控制台
博客/身份安全/正文
身份与访问管理(IAM)的大变局
Authing 官方2021-01-26阅读 349
IAM 正面临着三十年未遇的变局。
 
IAM(身份和访问管理)通常负责用户需要访问的各种系统中的身份生命周期管理,包括入职、离职、角色变更等。但是,尽管 IAM 解决方案已经在市场上销售了三十多年,但它仍然被公认是极其复杂,并且非常耗时和耗费资源的。除此之外,组织的数据和身份也在不断扩大。许多组织正在考虑或已经将其数据扩展到云。曾经由组织的内部措施所控制和保护的内容,现在已经呈现分布式扩散,所以对它们的访问控制也随之分布式扩散。许多组织还需要支持分布式身份。员工可以从任何地方、办公室、家庭或移动设备访问组织系统。公司兼并、外部承包商,扩大了这些系统需要支持的身份来源。
 
如今,随着公司企业往自身内部网络和基于云的网络中添加成千上万的新设备,身份与访问管理(IAM)技术也将经历巨大的转型。企业的 IAM 基础设施要能够适应:
 

大规模用户量

新 IAM 技术将不得不支持数百万台设备(及用户),每台设备(或每个用户)都有各自的属性列表。这就是个 N×N 的身份属性矩阵。而且,这些用户和设备还有可能是临时的——作为某种业务或执行过程的一部分而出现并消失。仅资产审计这一项,就是耗时耗力的繁重任务
 

隐私及安全要求

设备需具有强化的配置、唯一的身份、多因素认证功能,以及设备间安全通信。这就需要有与现有网络、云和 IAM 基础设施紧密集成的新型策略引擎和实施控制措施。
 

持续智能监视

为维持可用性、高性能和安全性,身份互联网需要有持续的监视。考虑到急速增长的规模,可以说,人类自身是无法跟上这些活动的。于是,让身份互联网列车持续准时运转的重担,就落在了人工智能和机器学习算法的引入上,恰当的 AI 与机器学习的引入,有助于自动化区分正常行为与异常活动,并将之转译为人类可用的情报。
 
客观的说,微软虽然是软件业的龙头,但 AD 完全不足以管理和维护身份互联网。
 
随着身份互联网的成型,企业和组织将会出现几个重大转变:
 

公司企业将集中化 IAM 管理和采购

过去几年里 IAM 有机增长,倾向于由应用开发人员、IT 运营和安全人员的松散耦合进行管理。随着身份互联网的发展,公司企业会认识到,现有的拼凑式 IAM 无法解决身份互联网的规模化问题,也无法驱动新的业务进程。到那时,很多企业都会把下一代身份基础设施列为优先考虑。
 

身份管理走向云端

对大规模、持续地连接和处理能力的需求,将驱动大型企业拥抱基于云的 IAM 服务。
 

对安全性的要求更加高

企业战略集团(ESG)的调查显示,66% 的公司企业宣称,他们的安全团队对 IAM 策略、规程和技术的参与度,比 2 年前有了大幅或某种程度的增长。然而,这还仅仅只是个开始。随着身份互联网地位的稳固,CIO/CSO 将会紧密参与到编制和实施身份策略中来。对数据隐私的重视也会大幅增加。
 

为什么全世界的企业都在关注身份管理?

身份管理是所有企业安全计划的重要部分,因为今天的数字化经济中,身份管理与企业安全和生产力密不可分。
 
被盗用户凭证常常是进入企业网络及其信息资产的入口点。企业采用身份管理来保护其信息资产不受勒索软件、犯罪黑客行为、网络钓鱼和其他恶意软件攻击的威胁。Cybersecurity Ventures 估计,2020 年,仅全球勒索软件破坏的损失,就可达 50 亿美元。
 
在很多企业里,用户的权限有时会比实际所需的要高。健壮的身份管理系统,可通过确保整个企业内应用一致的用户访问规则和策略,为企业添加一层重要的防护。
 
身份管理系统可增强企业生产力。这些系统的中央管理功能,可减少保护用户凭证和访问权限的复杂性及开销。同时,身份管理系统还让员工在各种环境下更富生产力和安全性,无论他们是在家工作还是在办公室开工,还是在出差途中。
 
很多政府要求企业注重身份管理,身份系统可帮助企业遵从这些规定。《通用数据保护条例》(GDPR)要求强安全和强用户访问控制。GDPR 强制企业保护欧盟公民的个人数据和隐私。该条例已于 2018 年 5 月正式生效,在欧盟国家经营或拥有欧盟公民客户的每家公司均受其管辖。
身份管理系统可以自动化为企业网络和数据提供安全的用户访问,减轻 IT 在这些琐碎但重要的任务上的负担,并帮助他们持续符合政府的规定。鉴于如今每个 IT 职位同时也是安全职位的态势;全球性网络安全劳动力紧缺在持续;不合规所遭受的惩罚可让企业损失数百万甚至数十亿美元;上述这些都是非常重大的好处。
 

公司怎么从身份管理系统获益?

