數(shù)據(jù)保護(hù)是大小企業(yè)都會(huì)面臨的一大 IT 問(wèn)題，為了數(shù)據(jù)安全必須確保只有授權(quán)用戶需要時(shí)才能給予相應(yīng)訪問(wèn)權(quán)限，而未授權(quán)用戶的訪問(wèn)是絕對(duì)不允許的，無(wú)論用戶來(lái)自內(nèi)部還是外部，這也是企業(yè)實(shí)施準(zhǔn)入系統(tǒng)的根本目的。

對(duì)于為企業(yè)或公眾提供產(chǎn)品服務(wù)的企業(yè)、組織而言，數(shù)據(jù)保護(hù)問(wèn)題就更加復(fù)雜，很容易受到各種途徑的網(wǎng)絡(luò)攻擊，導(dǎo)致客戶數(shù)據(jù)被竊取。因此，制定身份管理和訪問(wèn)控制的流程及策略至關(guān)重要，這些流程和策略也構(gòu)成了身份訪問(wèn)管理（IAM）的基礎(chǔ)。

一、什么是 IAM？

身份和訪問(wèn)管理（IAM）主要指企業(yè)用于管理用戶身份并規(guī)范訪問(wèn)的策略、產(chǎn)品和流程，核心原則是讓對(duì)的人在需要時(shí)可以使用有相應(yīng)授權(quán)的資源。

IT 管理員通過(guò) IAM 系統(tǒng)為每個(gè)用戶分配數(shù)字身份，用戶憑借自己的數(shù)字身份通過(guò)認(rèn)證并獲取資源的訪問(wèn)權(quán)限。管理員則必須根據(jù)需要監(jiān)管這些數(shù)字身份。

身份和訪問(wèn)管理（IAM）作為企業(yè)最關(guān)鍵的安全資產(chǎn)之一，也是企業(yè)抵御攻擊者用來(lái)竊取數(shù)據(jù)的公用網(wǎng)絡(luò)入口的第一道防線。

二、IAM 有哪些子類別？

身份和訪問(wèn)管理（IAM）涵蓋了所有可用于管理 IT 資源和用戶身份的解決方案，具體包括以下幾個(gè)子類別。

1）身份源（IdP)

身份源（IdP）主要管理核心用戶身份，是驗(yàn)證用戶身份的唯一數(shù)據(jù)源。

身份源也被認(rèn)為是最重要的 IAM 子類別之一，是其他子類別的基礎(chǔ)。因此，選擇正確的廠商對(duì)于搭建成功的 IAM 系統(tǒng)至關(guān)重要。

2）身份認(rèn)證即服務(wù)（IDaaS）

身份認(rèn)證即服務(wù)（IDaaS）是一種基于云的第三方身份認(rèn)證解決方案，使企業(yè)免于管理身份認(rèn)證的技術(shù)運(yùn)維。

IDaaS 實(shí)際上類似傳統(tǒng)的 Web 應(yīng)用單點(diǎn)登錄（SSO)，也是基于微軟 Active Directory 域服務(wù)等核心身份源。雖然Web SSO 并不是真正的 IDaaS ，因?yàn)楹诵纳矸荽嬖谟谀夸浄?wù)中，但 Web SSO也是通過(guò)聯(lián)合身份來(lái)訪問(wèn) Web 應(yīng)用程序。

但最近，隨著云目錄平臺(tái)的發(fā)展，用于身份認(rèn)證、授權(quán)和管理的真正云服務(wù)的概念確實(shí)存在。這種現(xiàn)代化 IAM 方法消除了幾個(gè)類別，更準(zhǔn)確地說(shuō)是將多個(gè)子類別整合成了一個(gè)統(tǒng)一的身份訪問(wèn)管理平臺(tái)。

IDaaS 作為企業(yè)級(jí) IAM 解決方案使企業(yè)無(wú)需考慮基礎(chǔ)設(shè)施成本和實(shí)施的復(fù)雜性，涵蓋了功能擴(kuò)展、高可用性、安全性、備份等功能，可一次性滿足 IdP、SSO、PAM、SSO、IGA 等多個(gè) IAM 需求。

3）特權(quán)身份/訪問(wèn)管理（PIM/PAM)

