身份管理ABC

James+A.Martin+Charles

身份管理工具為IT管理人員提供了用于控制用戶訪問企業(yè)關(guān)鍵信息的工具和技術(shù)。

什么是身份管理？廣義地說，身份管理系統(tǒng)（也稱之為身份和訪問管理，即IAM系統(tǒng)）能夠管理系統(tǒng)內(nèi)的個(gè)人身份，系統(tǒng)可以是企業(yè)、網(wǎng)絡(luò)甚至國(guó)家。更具體地說，企業(yè)IT的身份管理是定義并管理每一網(wǎng)絡(luò)用戶的角色和訪問權(quán)限，以及用戶被授予（或者拒絕）這些權(quán)限的環(huán)境。

身份管理系統(tǒng)的核心目標(biāo)是每個(gè)人有一個(gè)身份。一旦建立了數(shù)字身份，就必須對(duì)每個(gè)用戶的“訪問生命周期”進(jìn)行維護(hù)、修改和監(jiān)視。

據(jù)企業(yè)身份管理提供商Okta的資深副總裁兼首席安全官Yassir Abousselham，身份管理的總目標(biāo)是“從用戶系統(tǒng)登錄到權(quán)限授權(quán)，直至根據(jù)需要及時(shí)的讓用戶退出，在正確的上下文環(huán)境中，將正確的企業(yè)資產(chǎn)授權(quán)給正確的用戶。”

身份管理系統(tǒng)為管理員提供了更改用戶角色、跟蹤用戶活動(dòng)、創(chuàng)建關(guān)于用戶活動(dòng)的報(bào)告，以及持續(xù)執(zhí)行策略的工具和技術(shù)。這些系統(tǒng)旨在提供一種管理用戶訪問整個(gè)企業(yè)的方法，并確保符合公司政策和政府規(guī)章制度。

身份管理技術(shù)包括（但不限于）密碼管理工具、配置軟件、安全策略實(shí)施應(yīng)用程序、報(bào)告和監(jiān)視應(yīng)用程序以及身份數(shù)據(jù)庫。身份管理系統(tǒng)可用于本地系統(tǒng)，例如微軟SharePoint，也可以用于基于云的系統(tǒng)，如微軟Office 365。

身份管理系統(tǒng)必須靈活而且足夠強(qiáng)大，能夠適應(yīng)當(dāng)今非常復(fù)雜的計(jì)算環(huán)境。身份和訪問管理供應(yīng)商One Identity的產(chǎn)品管理資深總監(jiān)Jackson Shaw說，一個(gè)企業(yè)的計(jì)算環(huán)境過去主要是在本地，身份管理系統(tǒng)對(duì)在本地工作的用戶進(jìn)行認(rèn)證和跟蹤。Shaw指出：“本地一般都會(huì)有安全防護(hù)措施。如今，沒有這些防護(hù)措施了。”

因此，現(xiàn)在的身份管理系統(tǒng)應(yīng)能夠讓管理員輕松地管理各種用戶的訪問權(quán)限，包括國(guó)內(nèi)本地的員工以及國(guó)外異地的承包商；還能夠管理混合計(jì)算環(huán)境，這包括本地計(jì)算、軟件即服務(wù)（SaaS）應(yīng)用以及影子IT和BYOD用戶；還有不同的計(jì)算架構(gòu)，包括UNIX、Windows、Macintosh、iOS、Android，甚至物聯(lián)網(wǎng)（IoT）設(shè)備。

Abousselham說，最終，身份管理系統(tǒng)應(yīng)能夠在整個(gè)企業(yè)中，通過一致的和可擴(kuò)展的方式，實(shí)現(xiàn)對(duì)用戶的集中管理。

近年來，身份即服務(wù)（IDaaS）已經(jīng)發(fā)展成為在訂閱的基礎(chǔ)上通過云來提供的第三方托管服務(wù)，為客戶的本地和基于云的系統(tǒng)提供身份管理服務(wù)。

為什么應(yīng)關(guān)注身份管理？

在當(dāng)今的數(shù)字化經(jīng)濟(jì)環(huán)境下，身份管理與企業(yè)的安全性和生產(chǎn)效率密不可分，是所有企業(yè)安全計(jì)劃的關(guān)鍵部分。

