新闻详细
CSA发布 | IAM在云环境下新的挑战
  • 2023.10.27
  • 4647

一个完整的IAM平台是防御新出现的威胁、节省成本、提高效率、改善用户体验和确保业务连续性的唯一合适方法,IAM的成功就是业务的成功。

 

云安全联盟大中华区发布报告《IAM在云环境下新的挑战》(以下简称报告)报告通过介绍影响IAM的云环境与本地环境之间的差异和过去解决方式的回顾,总结出目前IAM发展的趋势和在云环境中IAM面临的重要挑战,提出了针对云环境的有效的IAM最佳实践,用于帮助IAM在企业数字化转型中进行有效推动,从而加速数字经济,降低运营成本。(原报告中的解读更为详细。建议想要更具体地了解详情的读者朋友进一步做阅读)

 

本篇文章主要围绕IAM在云中管理所涉及的挑战、注意事项和最佳实践展开。企业业务正在加速上云,虽然可产生巨大的价值,但是也增加了IAM的复杂性,包括与云之间的互操作性,孤立的身份与安全策略的一致性,重写应用程序以实现迁移到云等都会成为云上业务开展的挑战,因此企业安全管理者需要了解云身份和访问管理。
 

什么是云身份和访问管理
 

组织如果在本地、私有云以及一个或多个公共云环境中拥有应用程序和数据,云身份和访问管理是通过提供一个用于管理用户对分布式资源(无论其位于何处)的访问权限的系统,它包含使用平台保护组织关键资源的工具、策略和流程,通过云身份治理,组织可以向用户组分配权限,并授予资源的访问权限,即使员工的位置或角色,岗位属性发生变化,基于云的IAM平台也能确保其权限保持最新。好的云身份与访问管理解决方案最大限度满足现代企业的复杂需求而设计,提供自主的身份基础设施,以及安全地推动业务发展。

 

传统的IAM或本地IAM让人产生笨重感,因为组织手动配置权限,随着越来越多的基础设施移至云端,创建了更多的入口点,带来了新的安全暴露面,云身份与访问管理使组织能够处理所有平台(无论是基于云的还是本地的)的身份验证和云访问,因此比传统的IAM更加灵活,更能有效地扩展。

 

简单来说,云身份和访问管理扩展了IAM的功能,支持分布式环境,可以包括在本地以及通过各种云模型(例如私有云、公共云、多云、混合云、合作伙伴)部署和访问。对于云供应商来说,提供内置身份基础设施是基础。

 

云身份和访问管理的组成
 

云身份和访问管理通过为管理员提供弹性的框架结构和流程来管理所有组织资源中用户身份和权限的端到端生命周期,从而支持云身份和访问治理。

 

云身份和访问管理提供的框架包括简化系统中的管理身份以及简化对各种IT系统和应用程序的安全访问所需的工具,因此云身份和访问管理是一种解决方案,需要构建保护跨云、SaaS、本地系统以及API等关键资源(例如IT系统、网络、数据)所需的工具、策略和流程,以确保无论用户在什么位置,都可以提供对用户进行身份验证和授权访问的机制。一般特性如下:

  • 身份认证:提供增强或多因素身份验证模式,以确保用户的真实性并限制被盗凭据带来的风险 。
  • 访问管理:提供基于角色或属性的访问控制管理,建立授予所需的最小权限。
  • 风险管理:基于风险的身份验证,使用算法计算恶意用户的风险、阻止可疑活动并报告高风险分数的操作。
  • 身份治理和管理(IGA):用于管理用户帐号生命周期,包括权限和配置 。
  • 特权访问管理(PAM):可通过监视、检测和防范对关键资源的未经授权的特权访问,并提供高度敏感的系统和数据的账号保管机制。
  • API安全性:将安全协议扩展到非人类用户(例如API、容器和应用程序)的身份和适当的权限。
  • 跨云集中身份管理:系统在不同的云进行运行,通过从其他系统迁移用户或将其与组织内的其他用户目录(例如HR目录)同步,进行跨云的集中身份管理。
  • 为用户和开发者提供自助服务
  • 同意收集和数据隐私管理

 

云身份和访问管理的优势
 

1、更安全:比传统的IAM提供更高的安全性,整合本地、云和SaaS环境,消除混合云环境中的身份孤岛,并通过提供无缝的角色变更带来最大限度地减少内部威胁,减少对密码的依赖以及因凭证泄露而导致的潜在数据泄露,减少企业可能的损失,如数据泄露、勒索软件问题等。

 

2、全球化:云身份与访问管理解决方案可以管控跨平台的访问,让员工可以从任何地方访问资源,消除传统IAM系统的笨重感,最大限度地减少登录时间,使员工访问众多的企业资源不是一种心理负担。

 

3、降低成本:组织可以根据需要扩展和收缩其使用量,从而使云身份与访问管理比本地解决方案成本更低。

 

4、合规:帮助组织遵守当地的相应法律法规。

 

云身份和访问管理面临的挑战


“身份”是新的安全边界,而云身份与访问管理范围更广,包括用户、管理员、设备、工作负载、系统服务、应用服务、API和容器等,从而增加了安全策略的复杂性,会面临许多挑战,需要关注以下几个方面:

1、 身份治理和管理(IGA):目前IAM可能大多数聚焦在身份管理层面,无论从上游系统获取还是管理员自己配置,但是面对多云,多用户跨多个目标系统的时候,有效管理用户身份和访问非常困难,需要提升到身份治理的高度,匹配业务侧的目标,将身份统一到更高级的分层模型中,再采用分析,自动化等技术手段快速实现效率、合规性和安全性。

 

2、 面向不同客户群或场景,可能采用乐高式的解决方案,统称为CIP(Converged IAM Platfrom,融合式的IAM平台),以身份治理与管理,访问管理,特权会话管理为主的方式去组织IAM的相关组件,针对不同的保护对象,保护级别,采用不同的访问控制手段。

 

3、 身份概念的扩大,根据相关机构调研,78%的IT决策者表示,管理多个云之间的用户身份是首要挑战,尤其在云上,No-Person的身份管理需要与人类实体一并考虑,因为最小工作负载往往并不是人类在操作,可能通过API接口的方式进行数据蔓延,所以API数据的访问控制需要纳入IAM的安全策略中。

 

4、 认证方式的强化:需要认识到MFA就是较为安全的这一误区,因为认证因子的强度和确定性是安全的重要保障,近年推崇的无密码认证的身份验证机制,用户可能只需要使用一个因素,但该因素不是密码,但可能是无法复制,篡改的生物特征,或者运营商提供的超级SIM号卡实名认证等。

 

5、 即时访问与防止角色爆炸:通过使用标准化角色模型提升云访问安全性,并且应该强制性使用,强调继续采用使用简单语言对策略进行编码,将角色和属性与逻辑结合以创建灵活的动态控制策略的机制。

 

致谢

《IAM在云环境下新的挑战(What Is Identity & Access Management (IAM) For The Cloud? )》由CSA工作组专家编写,CSA大中华区IAM工作组组织翻译并审校。

 

中文版翻译专家组(排名不分先后):

组长:于继万

翻译组:崔崟、王亮、张彬、鹿淑煜、吕波

审校组:戴立伟、谢琴

研究协调员:蒋妤希

感谢以下单位的支持与贡献:

启明星辰、奇安信、天融信、竹云科技、物盾科技、安易科技、华为、三未信安、阿里云

 

本文作者:吕波,启明星辰,高级产品经理

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