翻译：https://www.csoonline.com/article/518296/what-is-iam-identity-and-access-management-explained.html

0X00 前言

什么是IAM?答：IAM是一组用于控制用户访问组织内关键信息的流程、政策和工具。

IAM，即身份与访问管理(Identity and Access Management)，是确保正确的个体能够访问合适的资源（如系统、网络、数据）于正确的时间并出于正确的原因的过程。这是通过校验每个实体（可以是用户或机器）的身份并授权其访问特定资源的过程实现的。通过使用IAM，组织能够提升安全性，保护敏感信息不被未授权访问，同时确保用户体验不受影响。

0X01 身份和访问管理的定义

IAM是一系列安全服务、流程、政策和工具，用于定义和管理用户、设备和应用程序编程接口（APIs）的角色和访问权，适用于各种云端和本地的应用程序、服务器和服务。
IAM是控制企业数据访问的核心。IAM是数字化转型的核心，是网络安全的核心，也是合规性规定的核心。因此，拥有一个成熟和现代化的IAM是至关重要的，安全顾问马丁·库平格尔（Martin Kuppinger）在他的博客中写道。Okta的博客进一步强调了这一信息：IAM是将所有不同的技术堆栈以一种安全可靠的方式结合在一起的粘合剂，它使品牌能够为他们的员工和客户一样提供无缝的、全渠道的体验。这意味着拥有一个可以用来定义特定用户或计算设备的单一数字身份，这也是 IAM非常快速地变得复杂的地方。

0X02 企业为什么需要IAM？

身份重要性的最直接证据是它经常被用作攻击目标企业网络的初步入口点。由于多因素认证实施不善、更复杂的网络钓鱼方法、更自动化的凭证填充技术以及许多没有更新的遗留IAM系统，恶意行为者往往可以轻松找到这些入口。一个值得注意的数据点是，根据Proofpoint的2024年4月《网络钓鱼态势》报告分析，每个月都有一百万次攻击尝试绕过多因素认证（MFA）保护。虽然并非所有攻击都成功，但这仍然是一个让人警醒的提醒，表明攻击者非常专注于利用身份进行入侵。
这一关键角色随着时间的推移而演变，而Gartner和其他行业分析师多年来建议，身份不仅仅是一系列安全应用的集合，而是一个将一切连接在一起的、形成一体化整体的良好整合的架构或网络，以保护企业的整个数字表面。这个框架使用适应性风险评估来认证并连接人员和机器，并使用从持续威胁检测和运营可见性收集的信息。
这种愿景在理论上听起来不错，但实际上更多的是一种志向，并且其中一个原因是以身份为首的安全性需要IAM和网络安全团队之间更紧密的合作，以确保一致性，并将IAM置于安全战略的核心，正如Gartner分析师在他们最新的IAM规划指南中所说。

0X03 身份和访问管理面临的挑战？

在过去，IAM只是众多安全解决方案之一，它与特权访问管理、安全日志和姿态管理工具并列构成了企业安全防御的城墙。但是随着身份成为数字基础设施和应用程序的中心，这意味着IAM需要扮演更重要的角色，并且已经成为一个企业的安全焦点，而不是一个安全产品。
身份和访问管理面临挑战在于授权用户和设备在每个上下文中对企业资产的访问权限，并随着计算需求的演变而跟上这些上下文的变化。这包括及时地引入用户和系统、权限授权，以及用户和设备的离职管理。这些变化的一个例子是在我们的后新冠世界中发生的，由于用户转向更多的远程工作，需要修改以维持他们对内部系统的访问。这对IAM系统会造成巨大的压力。但即使没有疫情时期带来的变化，IAM架构的构建也对现有安全软件提出了新的要求。以特权访问管理软件为例。过去，这种软件专注于确保用户拥有对本地资源访问的正确权限集合，且管理员权利被谨慎分配。随着云应用集合的增长，这意味着需要确保这些应用被正确设置，秉持Gartner所称的不留下任何特权帐户的哲学，因为机器身份的数量超过了分配给人类的身份。一个中等到大型组织平均使用数百个SaaS应用。Gartner就发表过单独管理每个应用程序的访问权限根本无法扩展的看法。迁移到云也带来了其他复杂情况。许多公司随着时间推移发展了他们的访问控制政策，结果是他们有重叠的规则和角色定义，这些通常是过时的，有时还配置错误。"你必须清理你的身份，并撤销用户不需要的所有额外权限，这样你就不会迁移一团糟，但这意味着要花更多时间进行前期设计"Forrester的Andras Cser告诉CSO说。
部分问题是，供应商往往过于频繁地在最初仅为人类身份设计的工具中处理机器身份。这两种用例是不同的：机器需要小心地使用API访问，利用自动化程序，具有可以快速识别和阻止的潜在利用。是时候准备一个更多客户是机器人的世界了，这可能需要重新设计现有服务。Gartner说。身份验证非人类实体如应用密钥、API和秘密、代理和容器要困难的多，仅仅因为这些实体运行的不同上下文。例如，应用密钥可能被硬编码在一个特定的云应用程序内部，被一位已经离职且忘记它们的开发人员临时放置在那里。这些对攻击者来说是进入你的企业的好机会。
过去，许多IAM供应商将其产品分为专注于客户身份或工作人员身份的两类。前者用于管理外部用户和设备，而后者用于内部用户和设备。幸运地是，这种区别正在消失，现在许多供应商结合了这两种方法。另一个问题是，工作流程已经变得越来越复杂，需要定制的IAM保护策略来保护它们。随着零信任从“好有”变为合规性的先决条件，这对IAM管理一切的责任更大了。这也意味着从手动集成新应用转变为更自动化的提供适当安全性的方式。Okta在去年秋天的一篇博客中表述如下：你需要确保任何IAM解决方案是可用的、安全的、易于自动化和性价比高的。这最后一点让IAM变得简单，值得我们进一步关注。Forrester的分析师在去年七月关于构建有效IAM程序的基础研究报告中写道：IAM有可能使用户的数据访问变得更加困难，用户体验的恶化可能会破坏而非建立用户的信心和信任。

