云安全聯(lián)盟-IAM在云環(huán)境下新的挑戰(zhàn)

身份與訪問管理工作組網(wǎng)址是：/research/working-groups/identity-and-access-management@2023云安全聯(lián)盟大中華區(qū)-保留所有權(quán)利。你可以在你的電腦上下載、儲(chǔ)存、展示、查看及打印，或者訪問云安全聯(lián)盟大中華區(qū)官網(wǎng)（）。須遵守以下：(a)本文只可作個(gè)人、信息獲取、非商業(yè)用途；(b)本文內(nèi)容不得篡改；(c)本文不得轉(zhuǎn)發(fā)；(d)本文商標(biāo)、版權(quán)或其他聲明不得刪除。請(qǐng)?jiān)谧裱腥A人民共和國(guó)著作權(quán)法相關(guān)條款情況下合理使用本文內(nèi)致謝）：AddingtonChisenga在此感謝以上專家。如譯文有不妥當(dāng)之處，敬請(qǐng)讀者聯(lián)系CS給予雅正!聯(lián)系郵箱research@； 4 7 8 14 序言在過(guò)去的幾年里，全球事件加速了許多企業(yè)的數(shù)字化轉(zhuǎn)型，陸續(xù)將業(yè)務(wù)遷這樣的狀態(tài)下，提高可見性，安全性和保護(hù)數(shù)據(jù)的需求尤為重要，企業(yè)管理者發(fā)現(xiàn)在云中管理身份是一個(gè)首要問題，因?yàn)樗麄兛赡苊媾R多個(gè)云服務(wù)身份管理與訪問控制(IAM)是一個(gè)業(yè)務(wù)流程、策略和技術(shù)框架，使企業(yè)可以更輕松地管理數(shù)字身份。IAM能夠控制用戶對(duì)其公司關(guān)鍵信息的訪問，如今，組成IAM環(huán)境的許多組件（例如認(rèn)證、授權(quán)、身份生命周期管理和特權(quán)訪問）可以進(jìn)行切片，以便企業(yè)可以選擇在云中運(yùn)行效率更高、更具成本效益的功能并保留必要的安全機(jī)制?；谠频腎AM將成為企業(yè)上云進(jìn)行式的回顧，總結(jié)出目前IAM發(fā)展的趨勢(shì)和在云環(huán)境中IAM面臨的重要挑戰(zhàn)，提出了針對(duì)云環(huán)境的有效的IAM最佳實(shí)踐，用于幫助IAM在企業(yè)數(shù)摘要Management，IAM）并非一種新的解決方案。IAM工具和實(shí)踐用于保護(hù)字（有時(shí)甚至是物理）IAM最初是一種通用的機(jī)制，通過(guò)對(duì)被授權(quán)的身份或身份組賦予權(quán)限來(lái)限制和控制對(duì)組織資源的訪問。它最初的目標(biāo)是驗(yàn)證權(quán)限，并且訪問（控制）是完全基于對(duì)用戶名和口令的判斷，再加上直接在受訪資源上分配的組成員身份或權(quán)限。這一模型后來(lái)演變?yōu)榧谢腎AM，而訪問決策集中在一個(gè)權(quán)威機(jī)構(gòu)上，如：服務(wù)、服務(wù)器或身份基礎(chǔ)設(shè)施。多年來(lái)，威脅形勢(shì)發(fā)生了重大變化，IAM現(xiàn)今已成為任何數(shù)字訪問模型的關(guān)鍵組成部分。隨著用戶、資源和系統(tǒng)這些（IAM核心）性質(zhì)發(fā)生變化，IAM已經(jīng)發(fā)展到使用不斷增加的可見性、粒度和控制。例如：基于角色（RBAC）、屬性（ABAC）或其他自適應(yīng)（或啟發(fā)式）的訪問控制已經(jīng)添加了分布式或基于事務(wù)的訪問（控制能力）。