数据保护是大小企业都会面临的一大 IT 问题,为了数据安全必须确保只有授权用户需要时才能给予相应访问权限,而未授权用户的访问是绝对不允许的,无论用户来自内部还是外部,这也是企业实施准入系统的根本目的。
对于为企业或公众提供产品服务的企业、组织而言,数据保护问题就更加复杂,很容易受到各种途径的网络攻击,导致客户数据被窃取。因此,制定身份管理和访问控制的流程及策略至关重要,这些流程和策略也构成了身份访问管理(IAM)的基础。
一、什么是 IAM?
身份和访问管理(IAM)主要指企业用于管理用户身份并规范访问的策略、产品和流程,核心原则是让对的人在需要时可以使用有相应授权的资源。
IT 管理员通过 IAM 系统为每个用户分配数字身份,用户凭借自己的数字身份通过认证并获取资源的访问权限。管理员则必须根据需要监管这些数字身份。
身份和访问管理(IAM)作为企业最关键的安全资产之一,也是企业抵御攻击者用来窃取数据的公用网络入口的第一道防线。
二、IAM 有哪些子类别?
身份和访问管理(IAM)涵盖了所有可用于管理 IT 资源和用户身份的解决方案,具体包括以下几个子类别。
1)身份源(IdP)
身份源(IdP)主要管理核心用户身份,是验证用户身份的唯一数据源。
身份源也被认为是最重要的 IAM 子类别之一,是其他子类别的基础。因此,选择正确的厂商对于搭建成功的 IAM 系统至关重要。
2)身份认证即服务(IDaaS)
身份认证即服务(IDaaS)是一种基于云的第三方身份认证解决方案,使企业免于管理身份认证的技术运维。
IDaaS 实际上类似传统的 Web 应用单点登录(SSO),也是基于微软 Active Directory 域服务等核心身份源。虽然Web SSO 并不是真正的 IDaaS ,因为核心身份存在于目录服务中,但 Web SSO也是通过联合身份来访问 Web 应用程序。
但最近,随着云目录平台的发展,用于身份认证、授权和管理的真正云服务的概念确实存在。这种现代化 IAM 方法消除了几个类别,更准确地说是将多个子类别整合成了一个统一的身份访问管理平台。
IDaaS 作为企业级 IAM 解决方案使企业无需考虑基础设施成本和实施的复杂性,涵盖了功能扩展、高可用性、安全性、备份等功能,可一次性满足 IdP、SSO、PAM、SSO、IGA 等多个 IAM 需求。
3)特权身份/访问管理(PIM/PAM)
特权身份管理(PIM)和特权访问管理(PAM)是更精细化的 IAM 子类别。PIM 关注分配给系统管理员等不同用户身份的特权,特权身份可访问服务器、网络设备、存储系统等关键资源。
PAM 就像是通往更高级别安全控制的下一级阶梯,是授权访问级别的最后一层,也是特权用户可检索的信息层。PIM 和 PAM共同构成对特权身份的监督,防止对核心资源的特权滥用。这一子类别也随着 AWS、Azure 和 GCP 等 IaaS 解决方案的出现发生了变化。
4)多因素认证(MFA)
多因素认证(MFA),也称为双因素认证(2FA),它要求用户提供除了密码以外的其他身份认证因素增强登录安全,包括手机令牌或硬件令牌这类基于持有设备的认证,甚至是指纹扫描等生物识别技术。
多因素认证让身份和访问管理(IAM)系统变得更加安全,因为第二认证因素通常只有终端用户知道或持有。谷歌和微软的研究都表明,使用合适的第二认证因素可以将登录安全几乎提升到 100%,显著降低了账号泄露风险。
以往的多因素认证方案都独立于其他 IAM 类别,作为终端用户的附加方案和措施。而现在,现代云目录平台DaaS(Directory as a Service)正在将多因素认证集成到标准的身份保护机制中。
DaaS云目录平台,也被称为目录即服务平台,它拥有类似于微软Active Directory(AD)活动目录的能力,管理着用户和IT资源的连接。同时又扩展了AD没有的功能,比如多因素认证(MFA),DaaS将MFA集成在了目录服务(也即核心身份源)中,企业无需再单独安装部署和运维多因素认证(MFA)服务器,更省去了复杂的配置过程,IT管理员可以统一管理多因素认证使用的场景和策略,简便高效。
三、MFA 如何保护 IAM?
虽然多因素认证看起来很简单,但在保护身份和访问管理(IAM)系统方面也确实发挥了关键作用。在不实施多因素认证的 IAM 环境中,任何持有有效用户凭证的人都可以访问相应的授权资源。一旦凭证被盗,在数据库进行认证时,被窃取的凭证也会被视为真实有效从而授予访问权限。凭证窃取是最常见的一种攻击手段,61% 的数据泄露都源于凭证窃取。
实施多因素认证后,IAM 环境就会变得更加安全。即使数据库核验了凭证,在用户完成多因素认证请求之前也不会授予访问权限,多因素认证可能包括手机上的动态令牌或推送认证等,无论哪种形式都能有效防止远程攻击。
多因素认证确保 IT 资源不会因为用户名密码泄露而受损。要知道静态密码作为唯一的身份认证因素时并不太可靠。而实施多因素认证后,攻击者窃取了有效凭证也很难通过二次认证。
四、IAM中的MFA面临哪些挑战?
不了解安全最佳实践的决策者和终端用户可能并不看好多因素认证的应用前景,因为通过设备或令牌登录认证比密码登录要花费更多时间,用户可能觉得不方便,尤其是基于时间的动态令牌。相比之下,手机推送认证的使用体验更好,是更能被用户接受的认证形式。然而,选择合适的认证形式是一方面,另一方面 IT 部门必须组织用户培训,让他们适应多因素认证。
还有一点值得注意的是,多因素认证工具虽然看上去适用 Web 应用程序,但其实并不涉及 IAM 的其他功能。换句话说,如果没有多因素认证和用户的统一管理工具,也没有第三方集成工具,实施多因素认证可能会很困难。如果把选择权交给用户,部分用户可能会选择不启用多因素认证,最终产生网络攻击风险。
五、如何充分利用 MFA 保护 IAM?
所有企业都应遵循以下几条关于多因素认证的最佳实践准则来保护 IAM。首先,对于所有请求访问 IT 资源的用户都应强制要求多因素认证,以免未授权访问威胁数据安全。对于所有关键的 IT 资源,从云应用到本地应用再到 VPN 和无线网络等,都应该启用多因素认证加以保护。
其次,用户也应该为使用的设备启用多因素认证,确保访问安全。所有资源的访问都会经由设备,设备入侵导致的未授权访问不仅会危及本地数据,甚至影响对企业的关键 IT 资源的访问,因此对设备实施多因素认证保护也是必不可少的。多因素认证方案能够有效保护 Linux、Mac 和 Windows 设备。
最后,多因素认证和条件访问策略配合使用效果更好。管理员可以通过条件访问策略自定义 在哪些条件下出现多因素认证提示,优化了用户体验的同时仍能满足安全要求。例如,管理员可以为 IP 白名单上的员工或使用可信设备的主管禁用多因素认证提示。
总结而言,能有效支持企业身份和访问管理 IAM 系统的理想化多因素认证解决方案应具备以下特征:
1、可直接集成核心身份源,而非单点解决方案
2、无需订阅额外的厂商服务
3、可扩展到包含云应用在内的所有 IT 资源
4、可保护异构 IT 环境
5、可定制条件访问策略
6、提供了无摩擦的用户认证体验