胡立

密碼這個(gè)原本用來保護(hù)我們隱私的東西，現(xiàn)在儼然已經(jīng)變成了“累贅”，由密碼所導(dǎo)致的安全問題日趨凸顯，而身份管理解決方案的誕生接管了密碼的任務(wù)，并負(fù)責(zé)收拾“殘局”。

持續(xù)跟蹤用戶的賬號(hào)以及密碼聽起來好像很簡單，但并非如此。比如說，對(duì)于一個(gè)企業(yè)環(huán)境內(nèi)的受保護(hù)網(wǎng)絡(luò)資源，企業(yè)員工、外部承包商、物聯(lián)網(wǎng)IoT設(shè)備和其他網(wǎng)絡(luò)應(yīng)用程序都可以通過各種方式來訪問這些資源，而此時(shí)的密碼并不足以切斷這種類型的訪問請(qǐng)求。

在這種情況下，安全風(fēng)險(xiǎn)非常高。根據(jù)Verizon發(fā)布的數(shù)據(jù)泄露調(diào)查報(bào)告，2018年所有確認(rèn)的數(shù)據(jù)泄露事件中，有81 %涉及到用戶的身份信息泄露。

因此，圍繞安全問題的漏洞和安全攻擊日趨復(fù)雜，而這種情況也在促使整個(gè)安全社區(qū)圍繞著如何更好地使用身份和訪問管理（IAM）解決方案展開了廣泛而激烈的討論。

比如說前不久，美國白宮管理和預(yù)算辦公室宣布了他們?cè)鰪?qiáng)身份、憑證和訪問管理策略的計(jì)劃。這一舉措與私營部門的舉措類似，他們都認(rèn)識(shí)到了雖然傳統(tǒng)安全方法仍然非常重要，但如果數(shù)字身份驗(yàn)證信息的管理存在安全缺陷，很可能會(huì)導(dǎo)致新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

美國白宮管理和預(yù)算辦公室的Russell Vought表示：“雖然加強(qiáng)網(wǎng)絡(luò)系統(tǒng)周邊安全性非常重要，但各個(gè)機(jī)構(gòu)必須從簡單的管理系統(tǒng)進(jìn)出流量來識(shí)別用戶身份，轉(zhuǎn)變?yōu)閲@使用身份和訪問管理的解決方案?！?/p>

身份和訪問管理領(lǐng)域的安全狀況發(fā)展非常迅速，而且某些情況下，我們很難判斷其主要的發(fā)展路徑，很大一部分原因是因?yàn)檠芯咳藛T對(duì)該領(lǐng)域不同內(nèi)容的定義不同，但描述的卻是相同的東西。比如說，白宮方面將其稱之為身份、憑證和訪問管理，F(xiàn)orrester Research將其稱之為身份管理和治理，Gartner稱之為特權(quán)訪問管理，甚至有的研究人員還將該領(lǐng)域稱為身份即服務(wù)。

包羅萬象的術(shù)語

身份和訪問管理是指一個(gè)策略性和技術(shù)性的框架，它的主要作用是確保企業(yè)內(nèi)部和外部符合條件的人員、應(yīng)用程序和其他設(shè)備都有目標(biāo)資源的適當(dāng)訪問權(quán)限。

IAM系統(tǒng)的身份識(shí)別、認(rèn)證和授權(quán)適用于需要訪問和使用特定IT資源的個(gè)人用戶。除此之外，IAM也越來越多地應(yīng)用到云服務(wù)、移動(dòng)應(yīng)用和Web應(yīng)用程序之中，而且很多連接到這些資源的物聯(lián)網(wǎng)系統(tǒng)也開始使用IAM。

安全警告

SailPoint近期發(fā)布的一份身份識(shí)別研究報(bào)告，估計(jì)目前有54 %的組織都有各自的用戶身份認(rèn)證方案。但是，有88 %的公司沒有恰當(dāng)部署正確的公司管理防火墻數(shù)據(jù)訪問。事實(shí)上，只有10 %的組織會(huì)對(duì)組織內(nèi)網(wǎng)絡(luò)系統(tǒng)的文件訪問活動(dòng)進(jìn)行監(jiān)控，大多數(shù)組織都不會(huì)進(jìn)行這樣的用戶行為監(jiān)控。

是什么推動(dòng)了IAM市場的發(fā)展

Forrester Research在最近一份關(guān)于該技術(shù)驅(qū)動(dòng)因素的報(bào)告中寫道：“對(duì)于當(dāng)今的數(shù)字企業(yè)來說，身份管理和治理不僅是規(guī)范和保護(hù)員工訪問公司應(yīng)用程序和數(shù)據(jù)的行為。安全專業(yè)人員必須在不損害用戶體驗(yàn)的情況下，管理和保護(hù)跨混合應(yīng)用程序環(huán)境和各種人群（員工、合作伙伴和客戶）的無數(shù)物聯(lián)網(wǎng)設(shè)備的訪問。”

IAM方法通過綁定到多個(gè)服務(wù)并基于預(yù)定義的用戶角色的單用戶登錄來努力簡化訪問管理。IAM框架只允許用戶訪問他們需要的資源，并授權(quán)用戶訪問。管理集中在企業(yè)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部或外部，而流程的這種集中性允許更快的員工登錄、注銷和使用服務(wù)。

進(jìn)入云端

隨著平臺(tái)和基礎(chǔ)設(shè)施向云端移動(dòng)，IAM服務(wù)也隨之移動(dòng)。Google和Amazon提供了預(yù)集成的工具，許多公司也提供了用于管理和供應(yīng)的IDASS。這些功能可以支持令牌交換、令牌驗(yàn)證、授權(quán)和身份驗(yàn)證等服務(wù)。

非人類用戶的“身份”

根據(jù)電信公司愛立信近期的一份報(bào)告，到2022年，預(yù)計(jì)將有290億臺(tái)聯(lián)網(wǎng)設(shè)備，其中180億臺(tái)與物聯(lián)網(wǎng)有關(guān)。其中包含許多相互連接的東西，再加上移動(dòng)應(yīng)用程序的日趨發(fā)展，新的IAM解決方案已經(jīng)“迫在眉睫”。

Cyberark的客戶總監(jiān)Noam Liran認(rèn)為：“身份和訪問管理可以依賴于很多不同的東西，以前只是基于這個(gè)身份是否有密碼?，F(xiàn)在，企業(yè)還需要管理微服務(wù)、云容器和移動(dòng)應(yīng)用程序的身份，以便訪問云中的特權(quán)數(shù)據(jù)?！?/p>

值得注意的是：全球IAM系統(tǒng)市場從2012年的45億美元增長到了2018年的71億美元。根據(jù)MarketsandMarkets的數(shù)據(jù)，到2021年，IAM全球市場預(yù)計(jì)將達(dá)到148.2億美元。