不完善的用戶憑證通常被作為企業(yè)網(wǎng)絡(luò)及其信息資產(chǎn)的突破口。企業(yè)利用身份管理來保護(hù)其信息資產(chǎn)免受越來越多的勒索軟件、犯罪黑客、釣魚軟件等惡意軟件的攻擊。Cybersecurity Ventures預(yù)測(cè)，今年，全球僅勒索軟件造成的損失成本將超過50億美元，比2016增長(zhǎng)了15%。

在很多企業(yè)中，用戶的訪問權(quán)限有時(shí)越權(quán)了。強(qiáng)大的身份管理系統(tǒng)可以通過在整個(gè)企業(yè)中確保用戶訪問規(guī)則和策略的一致應(yīng)用，增加重要的保護(hù)層。

身份管理系統(tǒng)能夠提高企業(yè)生產(chǎn)效率。系統(tǒng)的集中管理功能降低了保護(hù)用戶憑證和訪問的復(fù)雜性及成本。同時(shí)，身份管理系統(tǒng)提高了員工們?cè)诟鞣N環(huán)境中的生產(chǎn)效率（同時(shí)保持安全）——無論他們是在家里、辦公室還是在旅途中工作。

很多政府要求企業(yè)重視身份管理。Sarbanes-Oxley、Gramm-Leach-Bliley和HIPAA等條例要求企業(yè)負(fù)起客戶和員工信息訪問控制的責(zé)任。身份管理系統(tǒng)可以幫助企業(yè)遵守這些條例。

一般數(shù)據(jù)保護(hù)條例（GDPR）是歐盟近期出現(xiàn)的規(guī)定，要求有較強(qiáng)的安全性和用戶訪問控制功能。GDPR強(qiáng)制要求企業(yè)保護(hù)歐盟公民的個(gè)人數(shù)據(jù)和隱私。GDPR將于2018年5月生效，會(huì)影響在歐盟國(guó)家開展業(yè)務(wù)，把歐盟公民作為客戶的每一家企業(yè)。如果希望了解詳細(xì)信息，請(qǐng)閱讀GDPR的要求、期限和事實(shí)。

2017年3月1日，紐約州金融服務(wù)局（NYDFS）的新網(wǎng)絡(luò)安全條例正式生效。該條例規(guī)定了在紐約運(yùn)營(yíng)的金融服務(wù)公司安全方面的很多要求，包括要監(jiān)控授權(quán)用戶的活動(dòng)，維護(hù)審計(jì)日志——這是身份管理系統(tǒng)通常要做的工作。

通過自動(dòng)完成企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)安全用戶訪問的很多方面的工作，身份管理系統(tǒng)減輕了IT部門一些普通但重要的任務(wù)，并幫助他們遵守政府的規(guī)定。目前，考慮到每一個(gè)IT職位都是安全相關(guān)的職位；全球網(wǎng)絡(luò)安全工作人員一直處于短缺狀態(tài)；不遵守相關(guān)條例的懲罰會(huì)讓企業(yè)付出數(shù)百萬甚至數(shù)十億美元的成本，因此，這些都是非常重要的優(yōu)勢(shì)。

身份管理系統(tǒng)能給企業(yè)帶來什么好處？

實(shí)施身份管理和相關(guān)的最佳實(shí)踐可以在幾個(gè)方面給企業(yè)帶來顯著的競(jìng)爭(zhēng)優(yōu)勢(shì)。如今，大多數(shù)企業(yè)都要給企業(yè)以外的用戶訪問內(nèi)部系統(tǒng)的權(quán)限。向客戶、合作伙伴、供應(yīng)商、承包商和雇員開放您的網(wǎng)絡(luò)能夠提高效率，降低運(yùn)營(yíng)成本。

身份管理系統(tǒng)支持企業(yè)在各種本地應(yīng)用、移動(dòng)應(yīng)用和SaaS工具上對(duì)其信息系統(tǒng)進(jìn)行訪問，而不會(huì)影響安全性。通過向外界提供更多的訪問途徑，您可以在整個(gè)企業(yè)中推動(dòng)協(xié)作，提高生產(chǎn)效率和員工滿意度，加強(qiáng)研究和開發(fā)，最終增加收益。