隨著多因素身份驗(yàn)證、通行密鑰（passkeys）和數(shù)字證書的加入，身份驗(yàn)證工具和8如今，IAM已經(jīng)遠(yuǎn)不僅是作為保護(hù)資源或者滿足合規(guī)性的手段。隨著全面云化、數(shù)字化以及由于COVID帶來(lái)的遠(yuǎn)程和混合工作模式等發(fā)展趨勢(shì)，IAM已經(jīng)成為一個(gè)業(yè)務(wù)的推動(dòng)者，通常是網(wǎng)絡(luò)安全的第一道防線。IAM是組織零信任之旅的第一階段，也往往是董事會(huì)級(jí)別的舉措。隨著云轉(zhuǎn)型和于本地環(huán)境的傳統(tǒng)IAM實(shí)踐并不適用于云暫、敏捷、并且突破企業(yè)邊界的訪問。但是者都了解并且遵循IAM在云環(huán)境中的最佳實(shí)踐●影響IAM的因素，IAM為解決這些問題而進(jìn)行的改進(jìn)，以及它●在云環(huán)境下部署有成效的IAM項(xiàng)目時(shí)需要考慮的因素與最佳實(shí)踐都是其關(guān)鍵的組成部分，特別是在云環(huán)境中。本文檔的主要受眾是IAM項(xiàng)目負(fù)責(zé)人和安全運(yùn)營(yíng)團(tuán)隊(duì)，然后是首席信息安全官（CISO）和高層領(lǐng)導(dǎo)。本文檔的目的是介紹在云環(huán)境下管理IAM所涉及的挑戰(zhàn)和注意事項(xiàng)，以及云環(huán)境與本地部署IAM的差異所有權(quán)是企業(yè)使用云交付IAM解決方案與管理私有化部署的IAM解決方案之間的一個(gè)根本區(qū)別。當(dāng)一個(gè)組織在內(nèi)部環(huán)境部署IAM解決方案時(shí)，該組織擁有一切，包括軟件許可證和用戶管理；與IAM解決方案相關(guān)的持續(xù)資本支出的責(zé)任，例如硬件（例如，服務(wù)器購(gòu)買）、功耗和物理空間；以及支持內(nèi)部管理的IAM解決方案的基礎(chǔ)設(shè)施所需的所有其他支出?？蛻衾褂没谠频腎AM解決方案與部署IAM私有化解決方案之間的另一個(gè)基理、修補(bǔ)、滲透測(cè)試等。當(dāng)組織從云服務(wù)提供商（CSP）采購(gòu)基礎(chǔ)設(shè)施即服務(wù)（IaaS）等服務(wù)時(shí)，該組織則不需要考慮漏洞管理、補(bǔ)丁等因素，因使用云IAM更大的挑戰(zhàn)和復(fù)雜性是由組織采購(gòu)的云環(huán)境的激增（譯比如多云環(huán)境）。當(dāng)一個(gè)組織運(yùn)行多個(gè)基礎(chǔ)設(shè)施即服務(wù)（IaaS）環(huán)境、平臺(tái)即服務(wù)（PaaS）采購(gòu)和軟件即服務(wù)（SaaS）時(shí)，IAM變得復(fù)雜而富有挑戰(zhàn)性。在每個(gè)環(huán)境中提供身份可能很簡(jiǎn)單，但訪問控制審查和身份撤銷可IAM溯源分析如前所述，IAM不是一個(gè)新的解決方案。自大型機(jī)時(shí)代以來(lái)，它就一直存在，但在客戶機(jī)/服務(wù)器時(shí)代，它變得更加重要，當(dāng)時(shí)的應(yīng)用程序變得更加分散，并包含了它們的身份煙囪。每個(gè)用戶和權(quán)限都不得不在各個(gè)應(yīng)用目錄服務(wù)旨在通過(guò)提供集中的用戶存儲(chǔ)庫(kù)以及一種稱為輕量級(jí)目錄訪問協(xié)議（LDAP）的訪問協(xié)議來(lái)解決這個(gè)問題。目錄服務(wù)括操作系統(tǒng)、數(shù)據(jù)庫(kù)和web服務(wù)器）的相同登錄。在此期間，Microsoft的ActiveDirectory成為管理計(jì)算機(jī)的公司標(biāo)準(zhǔn)，提供了管理用戶、組和訪問策略的體系結(jié)構(gòu)。