身份管理工具为IT经理提供了控制用户对公司关键信息访问的工具和技术。
什么是身份管理?
广义讲,身份管理系统(也称为身份及访问管理系统,或IAM系统)可在某个系统内管理个人身份,比如一家公司、一个网络,甚或一个国家。具体讲,企业IT中的ID管理,就是定义并管理单个网络用户的角色和访问权限,以及用户被赋予/拒绝这些权限的情况。
ID管理系统的核心目标,是每人一个身份。该数字ID一旦被建立,在每个用户的整个“访问生命周期”里都应受到维护、修改和监视。
因此,用企业身份管理提供商Okta高级副总裁兼首席安全官亚希尔·阿布塞勒哈姆的话说,ID管理的整体目标,是从用户系统登录到许可授权到按需登出,都能及时在正确的上下文中,为正确的用户,分配正确的企业资产访问权限。
ID管理系统为管理员提供各种工具和技术,可以修改用户角色,跟踪用户活动,创建活动报告,贯彻策略执行。这些系统的设计目标,是要提供在整个企业里管理用户访问的方法,以及确保符合企业策略和政府监管规定。
ID管理技术包括(但不限于)口令管理工具、配置软件、安全策略执行应用程序、报告和监视App,以及身份存储库。ID管理系统在内部部署系统(如微软SharePoint)和云系统(如微软 Office 365)都可用。
ID管理系统必须足够灵活,足够健壮,才可以适应当今计算环境的复杂性。原因之一:企业计算环境曾经很大程度上是内部部署的,ID管理系统在员工都在工作场所上班的时候对用户进行身份验证和跟踪管理。那个时候的企业环境,是有着安全围栏围着的。而今天,这个围栏不再存在。
今天的ID管理系统,应能让管理员很方便地进行访问权限管理,服务对象也应包括各类用户——国内公司里上班的雇员和国外远程办公的承包商;混合计算环境——企业内计算、软件即服务(SaaS)应用程序、影子IT和BYOD用户;计算架构——UNIX、Windows、Macintosh、iOS、安卓、IoT设备。
最终,ID管理系统应能对整个企业,以一致而可扩展的方式,对用户进行集中管理。
最近几年,身份即服务(IDaaS)以云端订阅的方式,作为第三方托管服务而兴起,为企业内客户和云系统客户提供ID管理。
ID管理是任何企业安全计划的重要部分,因为今天的数字化经济中,ID管理与企业安全和生产力密不可分。
被盗用户凭证常常是进入企业网络及其信息资产的入口点。企业采用ID管理来保护其信息资产不受勒索软件、犯罪黑客行为、网络钓鱼和其他恶意软件攻击的威胁。Cybersecurity Ventures 预测,2017年,仅全球勒索软件破坏的损失,就可达50亿美元,比2016年上升了15%。
很多企业里,用户权限有时候会比所需的要高。健壮的ID管理系统,可通过确保整个企业内应用一致的用户访问规则和策略,为企业添加一层重要的防护。
ID管理系统可增强企业生产力。这些系统的中央管理功能,可减少保护用户凭证和访问权限的复杂性及开销。同时,ID管理系统还让员工在各种环境下更富生产力和安全性,无论他们是在家工作还是在办公室开工,还是在出差途中。
很多政府要求企业注重身份管理。Sarbanes-Oxley法案、Gramm-Leach-Bliley金融服务法案和HIPAA法案,都要求企业为客户及员工信息访问控制负责。ID系统可帮助企业遵从这些规定。
《通用数据保护条例》(GDPR)是更近一些的规定,要求强安全和强用户访问控制。GDPR强制企业保护欧盟公民的个人数据和隐私。该条例将于2018年5月正式生效,在欧盟国家经营或拥有欧盟公民客户的每家公司均受其管辖。
2017年3月1日,纽约州金融服务署(NYDFS)新网络安全规定宣布生效。该规定描述了很多在纽约运营的金融服务公司应遵从的安全运营要求,包括监视授权用户活动和维护审计日志——ID管理系统通常都会做的那些事。
ID管理系统可以自动化为企业网络和数据提供安全的用户访问,减轻IT在这些琐碎但重要的任务上的负担,并帮助他们持续符合政府的规定。鉴于如今每个IT职位同时也是安全职位的态势;全球性网络安全劳动力紧缺在持续;不合规所遭受的惩罚可让企业损失数百万甚至数十亿美元;上述这些都是非常重大的好处。
实现ID管理和相关最佳实践,可以多种形式带来重大竞争优势。现下,大多数公司需要为外部用户赋予到内部系统的访问权限。向客户、合作伙伴、供应商、承包商和雇员开放公司网络,可提升效率,降低运营成本。
