了解IAM的类型与工具

主要要点/核心内容

• 在云时代，身份与访问管理对于企业来说至关重要。它涉及到对用户进行身份验证和授权操作。
• 存在多种类型的IAM系统，包括用于内部角色的特权访问管理（PAM）、用于面向客户的组织的客户身份与访问管理（CIAM）、API访问管理，以及网页访问管理（WAM）。
• PAM系统不仅负责分配权限，还能够自动化管理任务，从而限制用户在网络中的移动，进而提升安全性。
• CIAM专注于客户身份管理，同时还能实现针对客户行为的分析。
• API访问管理确保了不同软件服务之间能够安全且经过授权的交互，这一机制通常被纳入DevSecOps体系之中。
• WAM更加注重传统和本地化解决方案，能够实现对Web应用程序访问的集中控制。
• 联邦身份管理功能允许不同组织之间共享用户信息，从而方便用户无缝访问各种云服务。
• 单点登录（SSO）和多因素认证（MFA）是身份管理系统中非常重要的工具，它们有助于简化用户体验并增强安全性。
• 威胁检测是身份与访问管理系统的核心组成部分。该系统主要负责监控网络流量，并识别出那些异常的登录尝试，从而防止未经授权的访问行为。
• 为了让 IAM 像一台运转良好的机器一样持续运行，你需要进行细致的配置工作，不断管理谁可以执行哪些任务。此外，还需要在与第三方合作伙伴的关系上做出明智的选择，同时定期检查各个角色的职责分配，以确保一切正常运作。
  

过去，企业需要自行管理硬件设备和本地资产。而云计算的兴起则彻底改变了这一切。如今，数字身份已成为全球网络安全领域的最前沿问题。身份与访问管理已经成为那些依赖云计算的企业中不可或缺的技术。

IAM负责验证和授权网络边缘处的用户。访问控制工具会拦截所有的登录尝试。IAM和云防火墙确保只有合法的用户才能访问云资源。授权系统为每位用户分配相应的权限，这样员工就可以访问他们所需的应用程序和数据了。而其余的一切都是被禁止的，属于受保护的内容。

当企业使用访问管理技术时，会面临各种各样的身份与访问管理问题。这篇文章将介绍IAM类型以及核心的身份与访问管理工具。通过这些内容，人们能够更清楚地了解各种访问管理选项。这样一来，资产就能得到更好的保护，免受外部攻击者的侵害。

IAM的类型

身份与访问管理并不是一个统一的概念。因为各种企业的需求各不相同，所以IAM也有许多不同的类型。有些公司是以客户为中心的，因此需要管理来自第三方的身份信息。还有一些公司则需要处理庞大的远程员工群体。此外，还有那些需要为跨不同云平台的API和系统提供身份管理的公司。

以下是主要的身份与访问管理类型。在构建访问管理架构时，请记住这些类型。

特权访问管理（PAM）

特权访问管理功能，能够为每个员工或角色分配相应的权限。.

在强大的PAM架构中，权限的分配与每个用户的实际需求及资历相匹配。那些需要与客户打交道的用户，可以访问CRM应用程序，但无法访问DevOps工具。开发人员则可以访问代码库和库文件，但无法访问与个人相关的敏感数据。这样的设计目的是让资源能够被有效利用，同时避免将数据暴露于过高的风险之中。

认证工具会根据凭证或其他识别因素来确认用户的身份。之后，PAM系统会为这些用户分配相应的权限。如果需要的话，还可以根据角色来分配权限。

使用PAM所带来的好处

• 确保关键资源的获取。拥有访问权限的员工和其他用户会接触到各种应用程序中的数据。通过分配不同的权限，可以限制用户在云环境中的操作范围。用户只能访问相关的应用程序和数据，其他内容则会被屏蔽。
• 易于自动化的操作PAM系统包含自动化功能，能够减轻网络管理员的工作负担。安全团队可以自动为员工分配或撤销相应的权限。对于某些项目或短期合同来说，可以设置有限期的权限。这样就能降低人为错误的风险。
• 基于角色的控制机制。PAM在细节层面发挥作用。不过，当应用于公司角色时，其优势最为明显。管理员可以为高级别的账户设置特定的权限。这些账户负责处理最敏感的数据。而较低级别的角色则可以获得一般的权限。这样一来，员工在组织内部流动时，资源的分配将更加顺畅。
  