在互聯(lián)網(wǎng)的早期，多個(gè)憑據(jù)和登錄的問題比較嚴(yán)重，因此開發(fā)了單點(diǎn)登錄（SSO）來(lái)促進(jìn)跨組織應(yīng)用程序的用戶身份驗(yàn)證和授此外，管理用戶生命周期管理和訪問策略的問題主要是通過(guò)定制的應(yīng)用程序?qū)崿F(xiàn)的，這些應(yīng)用程序最終成為產(chǎn)品化的用戶供應(yīng)和管理解決方案。還需要治理功能來(lái)滿足監(jiān)管要求，并最終與身份管理和供應(yīng)解決方案融合，成為現(xiàn)在所稱的身份治理和管理（IGA）解決方案。在過(guò)去的十年里，這些解決方案作為云解決方案提供，利用了云的所有好處，包括維護(hù)IAM平臺(tái)，在許多情況下，IAM平臺(tái)需要專門的資源來(lái)維護(hù)。為了進(jìn)一步簡(jiǎn)化IAM的使用案例和部署，并減少與實(shí)施多種解決方案相關(guān)的成本和負(fù)擔(dān)，解決方案正在融合，以提供IAM解決方案的組合，如身份治理和管理（IGA）、特權(quán)訪問管理（PAM）以及客戶身份管理與訪問控制（CIAM）。數(shù)據(jù)經(jīng)濟(jì)時(shí)代，企業(yè)組織向混合辦公和遠(yuǎn)程辦公模式的轉(zhuǎn)變，進(jìn)一步加速了云解決方案的普及以及數(shù)字化轉(zhuǎn)型的深入，許多組織在選擇應(yīng)用和安全解決方案時(shí)，積極采用“云優(yōu)先”的戰(zhàn)略。此外，在云平臺(tái)實(shí)施IAM解決方案以管理用戶與權(quán)限，IAM解決方案針對(duì)每個(gè)平臺(tái)都是獨(dú)特的。云上IAM引入了一整套云特有的原生身份參與者，例如機(jī)器身份、服務(wù)賬號(hào)、●采用去中心化的身份模型：區(qū)塊鏈和自主身份模型成為主流，用戶能夠掌控自己的身份數(shù)據(jù)，提供了一種替代傳統(tǒng)身份供應(yīng)●即時(shí)和基于風(fēng)險(xiǎn)的訪問控制：越來(lái)越多的企業(yè)組織僅在需要時(shí)提供訪問權(quán)限，并非授予廣泛、長(zhǎng)期有效的權(quán)限。此外，訪問許多組織努力爭(zhēng)取對(duì)其用戶和權(quán)限有正確的可見性和管理。這些服務(wù)通常分布在多個(gè)云平臺(tái)，除了管理云服務(wù)之外，它還實(shí)現(xiàn)了一套通常由服務(wù)的訪問，如容器、無(wú)服務(wù)器基礎(chǔ)設(shè)施、Dev云環(huán)境的IAM與本地環(huán)境相比,在云中管理IAM存在獨(dú)特的挑戰(zhàn),包括易變性和更快的增長(zhǎng)、對(duì)敏捷性的需求以及與合規(guī)性和其他問題相關(guān)的不同風(fēng)險(xiǎn)。一個(gè)關(guān)鍵的區(qū)別是云環(huán)境中API的使用量增加，而不是經(jīng)常在本地環(huán)境中使用的基于組策略的方法。這些在技術(shù)和方法上的差異需要思維方式的轉(zhuǎn)變和企業(yè)多云/混合環(huán)境IAM解決方案的重要性與日云技術(shù)為企業(yè)帶來(lái)了眾多優(yōu)勢(shì)，例如按需付費(fèi)、快速部署、短期運(yùn)營(yíng)以及長(zhǎng)效投資、在幾分鐘內(nèi)彈性伸縮資源等。由于這些優(yōu)勢(shì)，在過(guò)去幾年中，我們看到了云在企業(yè)和個(gè)人應(yīng)用的巨大增長(zhǎng)。