什么是 IAM? 身份和访问管理指南
在本指南中,我们将帮助您了解有关身份和访问管理 (IAM) 的所有信息、其重要性以及如何实施能满足组织需求的合适解决方案。
什么是 IAM?
根据 Gartner 的定义,身份和访问管理是一项 IT 规范,使适当用户或设备能够在适当的时机出于适当的理由访问适当的资源。 “资源”一词指应用程序、网络、基础结构和数据。
此外,IAM 还是策略和技术框架,可保护您的组织免受内部和外部威胁。换句话说,IAM 可简化用户访问,同时能防止发生网络安全事件,例如数据泄露或内部攻击。
IAM 框架旨在建立和维护“数字身份”。 简而言之,数字身份是个人、组织、设备、应用程序或其他在线实体的代表。 它包括与所述实体唯一相关的属性,从而允许计算机系统和服务验证真实性。
数字身份最基本的例子是用户名和密码组合。 例如,当您在网站或平台上创建账户时,通常会选择一个用户名(用作您的唯一标识符)和一个密码(用作身份验证手段)。 这种用户名和密码的组合可以在该特定平台上建立您的用户身份。
但是,建立用户身份后,颁发此数字身份的组织还必须对其进行管理,也就是确保此身份不会受到未经授权的访问。 破解用户账户的攻击者可能会滥用其访问权限,窃取敏感信息,并用恶意软件、病毒等感染基础结构等。
这就是为什么 IAM 解决方案通过强大的监控控制措施和其他保障措施来简化身份管理,使这些措施即使在攻击者完成初始身份验证后也能缓解潜在威胁。
用例: 面向消费者的 IAM
在数字用户引导体验期间,许多组织使用 IAM 框架来验证消费者。 例如,银行客户可以在线或通过移动应用程序申请新的支票账户。
借助可随时随地使用的 IAM 系统,银行可以安全地确认申请人的身份,同时向申请人提供对银行服务的安全访问权限,这些都无需去银行现场办理。 当客户想要访问应用程序或其账户时,系统会在短短几秒钟内验证用户及其设备的可信度。
用例: 工作场所的 IAM
即使一些企业重返办公室工作,混合办公模式也不会消失。 根据盖洛普的一项民意调查,在美国,只有 21% 可远程办公的工作岗位完全在现场办公。 相比之下,混合办公比例为 52%,完全远程为 27%。
重点是什么? 各公司颁发的数字身份比以往任何时候都多。 在全职员工、合同工和消费者之间,管理如此多数字身份并不容易。 但是,IAM 解决方案可以助您一臂之力。
领先的系统可以提供对建筑物的物理/逻辑访问权限,从而提高现场办公员工的安全性。 当然,这些系统还提供对虚拟专用网络 (VPN) 和软件即服务 (SaaS) 应用程序的安全访问,从而保护远程办公的员工。 此外,它们可以实时控制合同工的访问权限,持续监控用户行为中是否存在可疑活动。
用例: 面向公民的 IAM
公共部门经常使用 IAM 进行数字公民身份验证。 例如,IAM 工具可以帮助政府机构签发、管理和验证护照、国民身份证和驾照。 此外,它还能让公民安全访问基本政府服务和平台,例如教育、医疗保健和福利计划。
同样,IAM 可通过移动身份凭证和机场的自助服务终端为跨境旅行提供便利。 数字公民身份也可以实现安全交易,通过基于公钥基础结构 (PKI) 的安全证书将数字身份与公民绑定。
IAM 为何至关重要?
各组织一直都知道访问控制是网络安全难题的重要一环。 但是现在,鉴于不断变化的 IT 格局拥有较高复杂性和相互关联性,越来越多的组织意识到身份不容忽视。
简而言之,在新冠肺炎疫情期间,数字化转型加速了。 对于某些组织来说,这一转型提前了许多年到来。 随着多云环境、人工智能 (AI)、自动化和远程工作的兴起,企业正在日益分散的环境中为更多类型的实体提供访问权限。 简单来说,他们拥有的身份超出了自身的管理能力。
同时,网络犯罪分子攻击手段的发展步步紧逼。 他们结合了复杂和 AI 驱动的攻击策略,通过大量的网络钓鱼诈骗、恶意软件、勒索软件等来瞄准用户。 如果没有 IAM,遏制威胁会难上加难,因为 IT 部门无法查看谁有权访问哪些资源。 此外,他们无法撤消受攻击用户的特权访问权限,这让安全雪上加霜。
不过,IAM 技术可以助您在安全性和可访问性之间取得平衡。 该技术可让组织在不影响工作效率或客户体验的情况下为用户和设备设置精细的访问特权。 IAM 工具可以个性化实施保护,而不是全面限制权限。
IAM 安全和零信任
IAM 是构建零信任架构的关键基础。 简言之,零信任是一种安全模型,倡导严格的身份管理,并假设每个连接、设备和用户都是潜在的威胁。 这与建立在隐性信任基础上的传统安全模式形成鲜明对比。
零信任安全有三个不可或缺的原则:
- 持续身份验证: 组织必须根据在给定会话中持续经受检查的众多风险因素授予安全访问权限。 换句话说,他们必须根据身份、位置、设备、服务等来验证实体。
- 限制影响半径:团队必须始终假设数据泄露会发生,并最大限度提高用户活动和网络流量的可见性,从而发现异常情况并检测威胁。
- 最低特权访问: 实体应仅具有履行其角色或职能所需的权限。 例如,如果员工的工作职责与敏感数据库无关,则不应访问敏感数据库。
身份管理是零信任的核心。 对此,IAM 提供一种大规模执行其三个原则的方法,进而增强安全性。
想要详细了解零信任吗? 欢迎立即查看我们的最新解决方案。
IAM 的优势
合适的 IAM 工具可以提供以下几个显著的优势:
- 合规性:组织必须遵守数据隐私条例和合同要求。 IAM 系统可让组织实施正式的访问策略,并证明他们按照规定对用户活动进行了审计跟踪。
- 工作效率:复杂的安全措施会降低用户体验,这可能会使客户感到烦躁并妨碍员工高效工作。 出色的 IAM 工具能实现无需多次登录即可授予对多个资源的安全访问权限,这项功能称为单点登录 (SSO)。
- 数据保护: IAM 工具可帮助安全团队检测正在发生的事件并调查潜在风险,使他们能够快速而自信地消除威胁。
- IT 自动化: IAM 不依赖手动流程,而是自动执行密码重置和日志分析等关键任务。 这节省了 IT 部门的时间和精力,使他们能够专注于更重要的职责。
IAM 的工作原理是什么?
