统一身份和访问管理(Identity and access management,IAM)在当今“数字优先”的世界中正变得越来越重要。现代企业员工需要在任何设备(服务)上实现“随时随地工作”(work-from-anywhere)的访问模式。这就迫使组织考虑构建新一代的IAM平台,通过更加科学的方式,为数字资源赋予适当的访问权限,从而发挥保护数字资产的重要作用。
新一代IAM发展趋势
早期的IAM技术是建立在传统IT架构平台上的,主要负责管理人的身份。而随着数字化业务系统和物联网应用的快速发展,IAM系统不仅需要给数量庞大的“机器”和业务系统赋予身份并实现有效管理,还需要从组织数字化业务开展的整体视角,统一制定出各种数字资源的访问规则和策略。为了满足以上应用需求,新一代IAM技术快速发展并呈现以下趋势:
1、去中心化身份
去中心化身份是对个人、应用服务和机器身份扩展响应的关键特征。随着各种新型身份数量的激增,IAM底层技术需要彻底转型,以满足组织数字化发展和隐私保护的身份管理需求。支持区块链的身份和去中心化身份是新一代IAM系统变革发展的关健特征,使用户能够自主创建、验证和注册他们所需要的任何类型身份。这种模式的转变不仅能够降低用户的运营成本,还能够降低原来集中式身份管理模式的一些固有风险,从而增强了数字生态系统的弹性和安全性。
2、零信任安全架构
零信任安全代表了网络安全防护的理念转变,体现了“永不信任,永远验证”的原则。这种方法需要基于持续不断地用户身份验证活动,以加强安全管控措施。在零信任安全架构下,IAM系统需要通过根据用户特征和权限管理审查访问请求,在用户体验和网络安全之间取得了微妙的平衡。采用零信任安全模型的IAM系统,可以帮助组织培养主动的安全文化,以减轻未经授权的破坏风险,并加强其整体安全态势。
3、增强的用户体验
提升IAM系统的用户体验是组织的当务之急。为了完成这一目标,IAM策略必须与业务和IT目标紧密结合,确保以用户为中心的优先级在组织功能中产生共鸣。
组织还应为所有外部用户(消费者、业务客户和合作伙伴)制定统一连贯的策略。例如,确保IAM优先事项与业务优先事项和IT优先事项都相一致,提供全方位渠道体验,并统一客户画像资料。通过统一的客户数据流,组织可以编排个性化的交互,无缝地跨越各种接触点,在提高整体运营效率的同时,培养用户之间更深层次的参与度和忠诚度。
4、无密码身份认证
无密码身份认证标志着对传统密码依赖的重大转变,提供了一种更强大、用户友好的身份认证方法。为了实现这种变革转变,新一代IAM方案需要深入研究利用生物识别技术进行创新的身份验证,最大限度地减少与传统基于密码的系统相关的安全性漏洞。例如,采用快速在线身份识别(FIDO)是实现完全无密码体验的关键一步,可以抵御无处不在的网络钓鱼攻击威胁。通过采用无密码身份认证方法,IAM不仅可以帮助组织增强其安全态势,还可以简化用户交互,培养无摩擦的身份认证体验,同时增强应对网络威胁变化的整体弹性。
5、随时随地连接计算(Connect Anywhere Computing)
企业数字化转型和云应用需要更多的支持,包括支持混合IT环境中的身份、多个云平台中的身份和计算设备身份。向远程和互联计算的过渡强调了更复杂的访问控制机制的必要性。为了应对这种不断变化的环境,组织正在转向能够区分合法用户和恶意机器人的高级IAM管理平台,从而加强其网络安全防御。通过支持随时随地连接计算(Connect Anywhere Computing)功能,IAM可以为员工提供无缝的远程访问,还可以保护其数字资产免受新出现的威胁,确保在日益互联的环境中提供强大的保护。
6、自适应访问控制机制
实现零信任架构需要采用行业最佳实践来最小化安全风险并加强组织防御。这涉及强制将多因素身份验证(MFA)作为特权访问的基本要求,在传统的密码身份验证方法之外添加额外的安全层。
此外,利用自适应访问控制机制作为零信任体系结构的组成部分,通过基于上下文因素(如用户行为和设备状态)不断评估和调整访问权限,进一步增强了安全性。通过自适应访问控制策略,组织可以建立更强大的安全态势,不仅可以降低未经授权访问的风险,还可以与不断发展的网络安全标准保持一致,保护敏感数据和关键资产免受复杂的网络威胁。
新一代IAM应用实践
因为IAM涉及了多方利益相关者的日常工作,因此,它的应用往往被认为是复杂的、困难的并且会带来较大成本性投入的。为了更好地建设应用IAM,最大限度发挥其价值,建议企业组织遵循以下最佳实践:
1、彻底审计组织资产
当组织将新的IAM工具集成到数字化业务中时,第一步应该是对组织的资产和应用程序进行彻底的审计检查,特别是组织中的用户身份,因为它们中的许多可能早已过期。这些身份账户会对整个体系构成真正的风险,清理这些账户会让组织收获颇丰。一旦了解了历史身份库存情况,组织就可以着手部署新的IAM工具。在此过程中,安全管理者必须构建好身份治理管理和特权访问管理,防范可能出现违规的访问。
2、“从点到面”试点
开展新一代IAM建设时建议从小事做起——确定四到五个最广泛使用的应用程序。从试点工作开始,安全团队可以与那些应用程序团队密切合作,构建和启动集成。通过早期的使用经验也将有助于在内部为其他项目提供动力。
具体来说,组织可以选择一种技术,比如多因素身份验证(MFA)或特权管理,然后按部门或地区采取分阶段的方法,利用从每次小型部署中吸取的经验教训,使后续部署更加成功。从哪里开始并不重要,重要的是要坚持下去。
3、选择合适的服务提供商
明智地选择IAM服务供应商也很重要,要比较市场和每个平台或工具套件提供的内容。安全团队还应该努力回答以下基本问题:
- 它是否具有您组织所需的所有组件和功能?
- 它能否管理组织的所有环境应用需求?
- 是否能提供一个统一的身份管理“界面”来管理所有身份?
- 系统是否与环境中已有的业务系统有效集成?
如果不事先充分考虑上述因素,在IAM系统建设过程中就可能会消耗IT和安全团队的大量资源。
4、赢得公司管理层支持
IAM系统要想整合应用成功,必需要得到公司董事会和相关业务部门的支持。大量实践表明,IAM项目成功的最大挑战就是文化阻力和员工们对新事物的恐惧。从战略上讲,IAM项目关键的一点是要与董事会和高级管理层充分沟通,确保他们理解项目努力实现的目标的价值。
对于许多安全团队来说,让董事会了解网络风险及其与业务风险的关系仍然是一个挑战。对于这种情况,建议使用一些数据驱动的实际案例来引起管理层的共鸣,比如如果敏感数据因身份攻击而泄露,监管机构会对组织进行什么处罚,或者如果组织的知识产权泄露会发生什么?组织是否会失去竞争优势甚至客户?
除了董事会的参与外,还需要取得组织业务部门的支持。这将确保员工们不会试图寻找规避IAM的方法,增加系统的运行难度。