在遷移到云的過(guò)程中，企業(yè)仍然在采用混合模型（部分本地，部分上云），甚至采用多云策略來(lái)充分隨著資源遷移到云上，無(wú)論是人還是非人實(shí)體，都需要在任何時(shí)間、任何地點(diǎn)，并具備適當(dāng)?shù)臋?quán)限，經(jīng)過(guò)身份認(rèn)證和授權(quán)才能訪問這些資源。與此同時(shí)，由于資源不再處于組織的網(wǎng)絡(luò)邊界內(nèi)，它們也更容易受到攻擊。因在多云環(huán)境中，用戶需要訪問各類分散的資源。如何確保用戶對(duì)正確的資源具有適當(dāng)?shù)脑L問權(quán)限？如何管理他們的權(quán)限？服務(wù)賬號(hào)和機(jī)器身份在多云環(huán)境中需要運(yùn)行單獨(dú)的自動(dòng)化流程，并連接到不同的工作負(fù)載。如何管IAM對(duì)企業(yè)高管的重要性IAM對(duì)于保護(hù)組織的資產(chǎn)和數(shù)據(jù)起著至關(guān)重要的作用。企業(yè)高管應(yīng)該意識(shí)到IAM可以有效降低風(fēng)險(xiǎn)、促進(jìn)合規(guī)性，并為企業(yè)組織整體安全戰(zhàn)略方面例如改進(jìn)的多云可見性，以及保持對(duì)角色分配狀態(tài)和更改警報(bào)的可見性的企業(yè)有效地采用云IAM所面對(duì)的挑戰(zhàn)身份管理十大挑戰(zhàn)如需進(jìn)一步了解，詳情見我們的推文：“應(yīng)對(duì)云身份管理與訪問控制中的十大挑戰(zhàn)”云IAM帶來(lái)更多商業(yè)機(jī)會(huì)IAM是綁定云服務(wù)的粘合劑。一個(gè)負(fù)責(zé)任的、經(jīng)過(guò)深思熟慮的云IAMd.云IAM的自動(dòng)化潛力為開發(fā)人員和構(gòu)建者提供了巨大的生產(chǎn)力在云環(huán)境中制定有效的IAM計(jì)劃的注意事項(xiàng)和最佳實(shí)踐在云環(huán)境中制定有效的IAM計(jì)劃的注意事項(xiàng)和最佳實(shí)踐與傳統(tǒng)本地部署環(huán)●利用諸如及時(shí)檢測(cè)（JIT）、特權(quán)訪問管理（PAM）和特權(quán)身份●針對(duì)用戶和應(yīng)用程序?qū)嵤┗诮巧脑L問控制●對(duì)傳輸中和靜態(tài)的敏感數(shù)據(jù)（包括●定期監(jiān)控訪問行為和活動(dòng)日志，以及時(shí)發(fā)現(xiàn)異給安全/IAM領(lǐng)導(dǎo)和從業(yè)者關(guān)于溝通IAM價(jià)值的提示●明確闡述IAM的業(yè)務(wù)優(yōu)勢(shì)，例如改善最終用戶體驗(yàn)、無(wú)縫單點(diǎn)●對(duì)企業(yè)全體員工進(jìn)行培訓(xùn)，確保他們了解IAM項(xiàng)目的重要性以●注重企業(yè)內(nèi)部安全防護(hù)文化的培養(yǎng)，鼓勵(lì)員工報(bào)告任何安全問總之，與本地部署環(huán)境相比，在云環(huán)境中的進(jìn)行IAM項(xiàng)挑戰(zhàn)和一些特別注意事項(xiàng)。企業(yè)組織需要明確制定戰(zhàn)略來(lái)應(yīng)對(duì)這些挑戰(zhàn)，確保企業(yè)資產(chǎn)和數(shù)據(jù)的安全。IAM項(xiàng)目團(tuán)隊(duì)?wèi)?yīng)與企業(yè)高管密切合作，探討IAM項(xiàng)目的價(jià)值及其在組織整體安全戰(zhàn)略角色中的作用。