數(shù)據(jù)保護(hù)是大小企業(yè)都會(huì)面臨的一大 IT 問題，為了數(shù)據(jù)安全必須確保只有授權(quán)用戶需要時(shí)才能給予相應(yīng)訪問權(quán)限，而未授權(quán)用戶的訪問是絕對不允許的，無論用戶來自內(nèi)部還是外部，這也是企業(yè)實(shí)施準(zhǔn)入系統(tǒng)的根本目的。

對于為企業(yè)或公眾提供產(chǎn)品服務(wù)的企業(yè)、組織而言，數(shù)據(jù)保護(hù)問題就更加復(fù)雜，很容易受到各種途徑的網(wǎng)絡(luò)攻擊，導(dǎo)致客戶數(shù)據(jù)被竊取。因此，制定身份管理和訪問控制的流程及策略至關(guān)重要，這些流程和策略也構(gòu)成了身份訪問管理（IAM）的基礎(chǔ)。

什么是 IAM？

身份和訪問管理（IAM）主要指企業(yè)用于管理用戶身份并規(guī)范訪問的策略、產(chǎn)品和流程，核心原則是讓對的人在需要時(shí)可以使用有相應(yīng)授權(quán)的資源。

IT 管理員通過 IAM 系統(tǒng)為每個(gè)用戶分配數(shù)字身份，用戶憑借自己的數(shù)字身份通過認(rèn)證并獲取資源的訪問權(quán)限。管理員則必須根據(jù)需要監(jiān)管這些數(shù)字身份。

身份和訪問管理（IAM）作為企業(yè)最關(guān)鍵的安全資產(chǎn)之一，也是企業(yè)抵御攻擊者用來竊取數(shù)據(jù)的公用網(wǎng)絡(luò)入口的第一道防線。

IAM 有哪些子類別？

身份和訪問管理（IAM）涵蓋了所有可用于管理 IT 資源和用戶身份的解決方案，具體包括以下幾個(gè)子類別。

1）身份源（IdP）

身份源（IdP）主要管理核心用戶身份，是驗(yàn)證用戶身份的唯一數(shù)據(jù)源。 身份源也被認(rèn)為是最重要的 IAM 子類別之一，是其他子類別的基礎(chǔ)。因此，選擇正確的廠商對于搭建成功的 IAM 系統(tǒng)至關(guān)重要。

2）身份認(rèn)證即服務(wù)（IDaaS）

身份認(rèn)證即服務(wù)（IDaaS）是一種基于云的第三方身份認(rèn)證解決方案，使企業(yè)免于管理身份認(rèn)證的技術(shù)運(yùn)維。

IDaaS 實(shí)際上類似傳統(tǒng)的 Web 應(yīng)用單點(diǎn)登錄（SSO)，也是基于微軟 Active Directory 域服務(wù)等核心身份源。雖然Web SSO 并不是真正的 IDaaS ，因?yàn)楹诵纳矸荽嬖谟谀夸浄?wù)中，但 Web SSO也是通過聯(lián)合身份來訪問 Web 應(yīng)用程序。

但最近，隨著云目錄平臺(tái)的發(fā)展，用于身份認(rèn)證、授權(quán)和管理的真正云服務(wù)的概念確實(shí)存在。這種現(xiàn)代化 IAM 方法消除了幾個(gè)類別，更準(zhǔn)確地說是將多個(gè)子類別整合成了一個(gè)統(tǒng)一的身份訪問管理平臺(tái)。

IDaaS 作為企業(yè)級 IAM 解決方案使企業(yè)無需考慮基礎(chǔ)設(shè)施成本和實(shí)施的復(fù)雜性，涵蓋了功能擴(kuò)展、高可用性、安全性、備份等功能，可一次性滿足 IdP、SSO、PAM、SSO、IGA 等多個(gè) IAM 需求。

3）特權(quán)身份/訪問管理（PIM/PAM)