ID管理系统可使公司在不破坏安全的情况下,将访问权限扩展至其各种各样的信息系统,包括企业内应用、移动App、SaaS工具等。向外部提供更多访问,可驱动整个企业的协作,提升生产效率、员工满意度,提振研究和开发,最终形成收益增加。
ID管理可减少IT支持团队接到的口令重置类求助电话。ID管理系统能让管理员自动化这些动作和其他耗时耗力的任务。
ID管理系统可成为安全网络的基石,因为用户身份管理是访问控制拼图的重要一块。ID管理系统要求公司企业定义自身访问策略,具体描述哪些人可以在哪种情况下对哪些数据资源具有访问权。
因此,管理良好的ID,意味着对用户访问更好的控制,也就是内部和外部数据泄露风险的降低。这非常重要,因为,伴随着外部威胁的持续上升,内部攻击同样愈驱频繁。根据IBM《2016网络安全情报索引》,约有60%的数据泄露时由公司自己的雇员导致的。当然,75%是恶意的,25%是无意的。
正如前文提到的,通过提供工具实现全面安全、审计和访问策略,ID管理系统能够增强合规。很多系统如今都有确保公司合规的诸多功能。
过去几年中,典型的ID管理系统包括4个基本元素:
监管用户访问一直以来都涉及到一系列的用户身份验证方法,包括口令、数字证书、令牌和智能卡。硬件令牌和信用卡大小的智能卡被当成双因子身份验证的其中一个部分。双因子身份验证结合你知道的某些事(比如你的口令)和你拥有的某样东西(令牌或卡),来核实你的身份。
智能卡嵌入了一块集成电路芯片,可能是安全微控制器,或者内部存储或存储芯片等价物。出现于2005年的软件令牌,可存在于任意带存储功能的设备中,从U盘到手机都可以。
今天的复杂计算环境里,随着安全威胁的提升,强用户名和口令不再管用。时至今日,ID管理系统往往综合了生物特征识别、机器学习和人工智能,以及基于风险的身份验证等因素。
在用户层级,最近的用户身份验证方法有助于更好地保护身份。举个例子,iPhone Touch ID 功能的流行,让很多人适应了用指纹作为身份验证的方法。更新的 Windows 10 计算机提供指纹传感器或虹膜扫描作为生物特征识别用户身份验证。
苹果公司推出的下一代iPhoneX,据传将采用虹膜扫描或人脸识别,取代指纹扫描,来进行用户身份验证。
有些公司已开始从双因子身份验证转向三因子身份验证,结合你知道的(比如口令)、你拥有的(比如智能手机),以及你的特征(人脸识别、虹膜扫描或指纹传感)。从双因子走向三因子,在确保正确的用户上又多了一重保障。
在管理层级,今天的ID管理系统提供更先进的用户审计和报告——感谢上下文敏感的网络访问控制和基于风险的身份验证(RBA)之类的技术。
上下文敏感的网络访问控制基于策略,根据各种属性预先规定了事件及其结果。例如,没被列入白名单的IP,就会被封禁。或者,如果没有表明设备被托管的证书,上下文敏感网络访问控制就不会触发身份验证过程。
相比之下,RBA更为灵活,往往受到某种程度的AI驱动。有了RBA,基本上就为身份验证事件打开风险评级和机器学习的大门了。
RBA根据当前风险状况对身份验证过程应用不同级别的严格度。风险越高,对用户的身份验证过程越严格。用户地理位置或IP地址的改变,可能会触发附加的身份验证要求,只有全部通过,用户才能继续访问公司的信息资源。
统一身份管理可让你与受信合作伙伴共享数字ID。这是让用户可使用同一个用户名、口令或其他ID,来访问多个网络的身份验证共享机制。
单点登录(SSO)就是统一身份管理的一个重要组成部分。单点登录标准,可使在某个网络、网站或App上通过验证的用户,将其经验证状态延续到另一个登录系统。该模型仅适用于合作企业之间——所谓受信合作伙伴,可以为彼此的用户担保的那种。
受信合作伙伴间的授权消息往往通过安全断言标记语言(SAML)发送。该开放规范定义了在安全授权方之间交换安全断言的XML框架。SAML在提供身份验证和授权服务的不同厂商平台间达成了互操作性。
然而,SAML不是唯一一个开放标准身份协议。其他协议还有OpenID、WS-Trust(Web服务信任)和WS-联合(受到微软和IBM的共同支持),以及OAuth——不暴露口令的情况下让用户账户信息可被Facebook之类第三方服务使用的协议。