身份管理有助于減少求助電話的數(shù)量，這些電話往往是要求IT支持部門重置密碼。身份管理系統(tǒng)使得管理員能夠?qū)崿F(xiàn)這些任務(wù)的自動(dòng)化，其他耗時(shí)而且成本較高的任務(wù)也能自動(dòng)完成。

管理用戶身份是訪問控制場(chǎng)景不可或缺的部分，因此，身份管理系統(tǒng)是安全網(wǎng)絡(luò)的基石。一個(gè)身份管理系統(tǒng)要求企業(yè)定義訪問策略，特別是要列出誰可以訪問哪些數(shù)據(jù)資源，以及在什么樣的條件下才能訪問。

因此，管理好身份意味著能夠很好的控制用戶訪問，這就降低了出現(xiàn)內(nèi)部和外部泄露的風(fēng)險(xiǎn)。由于現(xiàn)在外部威脅不斷增加，而且內(nèi)部攻擊也非常頻繁，因此，這一點(diǎn)非常重要。據(jù)IBM的2016年度網(wǎng)絡(luò)安全情報(bào)指數(shù)，大約有60%的數(shù)據(jù)泄露是由企業(yè)自己?jiǎn)T工造成的。其中，75%是故意的，25%是意外造成的。endprint

如前所述，身份管理系統(tǒng)可以通過提供工具來實(shí)現(xiàn)全面的安全、審計(jì)和訪問策略，從而增強(qiáng)了合規(guī)能力。很多系統(tǒng)現(xiàn)在提供了確保企業(yè)能夠合規(guī)的功能。

身份管理系統(tǒng)是怎樣工作的？

過去幾年中，一個(gè)典型的身份管理系統(tǒng)包括四個(gè)基本要素：一個(gè)系統(tǒng)用來定義每一用戶的個(gè)人數(shù)據(jù)目錄（可以將其看成是身份數(shù)據(jù)庫）；一組用于添加、修改和刪除數(shù)據(jù)的工具（與訪問生命周期管理相關(guān)）；一個(gè)控制用戶訪問的系統(tǒng)（執(zhí)行安全策略和訪問權(quán)限）；一個(gè)審計(jì)和報(bào)告系統(tǒng)（確定您的系統(tǒng)發(fā)生了什么）。

控制用戶的訪問傳統(tǒng)上涉及到一些身份驗(yàn)證方法，用于驗(yàn)證用戶的身份，包括密碼、數(shù)字證書、令牌和智能卡等。硬件令牌和信用卡大小的智能卡是雙重身份驗(yàn)證的組成部分，它將您所知道的（您的密碼）與您所擁有的（令牌或卡）結(jié)合起來，以驗(yàn)證您的身份。智能卡嵌入了集成電路芯片，它可以是一個(gè)安全微控制器，也可以是智能的內(nèi)部存儲(chǔ)器，或者單獨(dú)的內(nèi)存芯片。軟件令牌是2005年出現(xiàn)的，可以放在任何有存儲(chǔ)能力的設(shè)備上，例如USB和手機(jī)。

在當(dāng)今復(fù)雜的計(jì)算環(huán)境中，隨著安全威脅的增加，強(qiáng)用戶名和密碼是必不可少的。今天，身份管理系統(tǒng)通常包含生物特征識(shí)別、機(jī)器學(xué)習(xí)和人工智能，以及基于風(fēng)險(xiǎn)的身份驗(yàn)證等。

在用戶層面上，最近的用戶身份驗(yàn)證方法有助于更好地保護(hù)身份。例如，很多人已經(jīng)非常熟悉流行的具備Touch ID功能的iPhone手機(jī)，用他們的指紋作為身份驗(yàn)證方法。較新的Windows 10計(jì)算機(jī)提供指紋傳感器或者虹膜掃描方法，用于生物識(shí)別用戶身份驗(yàn)證。據(jù)傳聞，將于今年下半年推出的下一款iPhone將包括虹膜掃描或者面部識(shí)別方法來認(rèn)證用戶，而不是指紋掃描。

