統一身份和訪問管理（Identity and access management，IAM）并非一個新安全概念，但它在當今“數字優先”的世界中正變得越來越重要。現代企業員工需要在任何設備（服務）上實現“隨時隨地工作”（work-from-anywhere）的訪問模式。這就需要比以往更加安全地賦予和驗證數字身份，以實現安全的數字連接。

早期的IAM技術是建立在傳統IT架構平臺上的，無法支持組織新的身份管理和應用要求，這迫使組織考慮如何構建新一代的IAM平臺。在本篇文章中，我們旨在從IAM的定義、IAM的技術組成、IAM的技術演進以及IAM的應用挑戰等維度，對新一代IAM技術的應用和發展進行描述。

一、IAM的理念與意義

IAM是一個整體學科，不僅包括工具和技術，還包括定義和管理數字身份以提供對數字資源訪問的過程。在最初階段，IAM主要負責管理人的身份，但隨著數字化業務系統和物聯網應用的快速發展，IAM系統需要給數量龐大的“機器”和業務系統賦予身份并實現有效管理。

IAM對于定義數字身份配置文件和管理其整個生命周期（即IAM中的“IM”身份管理）至關重要。它需要能夠確保訪問者的真實合法性（authentication，身份驗證），并且可以正確訪問他們嘗試訪問的資源（authorization，授權），這也稱為訪問管理（即IAM中的“A”）。

在實現身份管理的基礎上，一些安全服務商正在向IAM系統整合更多的能力，身份治理和管理（Identity Governance and Administration，IGA）的概念也隨之產生，IGA方案能夠證明身份治理的合規性并支持持續審查訪問權限的過程，以確保數字身份沒有被錯誤配置訪問權限，從而避免安全隱患的形成。

在實際應用中，新一代IAM系統正在通過更加科學的方式，為數字資源賦予適當的訪問權限，從而發揮保護數字資產的重要作用。IAM需要從數字化業務開展的整體視角，為組織管理各種數字化身份，并統一制定數字資源的訪問規則和策略。

鑒于IAM的關鍵特質，它已經成為組織新一代網絡安全能力體系構建的基礎要求和重要組成部分。在穩定有效的組織網絡安全體系中，完善的IAM策略和能力是不可或缺的，可以讓所有身份都使用一致的策略和工具進行管理，讓安全領導者清晰了解企業數字化資源的訪問和應用情況。

二、IAM的關鍵技術組成

IAM是一組實現系統化身份安全能力的工具集，它由多個關鍵技術能力模塊組成：

1.訪問管理

訪問管理（Access Management，AM）被稱為IAM的“運行時”或“訪問時間”組件，其中數字身份經過身份驗證以識別嘗試訪問資源的實體，并且僅允許必要的訪問。組件包括雙因素認證、多因素身份驗證（MFA）等，其中除了用戶ID和密碼外，還需要一個或多個額外的因素（令牌或設備）可以增強身份驗證過程；另一個常見的AM組件是單點登錄（SSO），它在通過身份驗證后建立安全會話，可以訪問多個資源，而無需對每個資源重新進行身份驗證。

2.身份管理

身份管理負責處理身份和訪問權限（也稱為訪問授權）的管理和治理。它會在用戶加入組織時自動為其提供正確的訪問權限，從而提高用戶工作效率。然后，它會在身份的整個生命周期（包括入職、轉移和離開階段）中嚴格執行被授予的權限模型。

身份管理解決方案通常會包括一個用戶界面和工作流引擎，提供請求和批準訪問的能力。這可能包括對特定資源的臨時請求以及基于角色的訪問，這些工具可以定義和管理業務和技術角色的生命周期。

身份管理的一個重要功能是訪問認證，它可以自動化審查身份訪問的過程，使管理人員能夠審查和證明其員工的訪問權限。同時，這也可以實現監管合規性，因為許多法律都要求對金融系統的任何訪問進行定期審查。

身份管理的另一個功能是配置和取消配置過程。身份管理技術模塊使用“連接器”來定位應用程序，在這些應用程序中可以建立訪問權限，使正確的用戶能夠獲得正確的訪問權限。它可以對各種復雜的應用程序（例如ERP系統），提供細粒度級別的訪問控制，同時定義出職責分離（SOD）的控制規則，以確保在組織的應用程序內或跨組織的應用程序之間不存在有害的訪問行為。

3.特權訪問管理

在新一代IAM方案中，大多融合了一個重要組件專門解決對敏感資源和用戶的訪問，稱為特權訪問管理（Privileged Access Management，PAM）。Gartner將可用的PAM技術分為兩種不同的方法，并逐漸成為領導者考慮PAM工具的主要關注點：

特權賬號和會話管理（PASM）：特權賬號通過安全存儲憑據來保護。通過代理方式為用戶、服務和應用提供賬號的訪問。通過憑據注入和完整會話記錄建立會話。特權賬號的密碼和其他憑據可主動管理（定期更改或發生特定事件時更改）。

權限提升和委托管理（PEDM）：基于主機的代理在托管系統上向登錄用戶授予特定權限，包括基于主機的命令控制（篩選）和權限提升。

綜合來看，PAM的功能特性集合包括：共享賬戶密碼管理、應用到應用密碼管理、特權賬號發現和生命周期管理、特權SSO、特權提升管理、特權用戶行為分析、會話監控分析和記錄、端點特權管理、報告審計和合規。