在实践层面，PAM定义了与云环境相关的安全角色。例如，管理员可以为系统管理员和域管理员创建相应的角色。根账户则用于管理Unix或Linux系统的人员。而网络账户则用于管理网络基础设施的人员。

通过精心设计的PAM系统，就可以明确知道谁可以访问哪些资源，而不会产生任何混淆。每个角色都对应着相应的权限设置，这些权限设置既保证了安全性，又提升了用户体验。

客户身份与访问管理（CIAM）

客户身份与访问管理属于IAM类别的一种。该产品旨在满足那些需要面向客户的数字化组织的需求。CIAM使得安全团队能够管理客户的身份信息。这样一来，客户就可以访问各种服务，但同时也会受到对后端资源的访问权限的限制。

CIAM系统包含用于配置客户身份的自助门户功能。客户可以自行管理密码以及多因素认证机制。用户还可以根据网络管理员提供的选项来设置自己的隐私设置。

从商业角度来看，CIAM使得管理员能够跟踪客户的行为。CIAM系统能够提供分析数据，从而及时发现安全警报。此外，客户的身份信息也可以在不同设备之间无缝传递，包括笔记本电脑、本地系统以及智能手机等。

使用CIAM带来的好处

• 为客户提供可靠的身份验证服务企业可以安全地管理庞大的客户群体。每个用户都有足够的自由来使用公司的服务。他们无权擅自访问数据库或网络边界。
• 跟踪与数据收集同意设置功能使得企业能够建立符合要求的数据跟踪与分析流程。企业可以利用CIAM系统中的数据来提升其安全状况以及整体CRM活动的效率。
• 易用性数字身份的自主配置过程既快速又简单。客户可以自行创建自己的个人资料，同时还可以进行一定程度的个性化设置。无需单独管理密码，而且许多安全方面的任务都可以被自动化处理，从而节省时间。
• 多渠道接入。企业可以使用多种云应用程序来提供服务。CIAM和身份融合技术使得第三方能够轻松访问混合环境以及多个销售渠道。
• 声誉管理客户认为数据泄露是一种严重的风险。因此，他们会避免与那些在数据安全方面表现不佳的公司合作。CIAM能够保护客户的 데이터免受外部攻击的侵害，同时还能保护公司的资源免受凭证盗窃等攻击的威胁。

API访问管理

云应用程序通过应用程序编程接口（APIs）进行通信。企业必须管理对API的访问权限。必须允许经过授权的连接。对于那些没有必要权限的用户，则必须拒绝其访问请求。

API IAM指的是……通常与开发、安全以及运维相关的工作联系在一起。开发者需要能够访问应用程序的后端部分，以及进行应用程序修改所需的权限。然而，如果这些权限被过度授予的话，就会带来安全隐患。

开发者必须能够安全地、集中地更新云应用程序。API身份管理技术使得这一需求得以实现。数据在各个API之间能够高效流动。不过，这些数据的流动是遵循特定的使用策略的，而那些没有获得相应权限的用户则无法参与数据的流动。

像亚马逊AWS这样的云平台，本身就具备用于API开发的IAM功能。用户可以在创建新应用程序时，自行配置访问权限。权限可以基于角色来分配，也可以针对特定用户进行设置。此外，这些权限还可以被设定为特定的时间段内有效。

网络访问管理

网络访问管理（WAM）负责对网络应用程序的访问进行管控。大多数WAM的实现方式并非基于云技术。WAM通常依赖于单点登录机制，并且由本地硬件来管理和控制。

WAM的身份管理系统为Web应用程序用户分配了相应的权限。这些系统还包含密码自助服务功能，并且在授予访问权限之前，需要用户提供多个认证因素。

实施网络访问管理的好处

• 针对Web应用程序的中央访问控制机制员工需要从远程和本地位置访问网络应用程序。WAM允许员工以适当的权限来访问基于Web的工作负载。
• 与旧应用程序的兼容性许多组织仍然依赖传统的应用程序来处理日常工作负载。WAM以及像Active Directory这样的资源分配系统，非常适合那些采用传统网络架构且几乎没有基于云的技术的情境。

IAM工具

单点登录（SSO）

单点登录为所有云资源和本地资源提供了统一的访问入口。员工可以立即访问各种应用程序和数据库。他们无需处理多个登录界面。员工可以安全地使用电子邮件客户端、CRM软件以及协作工具。