Abousselham說，一些企業(yè)正在從雙重身份驗(yàn)證發(fā)展到三重身份驗(yàn)證，結(jié)合了您所知道的一些東西（您的密碼）、您擁有的東西（智能手機(jī)），以及您自己（人臉識(shí)別、虹膜掃描、指紋傳感器）。他說：“當(dāng)從雙重發(fā)展到三重時(shí)，您就更加確信該用戶是正確的用戶。”

在管理層面上，今天的身份管理系統(tǒng)提供了更高級(jí)的用戶審核和報(bào)告功能，這得益于上下文環(huán)境感知的網(wǎng)絡(luò)訪問控制和基于風(fēng)險(xiǎn)的認(rèn)證（RBA）等技術(shù)。

上下文環(huán)境網(wǎng)絡(luò)訪問控制功能是基于策略的。Okta產(chǎn)品總監(jiān)Joe Diamond說，它基于各種屬性預(yù)先確定了一個(gè)事件及其結(jié)果。例如，如果一個(gè)IP地址不在白名單里，就會(huì)阻止它。或者，如果沒有證書表明某一設(shè)備是接受管理的，那么上下文環(huán)境感知網(wǎng)絡(luò)訪問控制功能會(huì)加強(qiáng)認(rèn)證過程。

相比之下，RBA更自由一些，通常能發(fā)揮人工智能的作用。采用RBA，Diamond說：“您可以啟用風(fēng)險(xiǎn)評(píng)分和機(jī)器學(xué)習(xí)功能來對(duì)某一事件進(jìn)行身份驗(yàn)證。”

基于風(fēng)險(xiǎn)的身份驗(yàn)證功能根據(jù)當(dāng)前的風(fēng)險(xiǎn)情形動(dòng)態(tài)地將不同級(jí)別的限制要求應(yīng)用到身份驗(yàn)證過程中。風(fēng)險(xiǎn)越高，認(rèn)證過程對(duì)用戶的限制就越大。用戶地理位置或者IP地址的更改可能會(huì)觸發(fā)額外的身份驗(yàn)證要求，然后用戶才能訪問企業(yè)的信息資源。

什么是聯(lián)合身份管理？

聯(lián)合身份管理使您能夠與受信任的伙伴共享數(shù)字身份。它是一種身份驗(yàn)證共享機(jī)制，允許用戶使用相同的用戶名、密碼和其他ID來訪問多個(gè)網(wǎng)絡(luò)。

單點(diǎn)登錄（SSO）是聯(lián)合身份管理的重要組成部分。單點(diǎn)登錄標(biāo)準(zhǔn)允許在一個(gè)網(wǎng)絡(luò)、網(wǎng)站或者應(yīng)用程序上驗(yàn)證過其身份的人，移動(dòng)到另一網(wǎng)絡(luò)時(shí)進(jìn)行身份驗(yàn)證。該模型僅用于合作企業(yè)之間，即可信任的合作伙伴之間，企業(yè)為彼此的用戶提供相互擔(dān)保。

可信任合作伙伴之間的身份認(rèn)證信息通常是使用安全聲明標(biāo)記語言。這一開放規(guī)范定義了一個(gè)用于在安全認(rèn)證之間交換安全聲明的XML框架。SAML實(shí)現(xiàn)了不同供應(yīng)商平臺(tái)之間的互操作性，可在平臺(tái)之間提供身份認(rèn)證和授權(quán)服務(wù)。

然而，SAML并不是唯一的開放標(biāo)準(zhǔn)身份認(rèn)證協(xié)議。其他的包括OpenID、WS-Trust（Web服務(wù)信任的縮寫）和WS-Federation（其中有來自微軟和IBM的支持），以及OAuth，它支持臉書等第三方服務(wù)訪問用戶的賬戶信息，而且不會(huì)泄露密碼。