PAM也在不斷發展以支持即時（Just-In-Time，JIT）訪問模型，從而避免了對憑據進行保管和定義不必要的永久性身份賬號。在JIT模型中，賬戶都是動態創建的，或者非管理賬戶在特定時間段內被授予臨時管理權限，工作完成后及時刪除。如此一來，管理員賬戶數量會大大減少，從而降低了高級賬戶泄露的風險。

4.客戶IAM（CIAM）

根據組織的業務需求，IAM系統中還應包括面向其客戶的外部IAM管理模塊，通常稱為客戶IAM（Customer IAM，CIAM）。消費者關注的重點通常是用戶體驗感，CIAM解決方案需要提供成熟的工具包或第三方軟件開發工具包（SDK），允許組織自定義身份驗證的界面和人機交互模式。

對CIAM的另一個要求是支持自適應訪問，通過大數據分析和機器學習提供檢測異常行為并在需要時實施更嚴格的訪問驗證（例如MFA）能力。同時，鑒于隱私關注度和法規遵從性的提升，CIAM解決方案需要提供一個界面，供客戶查看和控制他們的個人信息應用和保護情況。

5.云基礎設施授權管理

為了IAM獲得更好的實際應用效果，有許多關聯技術同樣重要，其中就包括了云基礎設施授權管理（Cloud Infrastructure Entitlement Management，CIEM），它旨在收集和規范IaaS平臺中的數千個權限，了解訪問模式，并就如何減少這些環境中存在的過度訪問提出基于機器學習的判斷。

三、新一代IAM技術的演進

可以認為，從第一臺計算機出現開始，對使用者身份管理的需求就開始出現。但直到客戶端/服務器時代，隨著應用程序變得更加分散并形成各自的身份孤島，統一身份管理的需求和重要性才開始彰顯。每個用戶和權利/權限都可以通過程序進行管理，這大大促進了用戶身份認證模式和密碼應用的發展。

目錄服務旨在通過提供集中的用戶存儲庫以及稱為輕量級目錄訪問協議（Lightweight Directory Access Protocol，LDAP）的方式來解決此問題。目錄服務被用于實現跨多個平臺的單點登錄，包括操作系統、數據庫和Web服務器。在此期間，Microsoft的Active Directory 成為管理計算機以及提供管理用戶、組和訪問策略的體系結構的企業標準。在互聯網時代早期，多重憑證和登錄的問題更加嚴重，由此開發了Web單點登錄（SSO）以促進跨組織應用程序的用戶身份驗證和授權，其在大多數情況下利用LDAP目錄作為身份存儲。

此外，管理用戶生命周期治理和訪問策略的問題大多通過定制應用程序實現自動化，并最終成為產品化的用戶配置和管理解決方案。加上需要治理功能來滿足監管要求，其最終與身份管理和配置解決方案融合，形成如今稱為IGA的解決方案。

在過去十年中，這些解決方案作為云解決方案提供，利用了云的所有優勢。但在大多數情況下，這些解決方案（包括IAM平臺）仍需要專門的資源來維護。為了進一步簡化身份和訪問管理用例和部署，并減少與實施多種解決方案相關的成本和負擔，這些解決方案開始融合以提供更完整的IAM解決方案組合，例如IGA、PAM以及AM和CIAM。

考慮到基于云的解決方案不斷激增，以及轉向遠程辦公的進一步加速，許多組織在采用應用程序和安全解決方案時正在采取更積極的云優先戰略。此外，云平臺也在實施IAM解決方案來管理每個平臺獨有的用戶和權利/權限。

目前，許多組織都在努力對跨多個云平臺的用戶和權利進行正確的可見性和管理。因此，新一代IAM解決方案必須包括跨云服務——例如容器、無服務器基礎設施以及DevOps和CI/CD工具的訪問管理，所有這些都需要配置合適的訪問策略才能發揮作用。

四、IAM的應用挑戰

盡管IAM的建設和應用通常由企業IT或安全部門發起，但IAM應用幾乎涉及與組織業務相關的各個部門和環節，甚至還包括了外部合作伙伴和客戶：

• 需要訪問公司資源的業務用戶（包括員工及其經理）通過IAM流程安全地執行此操作；
• 第三方用戶也是如此，例如承包商、合作伙伴、供應商和客戶；
• 安全、合規和HR等專業部門同樣需要利用IAM流程，來滿足其組織的安全、隱私和合規目標；
• 內部和外部審計員利用IAM工具和流程提供的信息，來審計組織對各種法規的遵守情況；
• 業務部門需要利用IAM來保護他們的業務系統和資源，并確保只有正確的用戶才能在正確的時間訪問他們的資源。

因為IAM涉及了多方利益相關者的日常工作，因此，它的應用往往被認為是復雜的、困難的并且會帶來較大成本性投入的。造成這種情況的主要原因之一是IAM系統本身的設計定位。

IAM最初主要是為了滿足監管要求和確保安全性。用戶體驗和業務支持的需求是隨著數字化應用發展而后續產生的。實施IAM項目建設會涉及功能模塊開發、系統應用集成、定制化接口，以及系統應用后持續性的運營維護工作，這都導致IAM項目實施過程變得昂貴且耗時。

但這些情況已經在發生積極的變化。在當前的數字和云優先環境中，身份安全被視為基礎性的保障因素，越來越多的業務人員開始認同IAM的價值。此外，除了安全性和合規性之外， IAM方案商也開始更關注系統應用的便捷性和用戶體驗，并將這些視為未來IAM方案的核心競爭力體現。隨著IAM能力以云服務方式提供，其對用戶的維護和使用成本也會進一步降低。