身份管理ABC

James+A.Martin+Charles

身份管理工具為IT管理人員提供了用于控制用戶訪問企業(yè)關(guān)鍵信息的工具和技術(shù)。

什么是身份管理？廣義地說，身份管理系統(tǒng)（也稱之為身份和訪問管理，即IAM系統(tǒng)）能夠管理系統(tǒng)內(nèi)的個人身份，系統(tǒng)可以是企業(yè)、網(wǎng)絡(luò)甚至國家。更具體地說，企業(yè)IT的身份管理是定義并管理每一網(wǎng)絡(luò)用戶的角色和訪問權(quán)限，以及用戶被授予（或者拒絕）這些權(quán)限的環(huán)境。

身份管理系統(tǒng)的核心目標(biāo)是每個人有一個身份。一旦建立了數(shù)字身份，就必須對每個用戶的“訪問生命周期”進(jìn)行維護(hù)、修改和監(jiān)視。

據(jù)企業(yè)身份管理提供商Okta的資深副總裁兼首席安全官Yassir Abousselham，身份管理的總目標(biāo)是“從用戶系統(tǒng)登錄到權(quán)限授權(quán)，直至根據(jù)需要及時的讓用戶退出，在正確的上下文環(huán)境中，將正確的企業(yè)資產(chǎn)授權(quán)給正確的用戶?！?/p>

身份管理系統(tǒng)為管理員提供了更改用戶角色、跟蹤用戶活動、創(chuàng)建關(guān)于用戶活動的報告，以及持續(xù)執(zhí)行策略的工具和技術(shù)。這些系統(tǒng)旨在提供一種管理用戶訪問整個企業(yè)的方法，并確保符合公司政策和政府規(guī)章制度。

身份管理技術(shù)包括（但不限于）密碼管理工具、配置軟件、安全策略實施應(yīng)用程序、報告和監(jiān)視應(yīng)用程序以及身份數(shù)據(jù)庫。身份管理系統(tǒng)可用于本地系統(tǒng)，例如微軟SharePoint，也可以用于基于云的系統(tǒng)，如微軟Office 365。

身份管理系統(tǒng)必須靈活而且足夠強(qiáng)大，能夠適應(yīng)當(dāng)今非常復(fù)雜的計算環(huán)境。身份和訪問管理供應(yīng)商One Identity的產(chǎn)品管理資深總監(jiān)Jackson Shaw說，一個企業(yè)的計算環(huán)境過去主要是在本地，身份管理系統(tǒng)對在本地工作的用戶進(jìn)行認(rèn)證和跟蹤。Shaw指出：“本地一般都會有安全防護(hù)措施。如今，沒有這些防護(hù)措施了?！?/p>

因此，現(xiàn)在的身份管理系統(tǒng)應(yīng)能夠讓管理員輕松地管理各種用戶的訪問權(quán)限，包括國內(nèi)本地的員工以及國外異地的承包商；還能夠管理混合計算環(huán)境，這包括本地計算、軟件即服務(wù)（SaaS）應(yīng)用以及影子IT和BYOD用戶；還有不同的計算架構(gòu)，包括UNIX、Windows、Macintosh、iOS、Android，甚至物聯(lián)網(wǎng)（IoT）設(shè)備。

Abousselham說，最終，身份管理系統(tǒng)應(yīng)能夠在整個企業(yè)中，通過一致的和可擴(kuò)展的方式，實現(xiàn)對用戶的集中管理。

近年來，身份即服務(wù)（IDaaS）已經(jīng)發(fā)展成為在訂閱的基礎(chǔ)上通過云來提供的第三方托管服務(wù)，為客戶的本地和基于云的系統(tǒng)提供身份管理服務(wù)。

為什么應(yīng)關(guān)注身份管理？

在當(dāng)今的數(shù)字化經(jīng)濟(jì)環(huán)境下，身份管理與企業(yè)的安全性和生產(chǎn)效率密不可分，是所有企業(yè)安全計劃的關(guān)鍵部分。

不完善的用戶憑證通常被作為企業(yè)網(wǎng)絡(luò)及其信息資產(chǎn)的突破口。企業(yè)利用身份管理來保護(hù)其信息資產(chǎn)免受越來越多的勒索軟件、犯罪黑客、釣魚軟件等惡意軟件的攻擊。Cybersecurity Ventures預(yù)測，今年，全球僅勒索軟件造成的損失成本將超過50億美元，比2016增長了15%。

