"。从而,依据设定的属性和策略进行访问控制决策。
这种模型具有较高的灵活性,可以根据不同的属性条件进行灵活动态的访问控制决策,支持细粒度的访问控制,可以基于多个属性条件进行访问控制决策,适用于需要基于更复杂属性条件进行访问控制的场景。
例如基于用户属性、资源属性和上下文信息等进行动态访问决策的情况。但这也造成了实施的复杂度与管理、维护成本的增加。
目前,业内流行的零信任安全架构,就需要基于ABAC模型进行访问控制管控,从而满足“从不信任,始终验证”的安全理念。
这些理论体系和模型提供了不同的方法和框架来管理身份和访问权限,以确保系统和资源的安全性和合规性。企业可以根据自身需求和情况选择适合的模型,并结合最佳实践和安全控制措施来实施身份与访问管理,从而保护企业敏感数据和系统的安全。
5.
IAM发展历程
最后,我们再来看看IAM的发展。随着数字化转型深化,企业对身份管理和访问控制需求的不断提高,IAM技术也在逐步演变和升级。
从3A级别的身份与访问管理,实现身份验证(Authentication)、授权(Authorization)和账户管理(Accounting)。
其中,身份验证用于确认用户的身份,授权确定用户在系统中的访问权限,账户管理涉及用户账户、认证、权限等的创建、配置、更新和删除等内容。
随后,4A在3A的基础上增加了审计(Auditing),实现对用户操作行为的记录和监控,以便进行安全审计和合规性检查。
5A则在4A的基础上增加了分析(Analytics),通过持续收集和处理身份相关的配置、分配和使用数据,获得运营和安全方面的深刻认识,从而为身份安全治理提供依据,甚至预测性。
从IAM的发展历程,我们可以看到IAM正在不断地被完善并加强。所以,企业在落地IAM项目实践过程中,需要转换思维,要明白IAM的定位应该是数字业务的推动者,而不仅是一个安全技术项目。它需要持续和长期的投资,而不能作为一次性项目来对待。
未来,IAM还会继续强化,尤其是在AI、区块链、大数据、算法等新技术的加持下,IAM将会使得企业的身份与访问控制管理变得更加高效化、自动化、智能化。
这也是派拉软件今年在重点攻破的方向。至于具体会带来什么样的新变化,我们后续课程会不断更新。
下期预告
下一讲,我将为你介绍零信任,以及IAM为何能成为零信任安全架构三大核心组件的最核心!
我们下期内容再见,也欢迎你在文末留言,对本期内容进行探讨,我会尽力解答!