你好,我是茆正華。歡迎來到派拉軟件“數(shù)字安全前沿欄目”之解讀《新一代身份和訪問控制管理》的第一講,認(rèn)識(shí)IAM(身份和訪問控制管理)。
1.
如何理解IAM?
簡單說,IAM只做兩件事:
1、身份證明和確認(rèn);
2、授予權(quán)限以訪問資源。
用個(gè)形象的比喻,IAM就好比當(dāng)我們要進(jìn)入一棟大樓,這時(shí)候我們需要先出示身份證明來驗(yàn)證我們的身份,然后才能進(jìn)入大樓。
大樓的管理員會(huì)將你的身份和權(quán)限進(jìn)行管理和控制,確保只有經(jīng)過授權(quán)的人才可以進(jìn)入特定區(qū)域或使用特定資源。管理員會(huì)根據(jù)你的身份和需要給你分配不同的門禁卡,以控制你能夠進(jìn)入哪些房間或樓層。
這個(gè)比喻中的大樓就好比企業(yè)內(nèi)生的數(shù)字世界,每一層樓或房間代表著企業(yè)各個(gè)信息化、數(shù)字化系統(tǒng)與資源,甚至可以不斷細(xì)化到某個(gè)系統(tǒng)的某個(gè)菜單下的某個(gè)功能或某個(gè)資源等;在某些特定場(chǎng)景下還需要更加深入到數(shù)據(jù)級(jí)的行和列的控制。
身份與訪問控制管理(IAM)系統(tǒng)就是大樓的管理系統(tǒng)。它負(fù)責(zé)創(chuàng)建、驗(yàn)證和管理用戶的身份信息,并分配和控制他們的訪問權(quán)限。
它可以確保只有經(jīng)過身份驗(yàn)證和授權(quán)的人才能訪問到需要的資源,同時(shí)記錄和監(jiān)控他們整個(gè)訪問行為,以便進(jìn)行安全審計(jì)和合規(guī)性檢查。
那企業(yè)IAM系統(tǒng)究竟是怎么去管理這些要進(jìn)入企業(yè)數(shù)字世界的身份和對(duì)應(yīng)的訪問權(quán)限呢?這就要回到IAM本身進(jìn)行解答。
2.
IAM核心內(nèi)容是什么?
首先,我們來看看IAM的定義,英文名稱:Identity and Access Management,中文譯為身份和訪問控制管理。
字面可拆解為身份+身份管理+訪問控制管理。那什么是身份?什么是身份管理?什么又是訪問控制?
身份(Identity),即一個(gè)人或?qū)嶓w在特定環(huán)境中被識(shí)別和確認(rèn)的方式。它通常由一些特征、屬性、角色、權(quán)限等元素構(gòu)成,用于確定一個(gè)人或?qū)嶓w的唯一性和辨識(shí)度。它是標(biāo)識(shí)物理世界人或?qū)嶓w在數(shù)字世界的孿生復(fù)制體。
身份管理(Identity Management)則指管理和維護(hù)用戶身份信息的過程和系統(tǒng)。它包括創(chuàng)建、驗(yàn)證、授權(quán)、更新和撤銷用戶身份等身份的生命周期管理,以確保身份信息變化能及時(shí)并正確的映射到數(shù)字世界。
訪問控制(Access Control)是一種安全機(jī)制,用于控制對(duì)系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)或資源的訪問權(quán)限。它確定了誰可以訪問何種資源,以及在何種條件下可以訪問。訪問控制的目的是保護(hù)敏感信息,防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。
根據(jù)上述定義,我們可以看到,IAM的核心安全管理主線是為了保證正確的身份在正確的授權(quán)前提下訪問正確的企業(yè)系統(tǒng)或資源。
但I(xiàn)AM的核心能力卻并不像上面介紹的這么簡單。根據(jù)Gartner的介紹,IAM核心能力包括身份治理與管理(IGA)、訪問管理(AM)、用戶認(rèn)證、特權(quán)訪問管理(PAM)。
而每一項(xiàng)能力背后都涉及了復(fù)雜的管理思想、安全策略以及技術(shù)實(shí)現(xiàn)。后續(xù)在書籍解讀的其他主題分享中會(huì)對(duì)IGA與PAM進(jìn)行詳細(xì)介紹,這里主要和大家介紹下用戶認(rèn)證。
用戶認(rèn)證是指以隱含或名義上的信心或信任,對(duì)已創(chuàng)建的身份請(qǐng)求進(jìn)行實(shí)時(shí)驗(yàn)證,使其能夠訪問數(shù)字資產(chǎn)。用戶認(rèn)證的本質(zhì)是幫助識(shí)別已知用戶,驗(yàn)證被請(qǐng)求的身份是否屬于發(fā)出請(qǐng)求的用戶。
當(dāng)前,很多企業(yè)機(jī)構(gòu)對(duì)數(shù)字業(yè)務(wù)的無密碼認(rèn)證技術(shù)越來越感興趣,因?yàn)樗鼈兲峁┝烁玫挠脩趔w驗(yàn),并且可以避免攻擊者利用密碼固有的弱點(diǎn)。例如,密碼可能被盜,且人們?cè)诙鄠€(gè)網(wǎng)站使用同一個(gè)密碼的情況并不少見。
目前,已有多種方法可以實(shí)現(xiàn)無密碼認(rèn)證,例如快速身份在線(FIDO)認(rèn)證、“短信令牌”認(rèn)證、OTP認(rèn)證等都被廣泛用于取代密碼。
3.
