統(tǒng)一身份和訪問管理（Identity and access management，IAM）在當(dāng)今“數(shù)字優(yōu)先”的世界中正變得越來越重要。現(xiàn)代企業(yè)員工需要在任何設(shè)備（服務(wù)）上實現(xiàn)“隨時隨地工作”（work-from-anywhere）的訪問模式。這就迫使組織考慮構(gòu)建新一代的IAM平臺，通過更加科學(xué)的方式，為數(shù)字資源賦予適當(dāng)?shù)脑L問權(quán)限，從而發(fā)揮保護數(shù)字資產(chǎn)的重要作用。

新一代IAM發(fā)展趨勢

早期的IAM技術(shù)是建立在傳統(tǒng)IT架構(gòu)平臺上的，主要負(fù)責(zé)管理人的身份。而隨著數(shù)字化業(yè)務(wù)系統(tǒng)和物聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，IAM系統(tǒng)不僅需要給數(shù)量龐大的“機器”和業(yè)務(wù)系統(tǒng)賦予身份并實現(xiàn)有效管理，還需要從組織數(shù)字化業(yè)務(wù)開展的整體視角，統(tǒng)一制定出各種數(shù)字資源的訪問規(guī)則和策略。為了滿足以上應(yīng)用需求，新一代IAM技術(shù)快速發(fā)展并呈現(xiàn)以下趨勢：

1、去中心化身份

去中心化身份是對個人、應(yīng)用服務(wù)和機器身份擴展響應(yīng)的關(guān)鍵特征。隨著各種新型身份數(shù)量的激增，IAM底層技術(shù)需要徹底轉(zhuǎn)型，以滿足組織數(shù)字化發(fā)展和隱私保護的身份管理需求。支持區(qū)塊鏈的身份和去中心化身份是新一代IAM系統(tǒng)變革發(fā)展的關(guān)健特征，使用戶能夠自主創(chuàng)建、驗證和注冊他們所需要的任何類型身份。這種模式的轉(zhuǎn)變不僅能夠降低用戶的運營成本，還能夠降低原來集中式身份管理模式的一些固有風(fēng)險，從而增強了數(shù)字生態(tài)系統(tǒng)的彈性和安全性。

2、零信任安全架構(gòu)

零信任安全代表了網(wǎng)絡(luò)安全防護的理念轉(zhuǎn)變，體現(xiàn)了“永不信任，永遠(yuǎn)驗證”的原則。這種方法需要基于持續(xù)不斷地用戶身份驗證活動，以加強安全管控措施。在零信任安全架構(gòu)下，IAM系統(tǒng)需要通過根據(jù)用戶特征和權(quán)限管理審查訪問請求，在用戶體驗和網(wǎng)絡(luò)安全之間取得了微妙的平衡。采用零信任安全模型的IAM系統(tǒng)，可以幫助組織培養(yǎng)主動的安全文化，以減輕未經(jīng)授權(quán)的破壞風(fēng)險，并加強其整體安全態(tài)勢。

3、增強的用戶體驗

提升IAM系統(tǒng)的用戶體驗是組織的當(dāng)務(wù)之急。為了完成這一目標(biāo)，IAM策略必須與業(yè)務(wù)和IT目標(biāo)緊密結(jié)合，確保以用戶為中心的優(yōu)先級在組織功能中產(chǎn)生共鳴。

組織還應(yīng)為所有外部用戶（消費者、業(yè)務(wù)客戶和合作伙伴）制定統(tǒng)一連貫的策略。例如，確保IAM優(yōu)先事項與業(yè)務(wù)優(yōu)先事項和IT優(yōu)先事項都相一致，提供全方位渠道體驗，并統(tǒng)一客戶畫像資料。通過統(tǒng)一的客戶數(shù)據(jù)流，組織可以編排個性化的交互，無縫地跨越各種接觸點，在提高整體運營效率的同時，培養(yǎng)用戶之間更深層次的參與度和忠誠度。

4、無密碼身份認(rèn)證

無密碼身份認(rèn)證標(biāo)志著對傳統(tǒng)密碼依賴的重大轉(zhuǎn)變，提供了一種更強大、用戶友好的身份認(rèn)證方法。為了實現(xiàn)這種變革轉(zhuǎn)變，新一代IAM方案需要深入研究利用生物識別技術(shù)進行創(chuàng)新的身份驗證，最大限度地減少與傳統(tǒng)基于密碼的系統(tǒng)相關(guān)的安全性漏洞。例如，采用快速在線身份識別（FIDO）是實現(xiàn)完全無密碼體驗的關(guān)鍵一步，可以抵御無處不在的網(wǎng)絡(luò)釣魚攻擊威脅。通過采用無密碼身份認(rèn)證方法，IAM不僅可以幫助組織增強其安全態(tài)勢，還可以簡化用戶交互，培養(yǎng)無摩擦的身份認(rèn)證體驗，同時增強應(yīng)對網(wǎng)絡(luò)威脅變化的整體彈性。

5、隨時隨地連接計算（Connect Anywhere Computing）

企業(yè)數(shù)字化轉(zhuǎn)型和云應(yīng)用需要更多的支持，包括支持混合IT環(huán)境中的身份、多個云平臺中的身份和計算設(shè)備身份。向遠(yuǎn)程和互聯(lián)計算的過渡強調(diào)了更復(fù)雜的訪問控制機制的必要性。為了應(yīng)對這種不斷變化的環(huán)境，組織正在轉(zhuǎn)向能夠區(qū)分合法用戶和惡意機器人的高級IAM管理平臺，從而加強其網(wǎng)絡(luò)安全防御。通過支持隨時隨地連接計算（Connect Anywhere Computing）功能，IAM可以為員工提供無縫的遠(yuǎn)程訪問，還可以保護其數(shù)字資產(chǎn)免受新出現(xiàn)的威脅，確保在日益互聯(lián)的環(huán)境中提供強大的保護。