在很多企業(yè)中，用戶的訪問權(quán)限有時越權(quán)了。強(qiáng)大的身份管理系統(tǒng)可以通過在整個企業(yè)中確保用戶訪問規(guī)則和策略的一致應(yīng)用，增加重要的保護(hù)層。

身份管理系統(tǒng)能夠提高企業(yè)生產(chǎn)效率。系統(tǒng)的集中管理功能降低了保護(hù)用戶憑證和訪問的復(fù)雜性及成本。同時，身份管理系統(tǒng)提高了員工們在各種環(huán)境中的生產(chǎn)效率（同時保持安全）——無論他們是在家里、辦公室還是在旅途中工作。

很多政府要求企業(yè)重視身份管理。Sarbanes-Oxley、Gramm-Leach-Bliley和HIPAA等條例要求企業(yè)負(fù)起客戶和員工信息訪問控制的責(zé)任。身份管理系統(tǒng)可以幫助企業(yè)遵守這些條例。

一般數(shù)據(jù)保護(hù)條例（GDPR）是歐盟近期出現(xiàn)的規(guī)定，要求有較強(qiáng)的安全性和用戶訪問控制功能。GDPR強(qiáng)制要求企業(yè)保護(hù)歐盟公民的個人數(shù)據(jù)和隱私。GDPR將于2018年5月生效，會影響在歐盟國家開展業(yè)務(wù)，把歐盟公民作為客戶的每一家企業(yè)。如果希望了解詳細(xì)信息，請閱讀GDPR的要求、期限和事實。

2017年3月1日，紐約州金融服務(wù)局（NYDFS）的新網(wǎng)絡(luò)安全條例正式生效。該條例規(guī)定了在紐約運營的金融服務(wù)公司安全方面的很多要求，包括要監(jiān)控授權(quán)用戶的活動，維護(hù)審計日志——這是身份管理系統(tǒng)通常要做的工作。

通過自動完成企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)安全用戶訪問的很多方面的工作，身份管理系統(tǒng)減輕了IT部門一些普通但重要的任務(wù)，并幫助他們遵守政府的規(guī)定。目前，考慮到每一個IT職位都是安全相關(guān)的職位；全球網(wǎng)絡(luò)安全工作人員一直處于短缺狀態(tài)；不遵守相關(guān)條例的懲罰會讓企業(yè)付出數(shù)百萬甚至數(shù)十億美元的成本，因此，這些都是非常重要的優(yōu)勢。

身份管理系統(tǒng)能給企業(yè)帶來什么好處？

實施身份管理和相關(guān)的最佳實踐可以在幾個方面給企業(yè)帶來顯著的競爭優(yōu)勢。如今，大多數(shù)企業(yè)都要給企業(yè)以外的用戶訪問內(nèi)部系統(tǒng)的權(quán)限。向客戶、合作伙伴、供應(yīng)商、承包商和雇員開放您的網(wǎng)絡(luò)能夠提高效率，降低運營成本。

身份管理系統(tǒng)支持企業(yè)在各種本地應(yīng)用、移動應(yīng)用和SaaS工具上對其信息系統(tǒng)進(jìn)行訪問，而不會影響安全性。通過向外界提供更多的訪問途徑，您可以在整個企業(yè)中推動協(xié)作，提高生產(chǎn)效率和員工滿意度，加強(qiáng)研究和開發(fā)，最終增加收益。

身份管理有助于減少求助電話的數(shù)量，這些電話往往是要求IT支持部門重置密碼。身份管理系統(tǒng)使得管理員能夠?qū)崿F(xiàn)這些任務(wù)的自動化，其他耗時而且成本較高的任務(wù)也能自動完成。

管理用戶身份是訪問控制場景不可或缺的部分，因此，身份管理系統(tǒng)是安全網(wǎng)絡(luò)的基石。一個身份管理系統(tǒng)要求企業(yè)定義訪問策略，特別是要列出誰可以訪問哪些數(shù)據(jù)資源，以及在什么樣的條件下才能訪問。

因此，管理好身份意味著能夠很好的控制用戶訪問，這就降低了出現(xiàn)內(nèi)部和外部泄露的風(fēng)險。由于現(xiàn)在外部威脅不斷增加，而且內(nèi)部攻擊也非常頻繁，因此，這一點非常重要。據(jù)IBM的2016年度網(wǎng)絡(luò)安全情報指數(shù)，大約有60%的數(shù)據(jù)泄露是由企業(yè)自己員工造成的。其中，75%是故意的，25%是意外造成的。endprint