IAM是為了解決什么問題?
回到實(shí)際應(yīng)用,每一項(xiàng)技術(shù)的發(fā)明與出現(xiàn)都是為了解決現(xiàn)實(shí)中的實(shí)際應(yīng)用問題。為什么企業(yè)需要IAM?IAM是為了解決什么實(shí)際問題而產(chǎn)生的?
下面這張圖就非常簡單精準(zhǔn)地展現(xiàn)了IAM在實(shí)際應(yīng)用中的作用。
簡單說,IAM就是鏈接現(xiàn)實(shí)世界和數(shù)字世界的紐帶,為了把現(xiàn)實(shí)世界中的人或?qū)嶓w一比一映射到物理世界,這樣便于在數(shù)字世界里彼此間建立認(rèn)識(shí)的基礎(chǔ)。就好比現(xiàn)實(shí)世界里的兩個(gè)人(無論是彼此熟悉還是陌生)交流互動(dòng),往往都要從身份建立認(rèn)識(shí)基礎(chǔ)。
但是,有了一比一映射的身份還不行,還需要建立單一可信的、權(quán)威身份信息。否則任何一方撒謊或者偽造身份,數(shù)字世界將無法進(jìn)行有效的對(duì)比認(rèn)證。所以,IAM還需要為數(shù)字化業(yè)務(wù)和系統(tǒng)提供可信的、權(quán)威身份信息。
確保了身份可信,接下來IAM要解決的是實(shí)體人和物與業(yè)務(wù)系統(tǒng)的資源訪問權(quán)限不匹配或斷層問題,也就是前面提到的讓正確的身份,在正確的權(quán)限授權(quán)下,訪問正確的資源,從而保障企業(yè)數(shù)據(jù)安全。
那IAM是基于什么樣的管理思路或者訪問控制模型來幫助企業(yè)能夠有效的遵循法律法規(guī)以及企業(yè)管理要求,從而安全有效地管控整個(gè)企業(yè)內(nèi)生數(shù)字世界的身份與訪問控制?
4.
訪問控制模型
目前,業(yè)內(nèi)比較流行的訪問控制模型有以下2種,可以給企業(yè)的身份與訪問控制管理提供基本的管理思路與框架:
01 RBAC模型
英文全稱:Role-Based Access Control,譯為基于角色的訪問控制。
即通過不同角色定義相關(guān)權(quán)限和訪問規(guī)則的集合,每個(gè)用戶根據(jù)實(shí)際需求分配一個(gè)或多個(gè)角色,根據(jù)角色對(duì)應(yīng)的權(quán)限規(guī)則,確定并授予用戶可執(zhí)行的操作和訪問資源權(quán)限。
這種模型簡化了權(quán)限分配和維護(hù)的工作,降低了人為錯(cuò)誤和風(fēng)險(xiǎn)。但與此同時(shí),隨著組織規(guī)模增長與復(fù)雜性增加,角色的管理也隨之復(fù)雜,容易出現(xiàn)角色爆炸現(xiàn)象,甚至形成每一個(gè)都有獨(dú)特的角色(一人一崗),從而加大了管理復(fù)雜度。
此外,RBAC模型在細(xì)粒度上對(duì)權(quán)限的控制有限,難以滿足某些復(fù)雜的訪問控制需求。所以,它一般適用于企業(yè)內(nèi)部,對(duì)員工、合作伙伴和供應(yīng)商等用戶進(jìn)行權(quán)限管理和訪問控制。
02 ABAC模型
英文全稱:Attribute-Based Access Control Model,譯為基于屬性的訪問控制。
即通過對(duì)用戶、資源、環(huán)境以及上下文等特征屬性的描述,定義基于這些屬性的訪問規(guī)則與策略,例如"只有高級(jí)管理人員在上班時(shí)間才能訪問敏感數(shù)據(jù)"。從而,依據(jù)設(shè)定的屬性和策略進(jìn)行訪問控制決策。