0X04 IAM的特点

所有IAM系统都为管理员提供了更改用户角色、追踪用户活动、创建这些活动的报告，并持续执行策略的工具和技术。这些系统旨在提供一种管理整个企业用户访问权限的手段，以确保符合公司政策和政府法规的要求。每个平台有四个基本要素：

一个目录或身份库，包含系统用于定义个别用户的个人数据，包括一系列身份验证方法，如基于生物识别的智能手机软件令牌、数字证书和硬件设备;
一套用于添加、修改和删除该数据（相关访问生命周期管理）的工具;
一个规范和执行用户访问的系统;
一个审计和报告系统;

这些元素过去是安全运营中心单独负责的一部分，维护它们的职责在开发团队、IT基础设施管理者和其他运营角色如人力资源、法律等之间是分开的。这使得难以获得IAM角色的清晰和完整画面，也难以评估和改进任何连贯的身份姿态。今天的IAM平台跨所有元素整合，并提供了一个连贯而统一的视图。

0X05 IAM工具推荐

CSO评估了排名前九的IAM产品，它们分别是：

• Avatier
• BeyondTrust
• CyberArk
• ForgeRock
• Microsoft Azure Active Directory
• Okta
• One Identity
• Ping Identity
• SailPoint

0X06 IAM评估标准

关于IAM，好消息是有许多开放标准可以追踪和利用。坏消息则是这些标准正在发展变化，这意味着最佳实践也在改变。虽然这些标准是一个很好的起点，但组织需要超越仅仅采纳开放标准，更细致地考虑如何采用这些标准，并更有效地管理访问权限。
在IAM的早期，信任伙伴之间经常使用安全断言标记语言（SAML）发送授权信息。这个开放规范定义了一个XML框架，用于在不同的安全机构之间交换断言。SAML实现了跨不同供应商平台提供认证和授权服务的互操作性。但SAML已经逐渐不被使用：最初的工作组大部分已经不活跃，许多加密协议用现代计算机很容易就能破解。
它的替代者是OpenID Connect，这是Gartner在其最新的IAM指南中推荐使用的。另一个值得关注的标准是FIDO，它在各种IAM供应商、设备制造商和操作系统之间得到了采用。FIDO提供了完全消除密码的方法，使用了各种硬件安全密钥、生物识别方法和智能手机配置文件。

0X07 在IAM中身份验证的角色是什么？

FIDO的一个方面是许多企业关注的，使用各种无密码选项。这些技术包括使用用户的智能手机认证器应用程序或生物识别脸部或指纹扫描器作为访问令牌。这是必需的，尤其是随着利用用户疲劳或额外安全因素配置错误的多因素认证（MFA）绕过攻击数量的增加。除了是更安全的认证方法外，还有另外一个好处：可用性。
Forrester的Geoff Cairns告诉CSO："组织利用无密码认证，减少登录时用户的摩擦，这是一个示例，表明今天更强的IAM控制可以与更好的可用性并行使用。使用生物识别作为认证因素，而不是像密码这样的基于知识的因素，减轻了用户的认知负担，并为抵抗钓鱼的MFA铺平了道路，大大提高了组织的安全态势"。
另一项FIDO创新是一项称为通行钥匙的技术，可以完全替代密码，并且具备企业所需的规模。过去几年看到了IAM供应商对平台通行钥匙越来越接受。在去年的RSA会议上，谷歌通行钥匙产品经理Christiaan Brand进行了更新，他表示："我们已经到了可以开始大规模从密码转向通行钥匙的时点"。并展示了一些代码示例，以实现使用通行钥匙的各种企业工作流程。谷歌、苹果和微软去年开始分别向Workspace、iChain和Windows Hello企业用户推出它们的支持。有数十个支持它们的网站，包括GitHub、Adobe和亚马逊。

0X08 如何选择合适的IAM供应商

如果您最近没有检查过企业的IAM基础设施，现在是时候评估企业的身份安全状况，并探索如何转向Gartner所说的更多"身份优先"的策略。这意味着"企业将不得不重新建立IAM卫生并提高标准，通过管理更多用户群体在更多环境中"，他们在规划指南中写道。
Forrester在其2023年12月的《构建自己的IAM策略》报告中建议进行系统全面的IAM成熟度评估，以检查IAM的不同组件，如用户供应、特权访问管理和用户密码政策。记录当前状况并提出现实的建议，并诚实地评估你的企业在技术方面是领先还是落后于同行。另一个建议是建立身份治理委员会。报告作者之一的Geoff Cairns说："这是任何IAM转型的关键，但为了有效，治理委员会必须促进跨职能合作并有强有力的执行支持。创建持续改进的文化至关重要，因为IAM始终在演变；不要低估渐进变化的累积力量。因此，强有力的组织变革管理及相关员工沟通、教育和支持是必不可少的"。
这些检查的一部分是了解IAM在哪些方面可以更有效，例如提供与其他安全和企业系统的更紧密集成，如单点登录、端点保护和其他工具。这些集成将允许用户通过熟悉的企业选择工具提交和批准请求，加快启动和处理访问和特权凭证请求的自动化IT票务跟踪，并允许安全团队利用先进的IAM分析更快地响应身份威胁。最后，在混合云/本地环境的背景下检查IAM，为多个云应用程序的广泛可能用例构建支持，这将是未来的发展趋势。