如前所述，身份管理系統(tǒng)可以通過提供工具來實現(xiàn)全面的安全、審計和訪問策略，從而增強(qiáng)了合規(guī)能力。很多系統(tǒng)現(xiàn)在提供了確保企業(yè)能夠合規(guī)的功能。

身份管理系統(tǒng)是怎樣工作的？

過去幾年中，一個典型的身份管理系統(tǒng)包括四個基本要素：一個系統(tǒng)用來定義每一用戶的個人數(shù)據(jù)目錄（可以將其看成是身份數(shù)據(jù)庫）；一組用于添加、修改和刪除數(shù)據(jù)的工具（與訪問生命周期管理相關(guān)）；一個控制用戶訪問的系統(tǒng)（執(zhí)行安全策略和訪問權(quán)限）；一個審計和報告系統(tǒng)（確定您的系統(tǒng)發(fā)生了什么）。

控制用戶的訪問傳統(tǒng)上涉及到一些身份驗證方法，用于驗證用戶的身份，包括密碼、數(shù)字證書、令牌和智能卡等。硬件令牌和信用卡大小的智能卡是雙重身份驗證的組成部分，它將您所知道的（您的密碼）與您所擁有的（令牌或卡）結(jié)合起來，以驗證您的身份。智能卡嵌入了集成電路芯片，它可以是一個安全微控制器，也可以是智能的內(nèi)部存儲器，或者單獨的內(nèi)存芯片。軟件令牌是2005年出現(xiàn)的，可以放在任何有存儲能力的設(shè)備上，例如USB和手機(jī)。

在當(dāng)今復(fù)雜的計算環(huán)境中，隨著安全威脅的增加，強(qiáng)用戶名和密碼是必不可少的。今天，身份管理系統(tǒng)通常包含生物特征識別、機(jī)器學(xué)習(xí)和人工智能，以及基于風(fēng)險的身份驗證等。

在用戶層面上，最近的用戶身份驗證方法有助于更好地保護(hù)身份。例如，很多人已經(jīng)非常熟悉流行的具備Touch ID功能的iPhone手機(jī)，用他們的指紋作為身份驗證方法。較新的Windows 10計算機(jī)提供指紋傳感器或者虹膜掃描方法，用于生物識別用戶身份驗證。據(jù)傳聞，將于今年下半年推出的下一款iPhone將包括虹膜掃描或者面部識別方法來認(rèn)證用戶，而不是指紋掃描。

Abousselham說，一些企業(yè)正在從雙重身份驗證發(fā)展到三重身份驗證，結(jié)合了您所知道的一些東西（您的密碼）、您擁有的東西（智能手機(jī)），以及您自己（人臉識別、虹膜掃描、指紋傳感器）。他說：“當(dāng)從雙重發(fā)展到三重時，您就更加確信該用戶是正確的用戶?！?/p>

在管理層面上，今天的身份管理系統(tǒng)提供了更高級的用戶審核和報告功能，這得益于上下文環(huán)境感知的網(wǎng)絡(luò)訪問控制和基于風(fēng)險的認(rèn)證（RBA）等技術(shù)。

上下文環(huán)境網(wǎng)絡(luò)訪問控制功能是基于策略的。Okta產(chǎn)品總監(jiān)Joe Diamond說，它基于各種屬性預(yù)先確定了一個事件及其結(jié)果。例如，如果一個IP地址不在白名單里，就會阻止它?；蛘?，如果沒有證書表明某一設(shè)備是接受管理的，那么上下文環(huán)境感知網(wǎng)絡(luò)訪問控制功能會加強(qiáng)認(rèn)證過程。

相比之下，RBA更自由一些，通常能發(fā)揮人工智能的作用。采用RBA，Diamond說：“您可以啟用風(fēng)險評分和機(jī)器學(xué)習(xí)功能來對某一事件進(jìn)行身份驗證。”

基于風(fēng)險的身份驗證功能根據(jù)當(dāng)前的風(fēng)險情形動態(tài)地將不同級別的限制要求應(yīng)用到身份驗證過程中。風(fēng)險越高，認(rèn)證過程對用戶的限制就越大。用戶地理位置或者IP地址的更改可能會觸發(fā)額外的身份驗證要求，然后用戶才能訪問企業(yè)的信息資源。

什么是聯(lián)合身份管理？

聯(lián)合身份管理使您能夠與受信任的伙伴共享數(shù)字身份。它是一種身份驗證共享機(jī)制，允許用戶使用相同的用戶名、密碼和其他ID來訪問多個網(wǎng)絡(luò)。