這種模型具有較高的靈活性,可以根據(jù)不同的屬性條件進(jìn)行靈活動(dòng)態(tài)的訪問控制決策,支持細(xì)粒度的訪問控制,可以基于多個(gè)屬性條件進(jìn)行訪問控制決策,適用于需要基于更復(fù)雜屬性條件進(jìn)行訪問控制的場(chǎng)景。
例如基于用戶屬性、資源屬性和上下文信息等進(jìn)行動(dòng)態(tài)訪問決策的情況。但這也造成了實(shí)施的復(fù)雜度與管理、維護(hù)成本的增加。
目前,業(yè)內(nèi)流行的零信任安全架構(gòu),就需要基于ABAC模型進(jìn)行訪問控制管控,從而滿足“從不信任,始終驗(yàn)證”的安全理念。
這些理論體系和模型提供了不同的方法和框架來管理身份和訪問權(quán)限,以確保系統(tǒng)和資源的安全性和合規(guī)性。企業(yè)可以根據(jù)自身需求和情況選擇適合的模型,并結(jié)合最佳實(shí)踐和安全控制措施來實(shí)施身份與訪問管理,從而保護(hù)企業(yè)敏感數(shù)據(jù)和系統(tǒng)的安全。
5.
IAM發(fā)展歷程
最后,我們?cè)賮砜纯碔AM的發(fā)展。隨著數(shù)字化轉(zhuǎn)型深化,企業(yè)對(duì)身份管理和訪問控制需求的不斷提高,IAM技術(shù)也在逐步演變和升級(jí)。
從3A級(jí)別的身份與訪問管理,實(shí)現(xiàn)身份驗(yàn)證(Authentication)、授權(quán)(Authorization)和賬戶管理(Accounting)。
其中,身份驗(yàn)證用于確認(rèn)用戶的身份,授權(quán)確定用戶在系統(tǒng)中的訪問權(quán)限,賬戶管理涉及用戶賬戶、認(rèn)證、權(quán)限等的創(chuàng)建、配置、更新和刪除等內(nèi)容。
隨后,4A在3A的基礎(chǔ)上增加了審計(jì)(Auditing),實(shí)現(xiàn)對(duì)用戶操作行為的記錄和監(jiān)控,以便進(jìn)行安全審計(jì)和合規(guī)性檢查。
5A則在4A的基礎(chǔ)上增加了分析(Analytics),通過持續(xù)收集和處理身份相關(guān)的配置、分配和使用數(shù)據(jù),獲得運(yùn)營和安全方面的深刻認(rèn)識(shí),從而為身份安全治理提供依據(jù),甚至預(yù)測(cè)性。
從IAM的發(fā)展歷程,我們可以看到IAM正在不斷地被完善并加強(qiáng)。所以,企業(yè)在落地IAM項(xiàng)目實(shí)踐過程中,需要轉(zhuǎn)換思維,要明白IAM的定位應(yīng)該是數(shù)字業(yè)務(wù)的推動(dòng)者,而不僅是一個(gè)安全技術(shù)項(xiàng)目。它需要持續(xù)和長期的投資,而不能作為一次性項(xiàng)目來對(duì)待。
未來,IAM還會(huì)繼續(xù)強(qiáng)化,尤其是在AI、區(qū)塊鏈、大數(shù)據(jù)、算法等新技術(shù)的加持下,IAM將會(huì)使得企業(yè)的身份與訪問控制管理變得更加高效化、自動(dòng)化、智能化。
這也是派拉軟件今年在重點(diǎn)攻破的方向。至于具體會(huì)帶來什么樣的新變化,我們后續(xù)課程會(huì)不斷更新。
下期預(yù)告
下一講,我將為你介紹零信任,以及IAM為何能成為零信任安全架構(gòu)三大核心組件的最核心!
我們下期內(nèi)容再見,也歡迎你在文末留言,對(duì)本期內(nèi)容進(jìn)行探討,我會(huì)盡力解答!