IAM浅析
团队介绍
我们是光大科技有限公司安全管理团队,致力于提升光大集团信息安全防御能力,保障集团IT系统安全稳定运行,支撑集团业务发展;在集团“五统一”方针指引下,为集团成员企业提供定制化信息安全服务和安全产品,实现安全赋能;为金融科技行业提供有光大特色的信息安全解决方案及安全治理服务,提升光大科技品牌知名度。
我们拥有经验丰富的信息安全解决方案专家和技术专家,将持续与大家分享金融行业安全解决方案、企业信息安全架构和业界安全技术动态。期待与大家共同进步。
光大科技安全管理团队2019-2020年先后承建了光大集团、光大银行总行及北京分行的IAM平台建设。从长远来看,IAM也是安全管理团队对外赋能的重要安全产品之一。因此,对IAM进行深入研究和宣传普及对IAM产品的持续建设与推广有重要意义。本文试图以更加通俗的语言来解释安全管理团队眼中的IAM。
01
如何证明你是你自己?
这个问题听起来似乎很可笑,网上也曾热议过类似证明你是你自己,证明你妈是你妈的奇葩事件。但实际上,从安全的视角来看,这个问题非常合理。
本质上来讲,一个人自己是无法证明自己是自己的。任何人在没有第三方权威机构证明的情况下都无法确认自己的身份,进而也无法获得自己的权利和义务。在实际生活中,我们通常证明自己身份的ID是身份证,为身份证提供权威背书的是公安部。目前的二代IC卡身份证,内部除了存储个人身份相关信息外,还存储了指纹和人脸等生物特征,可以更加完善的鉴别公民身份。公安部作为我国公民身份管理的唯一权威机构,包办了公民身份从创建到销毁的全生命周期管理,同时提供身份验证服务。公安部其实就是中国现实生活中最大的IAM。
在企业IT系统中,不可避免要对访问者进行身份检查核实,进而对用户进行授权等操作。对于拥有众多IT系统的企业来说,建立全局统一的身份和访问管理平台(Identity and Access Management,IAM),对用户身份进行全生命周期管理,提供权威认证,并对用户行为进行访问管理和授权是企业IT建设的基础。
Gartner对IAM的定义是:身份和访问管理(IAM)是一门学科,使正确的个人能够在正确的时间以正确的理由访问正确的资源。也就是说,IAM就是那个能证明你是你自己,并能对你的行为进行允许和禁止的神秘有关部门。
02
IAM的发展历程
从功能架构来看,IAM至少应包括用户身份从创建到销毁的全生命周期管理(一般称之为Identity Management,IM)和认证与访问管理功能(Access Management,AM)。把具备上述功能的系统定义为IAM的具体时间节点我没有考证出来。大体在上世纪90年代到2000年前后,这类系统一般还叫做AAA系统(认证Authentication、授权Authorization、账号Account),当时一般都是简单的密码认证等功能。2000年到2010年间建设的身份管理和认证体系基本都叫做4A系统(认证Authentication、授权Authorization、账号Account、审计Audit),增加了审计功能。大概在2010年前后,在CA、IBM、Oracle等大厂的推动下,IAM成为统一用户身份管理和访问控制平台的标准叫法。
国内早期进行IAM建设的企业,一般采用了IBM或者Oracle的解决方案。IBM的IAM解决方案原来属于Tivoli产品线,IBM Tivoli Identity Manager, 简称 TIM,与IBM LDAP产品捆绑销售,中石油、通用汽车、中国航信等企业目前均采用IBM解决方案。Oracle的IAM产品叫做 Oracle Identity Manager (OIM),与Oracle LDAP捆绑销售,目前光大科技参与升级改造的光大银行总行原有IAM平台采用Oracle解决方案。
03
IAM产品现状
从Gartner的调研分析成果看,最近几年领先的IAM解决方案提供商仍然以国外厂商为主:
但是基于以下几点考虑,我们认为最近5-10年,国内大中型企业对国产IAM平台建设需求会持续旺盛:
-
随着去IOE步骤的加快,同时因为企业对IAM的个性化定制需求的增加,早期采用IBM或者Oracle解决方案的企业面临更新换代的需求。
-
IT技术高速发展也使得企业的IT系统越来越多,为降低成本,提升安全,越来越多的企业提出建设统一IAM的诉求。
-
各个行业均面临核心业务从传统大机或小机向开放平台转移的局面,原来在大机中实现的身份管理和访问管理功能均需要在开放平台重新建设。
-
随着国家对网络安全重视程度的提高,IAM作为信息领域的重要产品,国产化需求旺盛。
-
随着IT管理精细化,IAM产品也进行了细分。目前在大中型企业一般业务IAM、办公IAM和运维IAM各自独立建设,彼此功能侧重点不同,保障级别不同。
04
IAM的典型架构
粗略来看,IAM的典型架构可以用上图来表示。管理态的典型场景是维持用户身份增删改查的全生命周期;运行态的典型场景是用户身份的认证和访问授权。
05
IAM的核心技术
IAM解决方案中涉及多种技术,其中比较重要的技术选录如下,后续有机会我们会做进一步介绍:
-
单点登录(SSO)
对相关但独立的多个系统实施的一种访问控制。单点登录模式下,用户仅凭同一套用户名和口令就可访问1个或多个系统,无需多个不同凭证。
-
多因子身份验证(MFA)
身份验证中要求不止一个因子(比如用户名和口令)的情况。验证过程中至少还有额外的一步,比如用手机接收通过短信发送的验证码、插入智能卡或U盘、满足生物特征识别验证要求(指纹扫描等)。
-
开放标准身份协议
IAM在进行单点登录认证时可以遵循的开放标准协议有SAML、OAuth2、CAS等。一般IAM产品会支持上述协议中的一种或几种。
-
权限控制模型
常见的权限控制模型包括DAC,MAC,RBAC,ABAC等,其中RBAC( Role-Based Access Control)是当前应用最广泛的权限控制模型。
-
LDAP
用于管理和访问分布式目录服务(比如微软AD)的开放标准协议。目前因为LDAP对数据统计等功能支持并不友好,IAM产品有逐步把数据存储从LDAP迁移回关系型数据库的趋势。
06
IAM的发展趋势
IAM作为信息安全领域的最基础产品,我们认为有如下发展趋势:
-
身份即服务(IDaaS)
随着近几年容器云的迅速发展,IAM提供基于云的IDaaS成为必然。
-
与零信任网络等新兴概念融合
零信任(ZT)提供了一套概念和思想,旨在面向可能失陷的网络时,减少其信息系统和服务中执行精确的、每次请求的访问决策的不确定性。零信任概念的提出必将促进IAM的进一步发展。
-
个性化需求逐步加强,分类更加细致
从国内IAM落地实施的情况看,企业之间的管理流程和使用习惯不同导致个性化需求逐步增强,标准产品往往不能满足企业的实际需求,定制开发往往要占到IAM投入的50%以上。
-
与业务高度融合的细粒度授权是IAM未来研究的重点方向
细粒度授权一直是IAM领域的热点和难点,但在国内仍没有非常完善的成功案例。随着大数据和人工智能的发展,通过大量的数据分析和机器学习抽象细粒度授权规则应是未来IAM研究重点。
以上是安全管理团队对IAM产品的介绍和分析,部分分析仅代表个人观点。
扫码关注我们
作者:谭永茂
原创文章,作者:EBCloud,如若转载,请注明出处:https://www.sudun.com/ask/33571.html
