零信任落地的理想应用场景：身份管理

 

零信任理念自2010年由Forrester公开提出之后，经过了漫长的演化发展阶段。在国内，伴随数字经济时代下IT基础架构变化、边界安全体系瓦解、特征对抗防御失效，零信任提倡的默认一切参与因素不受信、最小权限原则、持续信任评估、动态访问控制的原则，逐渐受到了众多企业的青睐，市场进入发展的快车道。

 

基于零信任原则打造的网络安全防御体系，将在应用访问过程中，持续对用户身份进行验证，识别终端、系统、环境和用户行为等风险，提供动态的访问授权控制，从而确保正确的人，使用正确的终端，在任意位置，使用正确的权限，访问正确的业务，获得正确的数据。即可以理解为，将企业的所谓安全边界，高效且细粒度地移动到组织延伸的每个网络、设备、系统、用户和应用。

 

也正是这种“万物皆可零信任”的局面，给许多企业造成混乱和迷茫，对于自身到底需不需要零信任，零信任究竟能干什么，应该从哪里切入部署，建设周期有多长成本有多高，老旧安全体系怎么处置，都没有清晰的答案。安全419将从用户视角出发，探讨零信任落地的理想场景，针对企业用户不同的业务目标和安全需求，找到行之有效的解决方案。

 

本期，我们重点观察身份管理场景。

 

 

 

一切的网络访问行为，可以看作是人（who）在终端（where）上通过应用程序（Application）用账户（Account）访问目标资产。“身份”即是入口，对其认证是确定一个用户或设备是否有权连接到特定资源或系统的过程，它确保只有合法用户可以访问敏感数据或系统。身份确认后，需要按需匹配他们在网络中拥有的权限范围，它涉及到确定用户或设备可以访问哪些资源、执行哪些操作以及访问这些资源或执行这些操作的条件。

 

任何一个身份从入职入网到离职离网，在身份的创建、活动、转移、销毁的整个生命周期都会呈现出不同的行为轨迹与状态，因此，身份认证与访问管理是网络安全的关键首要任务之一。

 

攻击者也深谙此道，擅长以身份基础设施作为入侵目标网络的切入口。2023年10月，身份安全公司Okta披露其存在一个涉及未经授权访问其客户支持系统的安全漏洞，事件引发连锁反应，包括凯撒娱乐、米高梅等巨头在内的多家客户遭遇攻击，安全友商BeyondTrust、Cloudflare、1Password也受到影响。IBM发布的《2024年X-Force威胁情报指数报告》显示，2023年，利用身份信息形成的网络攻击激增71%。另一份监测130多个国家/地区的安全事件形成的调研指出，在2023年，高达80%的违规行为都是由于身份问题（例如凭证泄露、弱密码等）造成的。

 

 

随着互联网技术和业务的发展，企业的IT设施规模不断扩大，开放性越来越高，内部员工、经销商、供应商、消费者等人员的变动和不停重组的组织架构，都让身份和权限的复杂性变得愈加严峻。

 

在这种趋势下，为每个系统独立地构建身份与访问管理组件非常不划算且难以管理，因此，这些组件逐渐从各个应用中剥离出来，进行独立构建和部署，为各系统提供统一的服务，这样一套围绕身份、权限、上下文、活动等数据提供以管理、认证、授权、分析为核心的技术体系就是IAM（Identity and Access Management，身份和访问管理）。

 

在过去的十多年里，IAM技术体系持续迭代，细分领域蓬勃发展，比如，针对流程优化与合规治理的身份治理与管理 (IGA)，针对运维及高特权访问场景的特权访问管理 (PAM)，针对云上身份与认证场景的身份即服务 (IDaaS)，针对客户身份管理场景的客户身份与访问管理 (CIAM) 等等。

 

然而，IAM在多数企业的工程实践进展中却远没有其技术体系发展得那样成熟。特权访问管理厂商BeyondTrust在其出品的《身份攻击向量》一书中指出，造成这种反差最根本的原因在于驱动力或愿景不足，IAM的落地需要IT、安全、业务、研发等多个部门的协同参与，需要企业的信息化及安全主管，甚至CEO等高层领导的大力支持和推动才能确保成功，这就需要IAM成为企业业务愿景的重要支撑，成为安全建设的优先事项，否则结果可想而知。

 

 

令人欣喜的是，这一尴尬局面正在发生改变。近几年，随着企业数字化转型的深化，身份基础设施正在成为数字化业务的支撑底座，以身份为基石的零信任架构正在逐步成为企业的首要安全策略。在Gartner发布的《2024年及未来中国网络安全重要趋势》报告中，“身份优先安全”和“零信任采用”上榜，被列为中国网络安全的重要趋势。

 

 

IAM的核心思想是为用户建立身份，在其访问资源前需核验确认其身份真实性，契合了零信任中“永不信任、始终验证”的原则，因此身份和访问管理成为了零信任解决方案的重要组成部分，是实现零信任体系中身份识别、实时监测、持续身份鉴别、动态访问控制、事后追溯的重要技术支撑。

 

IAM为零信任构筑身份基础

零信任作为一种网络安全基础，其信任关系来自于所有参与对象的身份验证。在零信任端到端的基于会话的精细化权限管理要求下，需要一个强大的IAM系统予以支撑。如果企业仅仅知道用户是谁，并不意味着用户对其所有资源有自由支配权。