ID管理的成功实现,需要深谋远虑和各部门间的协作。在项目开始前就建立了内聚ID管理策略的企业——目标清晰、利益相关者认可、业务过程有定义,更有可能成功。只有在人力资源、IT、安全和其他部门都参与的情况下,ID管理才会得到最佳成效。
身份信息往往来自多个存储库,比如微软活动目录(AD)或人力资源应用。ID管理系统必须能够同步这些来自不同系统的用户身份信息,提供统一的真相。
鉴于当今IT人才的紧缺,ID管理系统还得能让企业可以在各种情况和计算环境中管理各种各样的用户——自动化实时管理。人工调整成百上千用户的访问权限和控制,是不现实的。
比如说,解绑离职员工访问权限的工作就会被疏忽掉,尤其是在人工处理的情况下,而这往往是很多企业的现状。报告员工离职,然后自动解除该员工所用各个App、服务和硬件的访问权配置,需要一个自动化的全面ID管理解决方案。
身份验证也必须让用户易于执行,让IT部门易于部署,而且最重要的,必须安全。这也是为什么移动设备正成为用户身份验证中心的原因,因为智能手机可以提供用户当前位置、IP地址,以及可用于身份验证目的的其他信息。
需要谨记的一个风险是:集中式操作也会向黑客和破解者呈现出诱人的目标。整个公司所有ID管理活动都在一个仪表板上呈现,不仅仅给管理员带来了便利,也为黑客和破解者减少了攻击复杂度。一旦被黑,入侵者便可以创建高权限ID,访问庞大的资源。
流行词总在变化,但身份管理领域一些关键术语还是值得知道一下:
1. 访问管理
访问管理,指的是用于控制和监视网络访问的过程和技术。访问管理功能,比如身份验证、授权、信任和安全审计,是内部和云端系统顶层ID管理系统的组成部分。
2. 活动目录(AD)
微软开发的AD,是Windows域网络用户身份目录服务。虽然是专利产品,AD却被包括在 Windows Server 操作系统中,因而广为使用。
3. 生物特征识别身份验证
依靠用户特征进行身份验证的安全过程。生物特征识别身份验证技术包括指纹传感器、虹膜和视网膜扫描,以及人脸识别。
4. 上下文敏感网络访问控制
上下文敏感网络访问控制是一种基于策略的方法,根据请求访问用户的当前上下文授权网络资源。例如,以未进入白名单的IP地址请求身份验证的用户,就不会被批准。
5. 凭证
用户用于访问网络的标识符,比如用户口令、公钥基础设施(PKI)证书,或者生物特征信息(指纹、虹膜扫描)。
6. 解除配置
从ID存储库中删除身份并终止访问权限的过程。
7. 数字身份
即ID本身,包括对用户及其访问权限的描述。(终端,诸如笔记本电脑或智能手机,也可以拥有其数字身份。)
8. 权利
经验证安全主体所具有的一系列属性,指明了具体访问权益和特权。
9.身份即服务(IDaaS)
基于云的IDaaS为内部和云端企业系统提供身份与访问管理功能。
10. 身份生命周期管理
与访问生命周期管理类似,该术语指的是维护和更新数字身份的整套过程与技术。身份生命周期管理包含身份同步、配置、解配置,以及对用户属性、凭证和权利的持续管理。
11. 身份同步
确保多个身份存储(比如企业并购的结果)包含给定数字ID的统一数据的过程。
12. 轻量级目录访问协议(LDAP)
LDAP是管理和访问分布式目录服务(比如微软的AD)的开放标准协议。
13. 多因子身份验证(MFA)
网络或系统身份验证时要求一个以上验证因子(比如用户名和口令)的情况。至少还会要求另一个验证步骤,比如接收发送到智能手机上的短信验证码,插入智能卡或U盘,或者满足生物特征识别身份验证要求(如指纹扫描)。
14. 口令重置
身份管理上下文中,口令重置指的是ID管理系统的一个功能,可以让用户重新设置口令,减轻管理员工作负担,减少求助电话。重置应用通常通过浏览器访问。该应用会要求密语,或者询问一组问题来核实用户身份。
15. 配置
创建身份,定义其访问权限,以及将身份加入ID存储库的过程。
16. 基于风险的身份验证(RBA)
基于风险的身份验证,根据身份验证当时的用户情况,动态调整验证要求。比如说,当用户从之前未关联的地理位置或IP地址尝试验证时,将会遇到额外的身份验证要求。
17. 安全主体
数字身份,拥有1个或多个可经验证和授权与网络进行交互的凭证。
18.用户行为分析(UBA)
UBA技术审查用户行为模式,自动应用算法和分析以检测表明潜在安全威胁的重要异常。UBA与其他专注跟踪设备或安全事件的安全技术不同,有时候也被归类于实体行为分析,被称为UEBA。