特權(quán)身份管理（PIM）和特權(quán)訪問管理（PAM）是更精細(xì)化的 IAM 子類別。PIM 關(guān)注分配給系統(tǒng)管理員等不同用戶身份的特權(quán)，特權(quán)身份可訪問服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)系統(tǒng)等關(guān)鍵資源。

PAM 就像是通往更高級別安全控制的下一級階梯，是授權(quán)訪問級別的最后一層，也是特權(quán)用戶可檢索的信息層。PIM 和 PAM共同構(gòu)成對特權(quán)身份的監(jiān)督，防止對核心資源的特權(quán)濫用。這一子類別也隨著 AWS、Azure 和 GCP 等 IaaS 解決方案的出現(xiàn)發(fā)生了變化。

4）多因素認(rèn)證（MFA）

多因素認(rèn)證（MFA)，也稱為雙因素認(rèn)證（2FA)，它要求用戶提供除了密碼以外的其他身份認(rèn)證因素增強(qiáng)登錄安全，包括手機(jī)令牌或硬件令牌這類基于持有設(shè)備的認(rèn)證，甚至是指紋掃描等生物識別技術(shù)。

多因素認(rèn)證讓身份和訪問管理（IAM）系統(tǒng)變得更加安全，因?yàn)榈诙J(rèn)證因素通常只有終端用戶知道或持有。谷歌和微軟的研究都表明，使用合適的第二認(rèn)證因素可以將登錄安全幾乎提升到 100%，顯著降低了賬號泄露風(fēng)險(xiǎn)。

以往的多因素認(rèn)證方案都獨(dú)立于其他 IAM 類別，作為終端用戶的附加方案和措施。而現(xiàn)在，現(xiàn)代云目錄平臺(tái)DaaS（Directory as a Service）正在將多因素認(rèn)證集成到標(biāo)準(zhǔn)的身份保護(hù)機(jī)制中。

DaaS云目錄平臺(tái)，也被稱為目錄即服務(wù)平臺(tái)，它擁有類似于微軟Active Directory（AD）活動(dòng)目錄的能力，管理著用戶和IT資源的連接。同時(shí)又?jǐn)U展了AD沒有的功能，比如多因素認(rèn)證（MFA），DaaS將MFA集成在了目錄服務(wù)（也即核心身份源）中，企業(yè)無需再單獨(dú)安裝部署和運(yùn)維多因素認(rèn)證（MFA）服務(wù)器，更省去了復(fù)雜的配置過程，IT管理員可以統(tǒng)一管理多因素認(rèn)證使用的場景和策略，簡便高效。

MFA 如何保護(hù) IAM？

雖然多因素認(rèn)證看起來很簡單，但在保護(hù)身份和訪問管理（IAM）系統(tǒng)方面也確實(shí)發(fā)揮了關(guān)鍵作用。在不實(shí)施多因素認(rèn)證的 IAM 環(huán)境中，任何持有有效用戶憑證的人都可以訪問相應(yīng)的授權(quán)資源。一旦憑證被盜，在數(shù)據(jù)庫進(jìn)行認(rèn)證時(shí)，被竊取的憑證也會(huì)被視為真實(shí)有效從而授予訪問權(quán)限。憑證竊取是最常見的一種攻擊手段，61% 的數(shù)據(jù)泄露都源于憑證竊取。

實(shí)施多因素認(rèn)證后，IAM 環(huán)境就會(huì)變得更加安全。即使數(shù)據(jù)庫核驗(yàn)了憑證，在用戶完成多因素認(rèn)證請求之前也不會(huì)授予訪問權(quán)限，多因素認(rèn)證可能包括手機(jī)上的動(dòng)態(tài)令牌或推送認(rèn)證等，無論哪種形式都能有效防止遠(yuǎn)程攻擊。