特權(quán)身份管理（PIM）和特權(quán)訪問(wèn)管理（PAM）是更精細(xì)化的 IAM 子類別。PIM 關(guān)注分配給系統(tǒng)管理員等不同用戶身份的特權(quán)，特權(quán)身份可訪問(wèn)服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)系統(tǒng)等關(guān)鍵資源。

PAM 就像是通往更高級(jí)別安全控制的下一級(jí)階梯，是授權(quán)訪問(wèn)級(jí)別的最后一層，也是特權(quán)用戶可檢索的信息層。PIM 和 PAM共同構(gòu)成對(duì)特權(quán)身份的監(jiān)督，防止對(duì)核心資源的特權(quán)濫用。這一子類別也隨著 AWS、Azure 和 GCP 等 IaaS 解決方案的出現(xiàn)發(fā)生了變化。

4）多因素認(rèn)證（MFA）

多因素認(rèn)證（MFA)，也稱為雙因素認(rèn)證（2FA)，它要求用戶提供除了密碼以外的其他身份認(rèn)證因素增強(qiáng)登錄安全，包括手機(jī)令牌或硬件令牌這類基于持有設(shè)備的認(rèn)證，甚至是指紋掃描等生物識(shí)別技術(shù)。

多因素認(rèn)證讓身份和訪問(wèn)管理（IAM）系統(tǒng)變得更加安全，因?yàn)榈诙J(rèn)證因素通常只有終端用戶知道或持有。谷歌和微軟的研究都表明，使用合適的第二認(rèn)證因素可以將登錄安全幾乎提升到 100%，顯著降低了賬號(hào)泄露風(fēng)險(xiǎn)。

以往的多因素認(rèn)證方案都獨(dú)立于其他 IAM 類別，作為終端用戶的附加方案和措施。而現(xiàn)在，現(xiàn)代云目錄平臺(tái)DaaS（Directory as a Service）正在將多因素認(rèn)證集成到標(biāo)準(zhǔn)的身份保護(hù)機(jī)制中。

DaaS云目錄平臺(tái)，也被稱為目錄即服務(wù)平臺(tái)，它擁有類似于微軟Active Directory（AD）活動(dòng)目錄的能力，管理著用戶和IT資源的連接。同時(shí)又?jǐn)U展了AD沒(méi)有的功能，比如多因素認(rèn)證（MFA），DaaS將MFA集成在了目錄服務(wù)（也即核心身份源）中，企業(yè)無(wú)需再單獨(dú)安裝部署和運(yùn)維多因素認(rèn)證（MFA）服務(wù)器，更省去了復(fù)雜的配置過(guò)程，IT管理員可以統(tǒng)一管理多因素認(rèn)證使用的場(chǎng)景和策略，簡(jiǎn)便高效。

三、MFA 如何保護(hù) IAM？

雖然多因素認(rèn)證看起來(lái)很簡(jiǎn)單，但在保護(hù)身份和訪問(wèn)管理（IAM）系統(tǒng)方面也確實(shí)發(fā)揮了關(guān)鍵作用。在不實(shí)施多因素認(rèn)證的 IAM 環(huán)境中，任何持有有效用戶憑證的人都可以訪問(wèn)相應(yīng)的授權(quán)資源。一旦憑證被盜，在數(shù)據(jù)庫(kù)進(jìn)行認(rèn)證時(shí)，被竊取的憑證也會(huì)被視為真實(shí)有效從而授予訪問(wèn)權(quán)限。憑證竊取是最常見(jiàn)的一種攻擊手段，61% 的數(shù)據(jù)泄露都源于憑證竊取。

實(shí)施多因素認(rèn)證后，IAM 環(huán)境就會(huì)變得更加安全。即使數(shù)據(jù)庫(kù)核驗(yàn)了憑證，在用戶完成多因素認(rèn)證請(qǐng)求之前也不會(huì)授予訪問(wèn)權(quán)限，多因素認(rèn)證可能包括手機(jī)上的動(dòng)態(tài)令牌或推送認(rèn)證等，無(wú)論哪種形式都能有效防止遠(yuǎn)程攻擊。

