传统的身份和访问管理 (IAM) 体系分为五大领域,每个领域都是独立的,但又互相依赖共同构建出 IAM 整体战略。将这些系统依次联结可避免管理上的漏洞,而另一方面又会产生安全问题。
需要注意的是,一些更现代化的 IAM 厂商已经将 IT 管理的其他领域(如网络和设备管理)与 IAM 的传统领域相结合。
这些现代目录平台提供的解决方案更为完整,让管理员能授予安全访问的权限,另外只需管理一个身份,可用于几乎所有 IT 资源。方案的具体步骤如下:
从目录服务入手
以会计和普通员工为例。这两类用户在 IT 基础架构中都有各自的身份,办公时都需要访问某些资源,但为了数据安全,他们不必访问所有资源。
这一问题可以通过目录服务中的用户凭证存储解决。普通员工访问应用时,目录服务都会向该应用验证用户的身份。从 IT 管理的角度,目录提供了将分散的身份账号编排进逻辑组中的方法,这些逻辑组将条件访问等策略应用于访问管理和安全配置分发。
目录将所有这些交互都记录在案,确保合规。由于身份和资源目录奠定了企业的整体基础架构,所以也被视为 IAM 的基础。
使用目录扩展添加功能
建立目录服务策略后可能会发现现有应用已经过时,不能完全支持远程办公。创建目录扩展就是为了填补传统目录服务的空白。
目录扩展增加了目录的现有功能,原本无法连接的平台、设备和应用也能连接到目录,此外还可通过集成设备内的管理/MDM 服务、控制用户访问增加目录服务功能。目录扩展可以有效丰富目录服务纳管的场景,包括新的应用、服务、基础设施等。
对于仍然使用纯本地化目录服务的企业,目录扩展是实现现代化 IAM 进程最简单的第一步。不过,云目录平台等现代化解决方案简化了访问管理和非 Windows 资源控制,彻底改变了目录行业,让企业可以完全跳过目录扩展这一步。
统一权限管理
IT 基础架构由许多服务器、网络和其他资产组成。目录服务将用户连接到这些资产后,由特权访问管理(PAM)决定用户可以访问哪些高价值的关键应用和 IT 系统。另外,对于服务器、数据库等运维场景的特权管理,还能再划分为PAM(特权账号管理),本文不对此过多展开。
还是回到会计和普通员工的例子,两类用户可能都能访问公司的财务系统,但 PAM 确保员工只能看到自己的工资单,而会计可能还有财务系统的管理权限。
随着越来越多的重要基础设施向基于云的基础设施即服务(IaaS)平台迁移,PAM 也变得更加重要。而 IT 部门的首要职能则是确保对企业运行中的数字应用和底层系统的访问安全。
通过单点登录(SSO)简化对 Web 应用的访问流程
企业一旦开发了目录服务和 PAM,就能改用对管理员和终端用户来说更安全便利的组件,其中就包括单点登录(SSO)。
单个用户远程办公时可能需要访问大量应用,如 Google Workspace、Microsoft 365、GitHub、Slack、Salesforce 或 Dropbox 等。每个应用程序都需要使用不同的用户名和密码,这就给生产力和安全带来了挑战。在此背景下,Web 应用在过去二十年不断增加,SSO 的采用率也随之增长。
SSO 将底层目录服务管理的单个身份连接到用户需要访问的各种 Web 应用,用户不必再创建多个身份。从用户的角度来看,他们只需使用一组用户名和密码登录一个应用后就能访问所有 Web 应用。
对于管理员而言,SSO 减少了因用户忘记密码导致的账号锁定请求和密码重置次数,而且使用 SSO 后,弱密码或多账户使用同一密码的情况也有所减少,提高了安全性。
现代 SSO 解决方案对管理员帮助最多的可能是用户的自动预配和取消预配,通常称为用户生命周期管理(ULM)。此外,行业顶尖的 SSO 解决方案在着手添加条件访问和多因素认证等功能,目的是提升 SSO 实施的整体安全性。
SSO 作为 IAM 的一部分可以让用户体验更便利,通过自动预配和取消预配减少 IT 部门的工作量,有助于提高远程办公环境的安全性。
使用多因素认证加强登录安全
IAM 安全的最后一个要素是多因素认证(MFA),为了提高安全性,在验证访问权限时用户除了输入用户名和复杂密码之外还需要出示其他信息。
通常,MFA 先要求用户输入他们知道的信息(用户名和密码),第二登录因素可以是用户拥有的物品(手机或硬件令牌)或自身的生理特征(指纹或视网膜)。
用户名和密码在数据泄露或其他网络安全漏洞中可能很容易被窃取,但 MFA 几乎无法破解,还能轻松实施,所以也是保障 IAM 安全的一大关键组件。借助现代推送技术,用户只需轻点手机上的确认按钮,就能将手机设置作为第二因素进行 MFA。
IAM 的关注点最终还是落在访问的管理和保护,实施的出发点在于访问发起者的身份管理和保护。近年来,新的解决方案层出不穷,上述五个步骤也在不断完善,基本体现了 IAM 的基本策略:
1)每个用户必须使用(并记住)的“身份”数量最小化
2)尽可能将核心身份组通过安全渠道扩展到 IT 资源
3)对每次访问都强制验证访问者的身份以及整个传输流程(设备、网络、应用程序),确保身份安全
但上述三个层面并没有实现用一组凭证访问所有 IT 资源这一理想的 IAM 策略,管理员需要在每一层都进行设置、维护和防护,反而加重了负担,而且这些基本策略一般需要自主技术紧密集成后才能起效。
终端用户在办公时仍须使用多个身份,可能会破坏每一层的效率和安全,而管理员也无法独自维护整个系统。
上述挑战引出了对于更现代的解决方案的开发需求,将传统 IAM 战略的所有层面全部整合到一个云目录平台,为终端用户提供目录服务、管理服务和安全服务而不受办公地点的限制。目录服务可以创建安全单一的身份,管理服务将身份扩展到应用、设备、网络、服务器等,安全服务基于零信任安全原则保护访问安全。
宁盾提供更好的 IAM 解决方案
远程办公和混合办公模型需要能与云前沿企业集成的新一代技术支持。宁盾IAM解决方案通过将目录服务、特权账号管理、目录扩展、Web 应用 SSO 和多因素认证集成到一个基于 SaaS 的解决方案中并进行优化,提供了一种高效的云 IAM 方法。
宁盾提供集中式身份管理,可立即映射到设备、应用和网络等 IT 资源,不受平台、厂商、位置或协议的影响。这些 IAM 方案利用 LDAP、RADIUS、SAML 和 SCIM 等多种协议,支持 IT 企业无缝预配和取消预配,同时用户可以安全、流畅地访问资源。