远程工作者需要输入他们的用户名、密码以及其他认证信息。这样就能节省时间，同时还能简化登录流程。中央集权制度也有助于确保访问的安全性。员工更有可能遵守多因素认证政策，而管理员则不必再花费太多时间来处理密码管理相关的工作。

SSO除了能够节省时间之外，还拥有其他诸多好处。SSO软件可以收集有关用户活动的数据。这些信息有助于了解网络安全状况。管理员可以追踪员工在各种资产之间的移动情况。他们还可以优化威胁检测机制，并改进权限管理功能。

多因素认证（MFA）

多因素认证在允许用户访问网络资源之前，需要用户提供多个额外的因素。这进一步增强了IAM解决方案中的身份验证功能。访问控制系统能够阻止恶意行为者对系统的非法访问。这样一来，合法用户就可以安全地访问各种工作负载了。

在设计身份与访问管理系统的过程中，安全团队可以在多种多因素认证方式中做出选择。这些选项包括：

• 生物识别技术员工可以使用视网膜扫描仪来证明自己的身份。智能手机的指纹扫描器也是一种可行的选择，而且这种方式非常适合移动办公环境。
• 曾经使用过的密码/凭证OTP是一种独特的密码，其有效期为设定的时间之后。当用户提交自己的用户名和密码时，系统会向用户发送这些OTP。通常情况下，OTP是由第三方认证服务来管理的，而且这些OTP可以被发送到不同的设备或智能手机上。
• 智能卡当员工选择离开办公室环境时，公司会向他们发放智能卡。员工在进入网络资源之前，需要在登录环节刷卡验证身份，之后系统才会允许他们访问网络资源。
  

MFA技术也可以被用于……适应性这意味着，MFA软件会依据风险指标来评估用户的登录尝试。当用户通过这些背景风险评估后，他们就可以被允许进入网络系统了。

自适应MFA能够考虑设备的身份和位置信息（包括所使用的无线网络）。这些先进的自适应工具可以追踪用户的操作行为，从而判断用户是否真的符合他们所声称的身份。

特权访问管理（PAM）

MFA和SSO用于验证用户的身份。之后，IAM系统需要为每位用户分配适当的访问权限。这样，用户就可以访问与其职位相关的资源，同时又能阻止他们访问其他网络资源。

管理员可以在细粒度级别上管理权限，或者通过基于角色的访问控制方式来管理权限。基于粒度的权限设置提供了更多的控制能力，因此可能更适合高层管理人员使用。不过，RBAC方式更为高效且易于管理。

这些角色可以应用于员工群体，并针对特定项目进行创建。IAM系统会自动撤销用户的权限。无论员工是离开某个项目团队还是整个组织，这种机制都能确保用户权限不会被滥用。这样一来，就可以降低账户被攻击者利用的风险。

联合身份管理

联合身份管理能够创建出可在不同组织之间共享的用户档案。联邦身份机制使得用户能够通过SSO门户进行认证，从而在不同连接的资产之间切换。这包括那些并非由用户所属公司直接管理的资产。

这很有用，因为工作负载往往分布在多个云环境中。例如，员工可能需要访问Google Docs、Microsoft Office套件或Slack等工具。此外，他们还可能需要访问存储在Amazon AWS服务器上的公司数据库。

B2B联合身份管理系统可以与各种常见的身份识别系统进行协作。这些系统包括Microsoft Active Directory、Microsoft Entra ID、轻量级目录访问协议（LDAP），以及Active Directory Federation Service（ADFS）。

企业可以利用联合身份来共享配置文件，从而避免复杂的替代方案。第三方身份管理提供商能够把员工与他们所需的工作负载连接起来，而无需在后端进行复杂的代码处理。

威胁检测系统

IAM解决方案还可能包括：威胁分析与检测工具。身份识别是网络安全领域的一个重要研究方向。攻击者试图窃取用户的凭证，并利用网络边缘的漏洞来实施攻击。因此，身份管理平台是监控活动、在威胁进入网络环境之前将其阻止的理想场所。

IAM系统能够追踪进入和离开网络的流量情况。它们还可以记录登录尝试的相关信息，并识别出异常行为。此外，这些系统还可以为经过授权的IP地址设置允许列表，同时阻止那些被列入黑名单的账户。