實(shí)現(xiàn)身份管理解決方案會(huì)面臨什么樣的挑戰(zhàn)或者風(fēng)險(xiǎn)？

要想成功的實(shí)現(xiàn)身份管理需要遠(yuǎn)見卓識(shí)以及部門間的合作。在項(xiàng)目開始之前，建立各方面緊密結(jié)合的身份管理策略，包括清晰的目標(biāo)、加入各相關(guān)方、明確的業(yè)務(wù)流程等，這樣做的公司是最有可能成功的。Shaw說，“當(dāng)人力資源、IT、安全和其他部門也參與到其中時(shí)，身份管理才能工作的最好。”

通常，身份信息可能來自多個(gè)數(shù)據(jù)庫，例如微軟Active Directory（AD）或者人力資源應(yīng)用程序等。身份管理系統(tǒng)必須能夠在所有這些系統(tǒng)上同步用戶身份信息，提供一個(gè)單一的真實(shí)來源。

鑒于目前IT人員的短缺，身份管理系統(tǒng)必須使企業(yè)能夠自動(dòng)實(shí)時(shí)地管理處于不同情形和計(jì)算環(huán)境中的各種用戶。人工調(diào)整數(shù)百甚至數(shù)千個(gè)用戶的訪問權(quán)限和控制是不可行的。

例如，取消離職員工的訪問權(quán)限可能會(huì)導(dǎo)致出現(xiàn)漏洞，特別是在人工操作時(shí)，這類情況太常見了。報(bào)告員工離開公司，然后在他或者她使用的所有應(yīng)用程序、服務(wù)和硬件上自動(dòng)取消其訪問權(quán)限，這需要一個(gè)自動(dòng)的、全面的身份管理解決方案。

Abousselham說，對(duì)于用戶來講，應(yīng)該很容易進(jìn)行身份認(rèn)證，IT部署起來也容易，最重要的是它必須是安全的。他補(bǔ)充說，這解釋了為什么移動(dòng)設(shè)備成為用戶身份認(rèn)證的主要手段，因?yàn)橹悄苁謾C(jī)提供了用戶的當(dāng)前地理位置，IP地址等信息，這些都可以用于認(rèn)證目的。

應(yīng)牢記的風(fēng)險(xiǎn)是：黑客和駭客們最喜歡攻擊的是集中式的操作。通過為企業(yè)的身份管理活動(dòng)設(shè)置儀表板功能，這些系統(tǒng)降低了管理的復(fù)雜性。一旦出現(xiàn)漏洞，入侵者就能夠創(chuàng)建具有很大權(quán)限，訪問很多資源的身份。

應(yīng)該知道哪些術(shù)語？

流行語實(shí)在太多了，但在身份管理領(lǐng)域，有一些關(guān)鍵術(shù)語是一定要了解的：endprint

● 訪問管理（Access management）：訪問管理是指用于控制和監(jiān)視網(wǎng)絡(luò)訪問的過程和技術(shù)。訪問管理特性，例如身份驗(yàn)證、授權(quán)、信任和安全審計(jì)等，都是內(nèi)部和基于云系統(tǒng)的關(guān)鍵身份管理系統(tǒng)的組成部分。

● 活動(dòng)目錄（Active Directory，AD）：微軟開發(fā)了AD，為Windows域網(wǎng)絡(luò)提供用戶身份目錄服務(wù)。雖然是專有的，但AD包含在Windows服務(wù)器操作系統(tǒng)中，因此被廣泛部署。

● 生物特征識(shí)別（Biometric authentication）：根據(jù)用戶特有的特征對(duì)用戶進(jìn)行身份驗(yàn)證的安全過程。生物特征識(shí)別技術(shù)包括指紋傳感器、虹膜和視網(wǎng)膜掃描，以及面部識(shí)別等。

● 上下文環(huán)境感知網(wǎng)絡(luò)訪問控制（Context-aware network access control）：上下文感知網(wǎng)絡(luò)訪問控制是一種基于策略的方法，根據(jù)用戶要訪問的當(dāng)前上下文環(huán)境來授予用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)。例如，如果用戶試圖從沒有被列入白名單的IP地址進(jìn)行身份認(rèn)證，那么將會(huì)阻止他。