多因素認(rèn)證確保 IT 資源不會(huì)因?yàn)橛脩裘艽a泄露而受損。要知道靜態(tài)密碼作為唯一的身份認(rèn)證因素時(shí)并不太可靠。而實(shí)施多因素認(rèn)證后，攻擊者竊取了有效憑證也很難通過(guò)二次認(rèn)證。

四、IAM中的MFA面臨哪些挑戰(zhàn)？

不了解安全最佳實(shí)踐的決策者和終端用戶可能并不看好多因素認(rèn)證的應(yīng)用前景，因?yàn)橥ㄟ^(guò)設(shè)備或令牌登錄認(rèn)證比密碼登錄要花費(fèi)更多時(shí)間，用戶可能覺(jué)得不方便，尤其是基于時(shí)間的動(dòng)態(tài)令牌。相比之下，手機(jī)推送認(rèn)證的使用體驗(yàn)更好，是更能被用戶接受的認(rèn)證形式。然而，選擇合適的認(rèn)證形式是一方面，另一方面 IT 部門(mén)必須組織用戶培訓(xùn)，讓他們適應(yīng)多因素認(rèn)證。

還有一點(diǎn)值得注意的是，多因素認(rèn)證工具雖然看上去適用 Web 應(yīng)用程序，但其實(shí)并不涉及 IAM 的其他功能。換句話說(shuō)，如果沒(méi)有多因素認(rèn)證和用戶的統(tǒng)一管理工具，也沒(méi)有第三方集成工具，實(shí)施多因素認(rèn)證可能會(huì)很困難。如果把選擇權(quán)交給用戶，部分用戶可能會(huì)選擇不啟用多因素認(rèn)證，最終產(chǎn)生網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

五、如何充分利用 MFA 保護(hù) IAM？

所有企業(yè)都應(yīng)遵循以下幾條關(guān)于多因素認(rèn)證的最佳實(shí)踐準(zhǔn)則來(lái)保護(hù) IAM。首先，對(duì)于所有請(qǐng)求訪問(wèn) IT 資源的用戶都應(yīng)強(qiáng)制要求多因素認(rèn)證，以免未授權(quán)訪問(wèn)威脅數(shù)據(jù)安全。對(duì)于所有關(guān)鍵的 IT 資源，從云應(yīng)用到本地應(yīng)用再到 VPN 和無(wú)線網(wǎng)絡(luò)等，都應(yīng)該啟用多因素認(rèn)證加以保護(hù)。

其次，用戶也應(yīng)該為使用的設(shè)備啟用多因素認(rèn)證，確保訪問(wèn)安全。所有資源的訪問(wèn)都會(huì)經(jīng)由設(shè)備，設(shè)備入侵導(dǎo)致的未授權(quán)訪問(wèn)不僅會(huì)危及本地?cái)?shù)據(jù)，甚至影響對(duì)企業(yè)的關(guān)鍵 IT 資源的訪問(wèn)，因此對(duì)設(shè)備實(shí)施多因素認(rèn)證保護(hù)也是必不可少的。多因素認(rèn)證方案能夠有效保護(hù) Linux、Mac 和 Windows 設(shè)備。

最后，多因素認(rèn)證和條件訪問(wèn)策略配合使用效果更好。管理員可以通過(guò)條件訪問(wèn)策略自定義 在哪些條件下出現(xiàn)多因素認(rèn)證提示，優(yōu)化了用戶體驗(yàn)的同時(shí)仍能滿足安全要求。例如，管理員可以為 IP 白名單上的員工或使用可信設(shè)備的主管禁用多因素認(rèn)證提示。

總結(jié)而言，能有效支持企業(yè)身份和訪問(wèn)管理 IAM 系統(tǒng)的理想化多因素認(rèn)證解決方案應(yīng)具備以下特征：

1、可直接集成核心身份源，而非單點(diǎn)解決方案

2、無(wú)需訂閱額外的廠商服務(wù)

3、可擴(kuò)展到包含云應(yīng)用在內(nèi)的所有 IT 資源

4、可保護(hù)異構(gòu) IT 環(huán)境

5、可定制條件訪問(wèn)策略

6、提供了無(wú)摩擦的用戶認(rèn)證體驗(yàn)

（本文來(lái)源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）