此外，企業(yè)應(yīng)制定規(guī)范流程以監(jiān)控和驗(yàn)證身份，并重視管理人類和非人類實(shí)體身份所面臨CSA企業(yè)會(huì)員案例阿里云應(yīng)用身份服務(wù)IDaaS在某游戲大廠實(shí)踐案例某游戲大廠與阿里云應(yīng)用身份服務(wù)IDaaS攜手共建身份認(rèn)證平臺(tái)，實(shí)現(xiàn)各大工作室人員身份的統(tǒng)一治理以及全球范圍云服務(wù)器的權(quán)限管控，保障企方案背景某游戲行業(yè)大廠發(fā)行的游戲覆蓋全球市場(chǎng)，有多款TOP級(jí)游戲備受玩家青發(fā)展初期，企業(yè)人員不多，工作室數(shù)量也很少，業(yè)務(wù)集中在國(guó)內(nèi)。但隨著公司業(yè)務(wù)的高速擴(kuò)展，產(chǎn)品不斷豐富，以及業(yè)務(wù)出海，員工快速擴(kuò)展到2000多人，建立了10余個(gè)工作室，在中國(guó)，以及美國(guó)、韓國(guó)、日本、泰每個(gè)工作室內(nèi)部協(xié)同溝通工具五花八門，有企業(yè)微信、飛書、釘釘?shù)?，即便有工作室都在用企業(yè)微信，賬號(hào)都是獨(dú)立的，數(shù)據(jù)互不相通，員工訪問業(yè)務(wù)應(yīng)用時(shí)，需要再注冊(cè)新的用戶賬號(hào)，相當(dāng)于每個(gè)公司每個(gè)云服務(wù)器都是由當(dāng)?shù)赝獍鼒F(tuán)隊(duì)管理的，而每個(gè)游戲所在的地區(qū)的服務(wù)器權(quán)限都是由游戲開發(fā)團(tuán)隊(duì)開發(fā)，其中涉及到一些相對(duì)標(biāo)準(zhǔn)的用戶角色，比如客服類，相同的開發(fā)工作和管理工作需要在不同的團(tuán)隊(duì)中重復(fù)進(jìn)未來(lái)，這家游戲公司工作室還會(huì)持續(xù)擴(kuò)增，人員只會(huì)越來(lái)越多，公司的游戲產(chǎn)品以及出海業(yè)務(wù)搭建的云服務(wù)器也只會(huì)更多。當(dāng)下企業(yè)面臨的用戶身份數(shù)據(jù)、以及海外外包團(tuán)隊(duì)訪問云服務(wù)器的權(quán)限管理問題若不解決，未來(lái)將會(huì)更棘手，被拖住的不僅是業(yè)務(wù)增長(zhǎng)速度，建設(shè)方案對(duì)多個(gè)溝通工具進(jìn)行用戶數(shù)據(jù)集成管理，打通該游戲公司所有工作室的員工身份數(shù)據(jù)，并進(jìn)行統(tǒng)一管理，同時(shí)，建立統(tǒng)一的權(quán)限管理中心，所有海外云服務(wù)器的權(quán)限進(jìn)行整合統(tǒng)一管控。從根源搬走阻擋企業(yè)發(fā)展的“絆腳阿里云IDaaS通過(guò)搭建統(tǒng)一身份認(rèn)證平臺(tái)，上游對(duì)接游戲公司的各大工作室的各類溝通工具的身份數(shù)據(jù)，如企微、飛書、釘釘?shù)龋掠螌?duì)接公司的各類應(yīng)用工具。通過(guò)身份數(shù)據(jù)的打通，工作室的員工可以用原有的溝通平臺(tái)賬號(hào)直接登錄公司的各類應(yīng)用，如jira、AD、gitlab、同時(shí)，阿里云IDaaS提供用戶身份的自動(dòng)同步更新，如各大工作室的釘釘中有員工賬號(hào)信息發(fā)生變更（如入職、調(diào)崗、離崗等），無(wú)需管理員手動(dòng)調(diào)整，都會(huì)自動(dòng)同步到身份認(rèn)證平臺(tái)中，并同步