总体而言,IAM 有三个关键组成部分。 前两个是身份管理和访问管理,分别与身份验证和授权有关。 区别在于:
- 身份验证是指验证用户(或实体)是他们本人的过程。 传统上,这可能涉及提供用户名和密码,但是黑客已经学会了轻松规避这种方法。 这就是为什么越来越多的组织需要更强大、更复杂的技术,例如多重身份验证 (MFA)。
- 授权是验证用户可以访问哪些特定应用程序、文件和数据的过程。 这通过设置名为“访问控制策略”的规则来起作用,并且始终在身份验证后进行。
最后是第三个组成部分,即管理。 它涉及对 IAM 流程、系统和活动的持续管理、监督和分析,以确保合规性、安全性和运营效率。 简而言之,这是为发现威胁和修复漏洞而监控身份和访问权限的整体过程。
每个部分都依赖于几个基本功能和服务。 下面我们详细分析其中最重要的一些功能和服务:
IAM 实施
实施 IAM 技术是重要的一步,因为它几乎影响每个用户。 错误的配置可能会在您的安全态势中留下漏洞,在无人值守时,可能会导致数据泄露。 因此,在选择身份提供方时最好遵循一些最佳实践:
1. 评估您的 IT 格局
首先映射您当前的 IT 环境以及未来的任何新增内容,例如已经在进行的云部署。 评估您的基础结构、应用程序、数据存储库和其他资产。 这将帮助您确定哪些资源需要安全的访问控制。
接下来,考虑您的用户:员工、合同工、合作伙伴和客户。 谁需要访问哪些系统? 此练习可确保您的 IAM 解决方案范围足够全面并可满足您的业务需求。 此外,它还可以帮助您执行最低特权访问原则。
2. 查看监管合规性要求
根据您的企业规模、行业和运营区域,您可能要遵守不同的数据隐私法律。 例如,如果您向欧洲的最终用户提供服务,则可能需要遵守《通用数据保护条例》。 确保您选择的身份提供方符合您需遵守的特定法律义务所列的最低标准。
3. 决定部署模型
部署 IAM 系统的方法有三种:
- 本地部署: 该选项将需要大量投资,包括前期成本和持续维护。 尽管您可以更好地控制自己的 IAM 基础结构,但未来通常很难升级。
- 云部署: 相比之下,基于云的身份即服务 (IDaaS) 部署更具成本效益和可扩展性。 由于身份提供方管理底层基础结构,因此这种部署的实施速度通常要快得多,并且所需前期配置最少。
- 混合:这是一个两全其美的选择,您可以同时利用云和本地功能。 这种方法可让您根据业务需求为不同的用例选择最合适的模型。
4. 采取分阶段方法
实施无法一蹴而就。 与其匆忙完成流程,不如分阶段构建您的 IAM 基础。 分阶段的方法使您可以随时间逐步推出各种组件,让您和您的用户更容易适应新流程。
5. 监控和适应
设定 IAM 策略后不能将它拋在脑后。 实施 IAM 后,请密切注意您解决方案的表现。 咨询您的身份提供方,为可改进领域制定战略计划。这样,您就能始终抵御潜在威胁的侵害。
Entrust Identity 为何是您的理想解决方案
保护员工、消费者和公民的身份是防止不受控制的访问、数据泄露和欺诈交易的关键所在。 Entrust Identity 是一套 IAM 产品组合,为实现零信任框架提供了坚实的基础。 作为一个统一的 IAM 套件,Entrust Identity 能够支持海量用例和部署选项。
以我们基于云的 IDaaS 平台为例。 只需一个解决方案,您就可以:
- 消除安全性不高的密码
- 缓解内部威胁
- 检测身份验证异常
- 降低 IT 成本
- 加强报告和合规性
- 优化工作效率