实现身份管理和相关最佳实践,可以多种形式带来重大竞争优势。现下,大多数公司需要为外部用户赋予到内部系统的访问权限。向客户、合作伙伴、供应商、承包商和雇员开放公司网络,可提升效率,降低运营成本。
 
身份管理系统可使公司在不破坏安全的情况下,将访问权限扩展至其各种各样的信息系统,包括企业内应用、移动 App、SaaS 工具等。向外部提供更多访问,可驱动整个企业的协作,提升生产效率、员工满意度,提振研究和开发,最终形成收益增加。
 
身份管理系统可成为安全网络的基石,因为用户身份管理是访问控制拼图的重要一块。身份管理系统要求公司企业定义自身访问策略,具体描述哪些人可以在哪种情况下对哪些数据资源具有访问权。
 
因此,管理良好的身份系统意味着对用户访问更好的控制,也就是内部和外部数据泄露风险的降低。这非常重要,因为,伴随着外部威胁的持续上升,内部攻击同样愈趋频繁。根据 IBM《2016网络安全情报索引》,约有 60% 的数据泄露是由公司自己的雇员导致的。当然,75% 是恶意的,25% 是无意的。
 

新一代 IAM ——基于云端的身份解决方案 IDaaS

基于云的 IAM 所面临的挑战,主要是资深云系统安全专家的缺乏。如果没做对,信息安全风险增加就是可能遇到的非预期结果。
 
而且,采用 SaaS 访问控制系统需要现场协调符合当前安全身份验证及授权标准。公司还需清楚如何配置与集成现场系统和云 IAM 系统。
 
如果公司有保证生产数据不被非生产环境云租户访问的策略和操作,某些 SaaS 应用可能会要求公司的策略稍作调整。如果 SaaS 产品允许自定义,你怎么开发、测试和部署?它适应你的当前部署和自动化团队的过程及工具吗?
 
采用云模式,必须要清楚自己在做什么,以及为什么这么做。单纯采纳云优先策略,必将迎来痛苦的体验和悔不当初的感受。应对 IAM 云挑战最重要的方法,是构建与 IAM 需求、预算、人力资源要求、技术及人力限制,以及 IAM 架构协调一致的云策略。
 
公司企业必须要能根据期望衡量结果,并愿意基于自己的指标接受方向上的变化。IAM 云策略必须公司的 IAM 目标,并能在企业文化的约束下存活。
 
云部署是最安全最无缝的模式,但保证有效集成却存在一些困难。困难之一就是得确保公司正确设计并实现了安全及合规控制,比如访问控制、日志记录和监视。现场部署中的所有控制目标都可以在云部署中达成,但往往需要一套不同的方法和工具。
 
可靠的身份即服务(IDaaS)平台可以解决云系统相关的身份挑战。将单独的平台服务引入公司环境,就可以接过容量规划、硬件、核心功能开发等事务,将公司人员解脱出来,去处理实现和终端用户体验等问题。还能让管理层专注于公司整体战略中最有价值的专业技能和知识产权的核心领域,将复杂的 IAM 交给外部专家。
 
安全界谈论基于身份的计算和基于身份的互联网已经有好几年了,但这更多只是个愿景而非现实。随着身份互联网的进化发展,愿景终将成真,带来一段充斥混乱、创新和转型的时期。
 
我们如今正行驶在高速入口处,但高速车流的移动速度比我们想象的要快得多。换句话说,身份与访问管理正面临着其自诞生以来从未经历过的变局,而以 Authing 为代表的 IDaaS 服务已经成了应对身份管理问题的最佳解决方案。
 
如果你喜欢我们的内容,欢迎关注公众号「Authing 身份云」和访问我们的官网,更多有趣的内容等你来看~

文章作者

avatar

Authing 官方

0

文章总数

关注 Authing 公众号
随时随地发现更多内容
添加 Authing 小助手
加入 Authing 开发者大家庭