● 憑證（Credential）：用戶用來訪問網(wǎng)絡(luò)的標(biāo)識(shí)符，例如用戶密碼、公鑰基礎(chǔ)設(shè)施（PKI）證書，或者生物特征識(shí)別信息（指紋、虹膜掃描）。

● 取消配置（De-provisioning）：從身份數(shù)據(jù)庫中刪除身份并終止訪問權(quán)限的過程。

● 數(shù)字身份（Digital identity）：身份本身，包括對(duì)用戶的描述以及他/她/它的訪問權(quán)限。（之所以有“它”，是因?yàn)楣P記本電腦和智能手機(jī)等端點(diǎn)設(shè)備會(huì)有自己的數(shù)字身份。）

● 授權(quán)（Entitlement）：為已通過驗(yàn)證的安全主體設(shè)定訪問權(quán)利和權(quán)限的一組屬性。

● 身份即服務(wù)（Identity as a Service，IDAAS）：基于云的IDAAS為本地或者云端的企業(yè)系統(tǒng)提供身份和訪問管理功能。

● 身份生命周期管理（Identity lifecycle management）：類似于訪問生命周期管理，該術(shù)語是指維護(hù)和更新數(shù)字身份的整套過程和技術(shù)。身份生命周期管理包括身份同步、配置、取消配置，以及對(duì)用戶屬性、憑證和權(quán)限的持續(xù)管理。

● 身份同步（Identity synchronization）：保證存儲(chǔ)的多個(gè)身份（即，采集的結(jié)果）對(duì)于某一數(shù)字身份而言其數(shù)據(jù)是一致的。

● 輕量級(jí)目錄訪問協(xié)議（Lightweight Directory Access Protocol，LDAP）：LDAP是基于開放標(biāo)準(zhǔn)的協(xié)議，用于管理和訪問分布式目錄服務(wù)，例如微軟的AD。

● 多重身份驗(yàn)證（Multi-factor authentication，MFA）：MFA是指需要多個(gè)因素對(duì)網(wǎng)絡(luò)或者系統(tǒng)進(jìn)行身份驗(yàn)證，例如不僅僅是用戶名和密碼。至少還需要一個(gè)額外的步驟，例如接收通過SMS發(fā)送到智能手機(jī)的認(rèn)證碼、插入智能卡或者USB棒，或者滿足指紋掃描等生物特征識(shí)別身份認(rèn)證要求。

● 密碼重置（Password reset）：在這種情況下，它是身份管理系統(tǒng)的一個(gè)特性，允許用戶重新建立自己的密碼，從而減輕管理員的工作，減少求助電話。用戶經(jīng)常通過瀏覽器使用重置應(yīng)用程序。應(yīng)用程序要求用戶提供秘密的單詞或者一組問題來驗(yàn)證用戶的身份。

● 配置（Provisioning）：創(chuàng)建身份、定義訪問權(quán)限并將其添加到身份庫中的過程。

● 基于風(fēng)險(xiǎn)的身份驗(yàn)證（Risk-based authentication，RBA）：當(dāng)用戶要進(jìn)行身份驗(yàn)證時(shí)，基于風(fēng)險(xiǎn)的身份驗(yàn)證功能根據(jù)用戶的情況動(dòng)態(tài)地調(diào)整身份驗(yàn)證要求。例如，當(dāng)用戶試圖從先前沒有關(guān)聯(lián)的地理位置或者IP地址進(jìn)行身份驗(yàn)證時(shí)，這些用戶可能會(huì)面臨其他的身份驗(yàn)證要求。

● 安全主體（Security principal）：具有一個(gè)或者多個(gè)憑證的數(shù)字身份，可以通過與網(wǎng)絡(luò)交互進(jìn)行身份驗(yàn)證和授權(quán)。

● 用戶行為分析（User behavior analytics ，UBA）：UBA技術(shù)檢測(cè)用戶行為模式，自動(dòng)應(yīng)用算法和分析功能，探測(cè)表明有潛在安全威脅的重要異常事件。UBA不同于其他安全技術(shù)，其重點(diǎn)是跟蹤設(shè)備或者安全事件。UBA有時(shí)也與實(shí)體行為分析相結(jié)合使用，被稱之為UEBA。endprint