导语:
随着网络攻击变得越来越复杂,IT系统也越来越复杂,零信任已然成为安全领域的热门话题。但千万不要认为零信任是近期提出来的,相反它是一个多年来一直存在的理念。2010年,Forrester Research分析师John Kindervag提出后至今已有10多年的历史了,今天就来简单的聊下零信任技术之一:IAM。
一、 IAM的概念
IAM(Identity and Access Management 的缩写),即“身份识别与访问管理”,它具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。IAM旨在统一构建平台的权限管理标准,通过定义并管理单个网络用户的身份,确保合适的身份在合适的时间获得合适的授权访问。
二、IAM的主要模块
IAM的主要模块有以下几个方向:
1、身份管理模块:身份管理模块提供统一用户身份管理,主要负责用户、机构、应用业务等的管理。该模块实现用户信息与账号的集中存储、全生命周期闭环管理,用户账号可自动开通、变更和回收,同时对下游应用系统提供用户主数据供给。支持多用户授权模式。
2、认证管理模块:认证管理模块,主要用于在主体申请访问客体时对主体进行认证。认证方式支持用户名密码、短信验证码、数字证书、人脸和声纹等。认证协议或实现单点登录的方案有SAML、oAuth、Cookie等,认证协议通常和单点登录息息相关。单点登录简称为SSO,是指多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
3、权限管理模块:权限管理模块提供统一用户可信权限管理,主要负责业务主体和客体之间的授权关系管理、用户访问权限的鉴权管理、权限审批、日志审计等。该模块支持多用户授权模式,同时可以根据用户的安全风险等级调整用户的访问权限。
三、指掌易零信任IAM实现
指掌易的zTrust IAM零信任统一身份认证平台,基于零信任架构理念,提供统一身份管理、统一认证服务、多重因子认证MFA、认证风险控制、权限控制、以及身份管理与认证审计的全身份认证管理方案。
它的具体功能如下图所示:
四、总结
IAM具有统一的身份管理功能,以及集中式的身份和权限管理,使得用户身份维护可以同步,减少用户认证系统的维护成本。IAM具有统一的安全策略功能,使得身份认证的过程更加标准化,安全性方面更加靠。IAM具有单点登录、细粒度的访问控制功能、动态授权、多因素认证以及基于策略的集中式授权和审计等功能等。IAM在零信任的道路上未来可期。