單點登錄（SSO）是聯(lián)合身份管理的重要組成部分。單點登錄標(biāo)準(zhǔn)允許在一個網(wǎng)絡(luò)、網(wǎng)站或者應(yīng)用程序上驗證過其身份的人，移動到另一網(wǎng)絡(luò)時進(jìn)行身份驗證。該模型僅用于合作企業(yè)之間，即可信任的合作伙伴之間，企業(yè)為彼此的用戶提供相互擔(dān)保。

可信任合作伙伴之間的身份認(rèn)證信息通常是使用安全聲明標(biāo)記語言。這一開放規(guī)范定義了一個用于在安全認(rèn)證之間交換安全聲明的XML框架。SAML實現(xiàn)了不同供應(yīng)商平臺之間的互操作性，可在平臺之間提供身份認(rèn)證和授權(quán)服務(wù)。

然而，SAML并不是唯一的開放標(biāo)準(zhǔn)身份認(rèn)證協(xié)議。其他的包括OpenID、WS-Trust（Web服務(wù)信任的縮寫）和WS-Federation（其中有來自微軟和IBM的支持），以及OAuth，它支持臉書等第三方服務(wù)訪問用戶的賬戶信息，而且不會泄露密碼。

實現(xiàn)身份管理解決方案會面臨什么樣的挑戰(zhàn)或者風(fēng)險？

要想成功的實現(xiàn)身份管理需要遠(yuǎn)見卓識以及部門間的合作。在項目開始之前，建立各方面緊密結(jié)合的身份管理策略，包括清晰的目標(biāo)、加入各相關(guān)方、明確的業(yè)務(wù)流程等，這樣做的公司是最有可能成功的。Shaw說，“當(dāng)人力資源、IT、安全和其他部門也參與到其中時，身份管理才能工作的最好?！?/p>

通常，身份信息可能來自多個數(shù)據(jù)庫，例如微軟Active Directory（AD）或者人力資源應(yīng)用程序等。身份管理系統(tǒng)必須能夠在所有這些系統(tǒng)上同步用戶身份信息，提供一個單一的真實來源。

鑒于目前IT人員的短缺，身份管理系統(tǒng)必須使企業(yè)能夠自動實時地管理處于不同情形和計算環(huán)境中的各種用戶。人工調(diào)整數(shù)百甚至數(shù)千個用戶的訪問權(quán)限和控制是不可行的。

例如，取消離職員工的訪問權(quán)限可能會導(dǎo)致出現(xiàn)漏洞，特別是在人工操作時，這類情況太常見了。報告員工離開公司，然后在他或者她使用的所有應(yīng)用程序、服務(wù)和硬件上自動取消其訪問權(quán)限，這需要一個自動的、全面的身份管理解決方案。

Abousselham說，對于用戶來講，應(yīng)該很容易進(jìn)行身份認(rèn)證，IT部署起來也容易，最重要的是它必須是安全的。他補(bǔ)充說，這解釋了為什么移動設(shè)備成為用戶身份認(rèn)證的主要手段，因為智能手機(jī)提供了用戶的當(dāng)前地理位置，IP地址等信息，這些都可以用于認(rèn)證目的。

應(yīng)牢記的風(fēng)險是：黑客和駭客們最喜歡攻擊的是集中式的操作。通過為企業(yè)的身份管理活動設(shè)置儀表板功能，這些系統(tǒng)降低了管理的復(fù)雜性。一旦出現(xiàn)漏洞，入侵者就能夠創(chuàng)建具有很大權(quán)限，訪問很多資源的身份。

應(yīng)該知道哪些術(shù)語？

流行語實在太多了，但在身份管理領(lǐng)域，有一些關(guān)鍵術(shù)語是一定要了解的：endprint

● 訪問管理（Access management）：訪問管理是指用于控制和監(jiān)視網(wǎng)絡(luò)訪問的過程和技術(shù)。訪問管理特性，例如身份驗證、授權(quán)、信任和安全審計等，都是內(nèi)部和基于云系統(tǒng)的關(guān)鍵身份管理系統(tǒng)的組成部分。

● 活動目錄（Active Directory，AD）：微軟開發(fā)了AD，為Windows域網(wǎng)絡(luò)提供用戶身份目錄服務(wù)。雖然是專有的，但AD包含在Windows服務(wù)器操作系統(tǒng)中，因此被廣泛部署。