 

IAM为零信任提供身份持续有效性验证

身份认证系统要根据交易的风险提供自适应的认证技术，系统要保持身份认证的持续性，关注用户行为和场景变化，让企业可以随时掌握用户真实访问记录。采用场景认证的机制，如地理位置和时间因素等计算风险，使企业对用户访问场景收集数据，对用户的行为实时进行认证。

 

IAM支持零信任实施最小权限策略

IAM采用“最小特权”和“即时权利”的原则，通过使用单个控制层来确定每个应用程序和子应用的访问策略，只允许每个用户访问他们所需的最基本的资源。

 

IAM支持零信任实施动态和实时的访问控制

在零信任环境中，管理资源、用户和访问权限方面存在复杂性，他们之间的关系的排列组合是非常复杂的。因此，IAM系统还将在管理用户、用户的访问权限和访问策略方面发挥关键作用，并消除各种系统因信息不流通造成的孤岛问题。

 

IAM支持零信任实现应用的便捷高效访问

零信任架构最终是打通资源访问路径，在IAM单点登录技术SSO的支持下，可以得到很好的用户体验。一次性鉴别登录，即可获得访问单点登录系统中其他关联系统和应用软件的权限。

 

IAM帮助零信任实现有效身份治理

通过用户ID统一、全域用户画像建设、全面身份治理体系建设，涵盖内外部全域用户，实现身份集中化管理，通过零信任架构实现自动化全生命周期管理，同时建设内部完整的、标准的、可持续的企业化管理规范体系。

 

 

自零信任体系进入落地应用阶段，众多具有身份安全基因的厂商致力于融合零信任理念，研发先进、实用的身份和访问管理产品，国际上较为知名的玩家包括Okta、IBM、Ping Identity、Microsoft、OneLogin等厂商。国内包括阿里云、腾讯、华为等大型企业，以及派拉软件、芯盾时代、竹云等在IAM领域实践多年的安全厂商也推出了各种各样的身份和访问管理产品，并在政府部门、企业单位得到广泛应用。

 

派拉软件基于身份优先的零信任架构，提供由一整套身份管理和体系产品所组成的解决方案，满足企业不同阶段和不同业务场景下的身份安全建设需求。

 

从产品维度看，在网络侧主要以身份优先的零信任解决方案作为切入，基于身份的“最小授权”安全策略以及动态访问控制机制，全面保障端到端的访问安全，并以国产化适配全面参与到企业的本地与云端资源管理当中。进入网络入口后，可向企业提供IAM统一身份治理系统，以用户身份数据为中心，针对企业全场景的数字身份进行整合管理，通过构建集中用户管理中心，打通各异构系统之间的用户身份数据通道，实现用户全生命周期自动化管理、SSO多业务系统单点登录、MFA强认证、UEBA智能风险监测、细粒度权限、审计管理及自助服务，基于安全提供更高效、便捷的管理能力和业务能力。

 

对于不同需求的甲方客户，可以按需组合或拆分形成对应的解决方案，单点能力比如SSO、IDaaS、MFA、细粒度权限管理、智能身份认证等不同子产品也可独立提供。派拉软件产品线上将API安全和数据安全独立，其对应的独立产品如API安全网关、API管理平台，PAM特权访问管理系统、数据库访问管理系统等，都可以纳入到身份安全方案当中，从而全面覆盖了大中小企业不同IT建设阶段，企业数字化业务全覆盖，甚至跨区域乃至全球化业务下的身份安全建设诉求。

 

芯盾时代用户身份和访问管理平台（IAM），基于零信任理念打造，采用自主研发的统一终端全技术、增强型身份认证技术、连续自适应风险信任评估技术，结合其身份安全项目经验帮助企业构建智能、动态、高效的身份安全防护体系，实现对身份信息、身份认证、访问权限、安全审计的统一管理，全面提升身份安全水平。

创建唯一身份，权限、审计统一管理

整合企业零散的组织用户数据，创建唯一用户身份标记，形成权威的组织用户体系，建立自动化流转的用户全生命周期管理机制，实现“一个身份，访问全网”。运维人员能够统一设置多个应用的访问权限，统一审计多个应用的访问日志，大幅减少运维量，提升工作效率。

 

统一认证管理，实施全局多因素认证

为企业建设应用门户，统一业务应用的登录入口，并借助单点登录功能，实现“一次认证，全网通行”。为企业建立移动认证App，结合员工所知、所持、所有进行多因素身份认证，提供密码、App扫码、短信验证码、动态口令、指纹、人脸等多种方式，兼顾企业网络安全与员工操作便利。

 

提升权限管理能力，实施动态访问控制

支持多种权限管理模型，访问权限粒度细至页面级。运维人员能够根据应用和数据重要等级，选择RCBC、ACBC等权限管理模型，灵活配置访问控制策略，实现基于风险行为的动态授权。

 

 

全面身份化是零信任架构的基石，零信任所需的IAM技术通过围绕身份、权限、环境等信息进行有效管控与治理，从而保证正确的身份在正确的访问环境下，基于正当理由访问正确的资源。只有将身份安全技术体系纳入企业零信任安全策略，才能推动IAM的现代化演进并与零信任架构进行有机结合，构建统一的零信任动态授权平台，以确保零信任身份安全的整体能力在各种数字化业务场景中被有效调用，为数字化业务保驾护航。