多因素認(rèn)證確保 IT 資源不會(huì)因?yàn)橛脩裘艽a泄露而受損。要知道靜態(tài)密碼作為唯一的身份認(rèn)證因素時(shí)并不太可靠。而實(shí)施多因素認(rèn)證后，攻擊者竊取了有效憑證也很難通過二次認(rèn)證。

IAM中的MFA面臨哪些挑戰(zhàn)？

不了解安全最佳實(shí)踐的決策者和終端用戶可能并不看好多因素認(rèn)證的應(yīng)用前景，因?yàn)橥ㄟ^設(shè)備或令牌登錄認(rèn)證比密碼登錄要花費(fèi)更多時(shí)間，用戶可能覺得不方便，尤其是基于時(shí)間的動(dòng)態(tài)令牌。相比之下，手機(jī)推送認(rèn)證的使用體驗(yàn)更好，是更能被用戶接受的認(rèn)證形式。然而，選擇合適的認(rèn)證形式是一方面，另一方面 IT 部門必須組織用戶培訓(xùn)，讓他們適應(yīng)多因素認(rèn)證。

還有一點(diǎn)值得注意的是，多因素認(rèn)證工具雖然看上去適用 Web 應(yīng)用程序，但其實(shí)并不涉及 IAM 的其他功能。換句話說，如果沒有多因素認(rèn)證和用戶的統(tǒng)一管理工具，也沒有第三方集成工具，實(shí)施多因素認(rèn)證可能會(huì)很困難。如果把選擇權(quán)交給用戶，部分用戶可能會(huì)選擇不啟用多因素認(rèn)證，最終產(chǎn)生網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

如何充分利用 MFA 保護(hù) IAM？

所有企業(yè)都應(yīng)遵循以下幾條關(guān)于多因素認(rèn)證的最佳實(shí)踐準(zhǔn)則來保護(hù) IAM。首先，對于所有請求訪問 IT 資源的用戶都應(yīng)強(qiáng)制要求多因素認(rèn)證，以免未授權(quán)訪問威脅數(shù)據(jù)安全。對于所有關(guān)鍵的 IT 資源，從云應(yīng)用到本地應(yīng)用再到 VPN 和無線網(wǎng)絡(luò)等，都應(yīng)該啟用多因素認(rèn)證加以保護(hù)。

其次，用戶也應(yīng)該為使用的設(shè)備啟用多因素認(rèn)證，確保訪問安全。所有資源的訪問都會(huì)經(jīng)由設(shè)備，設(shè)備入侵導(dǎo)致的未授權(quán)訪問不僅會(huì)危及本地?cái)?shù)據(jù)，甚至影響對企業(yè)的關(guān)鍵 IT 資源的訪問，因此對設(shè)備實(shí)施多因素認(rèn)證保護(hù)也是必不可少的。多因素認(rèn)證方案能夠有效保護(hù) Linux、Mac 和 Windows 設(shè)備。

最后，多因素認(rèn)證和條件訪問策略配合使用效果更好。管理員可以通過條件訪問策略自定義 在哪些條件下出現(xiàn)多因素認(rèn)證提示，優(yōu)化了用戶體驗(yàn)的同時(shí)仍能滿足安全要求。例如，管理員可以為 IP 白名單上的員工或使用可信設(shè)備的主管禁用多因素認(rèn)證提示。 總結(jié)而言，能有效支持企業(yè)身份和訪問管理 IAM 系統(tǒng)的理想化多因素認(rèn)證解決方案應(yīng)具備以下特征：

a. 可直接集成核心身份源，而非單點(diǎn)解決方案

b. 無需訂閱額外的廠商服務(wù)

c. 可擴(kuò)展到包含云應(yīng)用在內(nèi)的所有 IT 資源

d. 可保護(hù)異構(gòu) IT 環(huán)境

e. 可定制條件訪問策略

f. 提供了無摩擦的用戶認(rèn)證體驗(yàn)

（本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）