● 生物特征識別（Biometric authentication）：根據(jù)用戶特有的特征對用戶進(jìn)行身份驗證的安全過程。生物特征識別技術(shù)包括指紋傳感器、虹膜和視網(wǎng)膜掃描，以及面部識別等。

● 上下文環(huán)境感知網(wǎng)絡(luò)訪問控制（Context-aware network access control）：上下文感知網(wǎng)絡(luò)訪問控制是一種基于策略的方法，根據(jù)用戶要訪問的當(dāng)前上下文環(huán)境來授予用戶對網(wǎng)絡(luò)資源的訪問權(quán)。例如，如果用戶試圖從沒有被列入白名單的IP地址進(jìn)行身份認(rèn)證，那么將會阻止他。

● 憑證（Credential）：用戶用來訪問網(wǎng)絡(luò)的標(biāo)識符，例如用戶密碼、公鑰基礎(chǔ)設(shè)施（PKI）證書，或者生物特征識別信息（指紋、虹膜掃描）。

● 取消配置（De-provisioning）：從身份數(shù)據(jù)庫中刪除身份并終止訪問權(quán)限的過程。

● 數(shù)字身份（Digital identity）：身份本身，包括對用戶的描述以及他/她/它的訪問權(quán)限。（之所以有“它”，是因為筆記本電腦和智能手機(jī)等端點設(shè)備會有自己的數(shù)字身份。）

● 授權(quán)（Entitlement）：為已通過驗證的安全主體設(shè)定訪問權(quán)利和權(quán)限的一組屬性。

● 身份即服務(wù)（Identity as a Service，IDAAS）：基于云的IDAAS為本地或者云端的企業(yè)系統(tǒng)提供身份和訪問管理功能。

● 身份生命周期管理（Identity lifecycle management）：類似于訪問生命周期管理，該術(shù)語是指維護(hù)和更新數(shù)字身份的整套過程和技術(shù)。身份生命周期管理包括身份同步、配置、取消配置，以及對用戶屬性、憑證和權(quán)限的持續(xù)管理。

● 身份同步（Identity synchronization）：保證存儲的多個身份（即，采集的結(jié)果）對于某一數(shù)字身份而言其數(shù)據(jù)是一致的。

● 輕量級目錄訪問協(xié)議（Lightweight Directory Access Protocol，LDAP）：LDAP是基于開放標(biāo)準(zhǔn)的協(xié)議，用于管理和訪問分布式目錄服務(wù)，例如微軟的AD。

● 多重身份驗證（Multi-factor authentication，MFA）：MFA是指需要多個因素對網(wǎng)絡(luò)或者系統(tǒng)進(jìn)行身份驗證，例如不僅僅是用戶名和密碼。至少還需要一個額外的步驟，例如接收通過SMS發(fā)送到智能手機(jī)的認(rèn)證碼、插入智能卡或者USB棒，或者滿足指紋掃描等生物特征識別身份認(rèn)證要求。

● 密碼重置（Password reset）：在這種情況下，它是身份管理系統(tǒng)的一個特性，允許用戶重新建立自己的密碼，從而減輕管理員的工作，減少求助電話。用戶經(jīng)常通過瀏覽器使用重置應(yīng)用程序。應(yīng)用程序要求用戶提供秘密的單詞或者一組問題來驗證用戶的身份。

● 配置（Provisioning）：創(chuàng)建身份、定義訪問權(quán)限并將其添加到身份庫中的過程。

● 基于風(fēng)險的身份驗證（Risk-based authentication，RBA）：當(dāng)用戶要進(jìn)行身份驗證時，基于風(fēng)險的身份驗證功能根據(jù)用戶的情況動態(tài)地調(diào)整身份驗證要求。例如，當(dāng)用戶試圖從先前沒有關(guān)聯(lián)的地理位置或者IP地址進(jìn)行身份驗證時，這些用戶可能會面臨其他的身份驗證要求。

● 安全主體（Security principal）：具有一個或者多個憑證的數(shù)字身份，可以通過與網(wǎng)絡(luò)交互進(jìn)行身份驗證和授權(quán)。

● 用戶行為分析（User behavior analytics ，UBA）：UBA技術(shù)檢測用戶行為模式，自動應(yīng)用算法和分析功能，探測表明有潛在安全威脅的重要異常事件。UBA不同于其他安全技術(shù)，其重點是跟蹤設(shè)備或者安全事件。UBA有時也與實體行為分析相結(jié)合使用，被稱之為UEBA。endprint