6、自適應(yīng)訪問控制機制

實現(xiàn)零信任架構(gòu)需要采用行業(yè)最佳實踐來最小化安全風(fēng)險并加強組織防御。這涉及強制將多因素身份驗證（MFA）作為特權(quán)訪問的基本要求，在傳統(tǒng)的密碼身份驗證方法之外添加額外的安全層。

此外，利用自適應(yīng)訪問控制機制作為零信任體系結(jié)構(gòu)的組成部分，通過基于上下文因素（如用戶行為和設(shè)備狀態(tài)）不斷評估和調(diào)整訪問權(quán)限，進一步增強了安全性。通過自適應(yīng)訪問控制策略，組織可以建立更強大的安全態(tài)勢，不僅可以降低未經(jīng)授權(quán)訪問的風(fēng)險，還可以與不斷發(fā)展的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)保持一致，保護敏感數(shù)據(jù)和關(guān)鍵資產(chǎn)免受復(fù)雜的網(wǎng)絡(luò)威脅。

新一代IAM應(yīng)用實踐

因為IAM涉及了多方利益相關(guān)者的日常工作，因此，它的應(yīng)用往往被認(rèn)為是復(fù)雜的、困難的并且會帶來較大成本性投入的。為了更好地建設(shè)應(yīng)用IAM，最大限度發(fā)揮其價值，建議企業(yè)組織遵循以下最佳實踐：

1、徹底審計組織資產(chǎn)

當(dāng)組織將新的IAM工具集成到數(shù)字化業(yè)務(wù)中時，第一步應(yīng)該是對組織的資產(chǎn)和應(yīng)用程序進行徹底的審計檢查，特別是組織中的用戶身份，因為它們中的許多可能早已過期。這些身份賬戶會對整個體系構(gòu)成真正的風(fēng)險，清理這些賬戶會讓組織收獲頗豐。一旦了解了歷史身份庫存情況，組織就可以著手部署新的IAM工具。在此過程中，安全管理者必須構(gòu)建好身份治理管理和特權(quán)訪問管理，防范可能出現(xiàn)違規(guī)的訪問。

2、“從點到面”試點

開展新一代IAM建設(shè)時建議從小事做起——確定四到五個最廣泛使用的應(yīng)用程序。從試點工作開始，安全團隊可以與那些應(yīng)用程序團隊密切合作，構(gòu)建和啟動集成。通過早期的使用經(jīng)驗也將有助于在內(nèi)部為其他項目提供動力。

具體來說，組織可以選擇一種技術(shù)，比如多因素身份驗證（MFA）或特權(quán)管理，然后按部門或地區(qū)采取分階段的方法，利用從每次小型部署中吸取的經(jīng)驗教訓(xùn)，使后續(xù)部署更加成功。從哪里開始并不重要，重要的是要堅持下去。

3、選擇合適的服務(wù)提供商

明智地選擇IAM服務(wù)供應(yīng)商也很重要，要比較市場和每個平臺或工具套件提供的內(nèi)容。安全團隊還應(yīng)該努力回答以下基本問題：

• 它是否具有您組織所需的所有組件和功能？
• 它能否管理組織的所有環(huán)境應(yīng)用需求？
• 是否能提供一個統(tǒng)一的身份管理“界面”來管理所有身份？
• 系統(tǒng)是否與環(huán)境中已有的業(yè)務(wù)系統(tǒng)有效集成？

如果不事先充分考慮上述因素，在IAM系統(tǒng)建設(shè)過程中就可能會消耗IT和安全團隊的大量資源。

4、贏得公司管理層支持

IAM系統(tǒng)要想整合應(yīng)用成功，必需要得到公司董事會和相關(guān)業(yè)務(wù)部門的支持。大量實踐表明，IAM項目成功的最大挑戰(zhàn)就是文化阻力和員工們對新事物的恐懼。從戰(zhàn)略上講，IAM項目關(guān)鍵的一點是要與董事會和高級管理層充分溝通，確保他們理解項目努力實現(xiàn)的目標(biāo)的價值。

對于許多安全團隊來說，讓董事會了解網(wǎng)絡(luò)風(fēng)險及其與業(yè)務(wù)風(fēng)險的關(guān)系仍然是一個挑戰(zhàn)。對于這種情況，建議使用一些數(shù)據(jù)驅(qū)動的實際案例來引起管理層的共鳴，比如如果敏感數(shù)據(jù)因身份攻擊而泄露，監(jiān)管機構(gòu)會對組織進行什么處罰，或者如果組織的知識產(chǎn)權(quán)泄露會發(fā)生什么？組織是否會失去競爭優(yōu)勢甚至客戶?

除了董事會的參與外，還需要取得組織業(yè)務(wù)部門的支持。這將確保員工們不會試圖尋找規(guī)避IAM的方法，增加系統(tǒng)的運行難度。

原文鏈接：https://10xds.com/blog/trends-and-best-practices-of-identity-and-access-management-iam-to-look-out-for-in-2024-and-beyond/