零信任体系下身份和访问管理（IAM）的应用研究及建议——《网络安全技术和产业动态》总第27期

摘自：《网络安全技术和产业动态》2022年第9期，总第27期。

身份和访问管理（Identity and Access Management，IAM）是一套安全解决方案，用来确保正确的实体（人、物或代码）在需要时能够访问正确的资源（应用程序或数据）。身份和访问管理通常也用来表示实现其方案的产品，包括对身份的管理、认证、授权和审计等功能。

零信任概念提出后，因身份和访问管理的核心思想是为用户建立身份，在其访问资源前需核验确认其身份真实性，契合了零信任中“永不信任、始终验证”的要求，因此身份和访问管理成为了零信任解决方案的重要组成部分，是实现零信任体系中身份识别、实时监测、持续身份鉴别、动态访问控制、事后追溯的重要技术支撑。

随着信息技术的高速发展，互联网化、云化、服务化的应用逐步瓦解了线上与线下、开放互联网与安全局域网的边界，新型安全风险也随着边界模糊化而出现。

以身份和访问管理为核心的零信任体系能够更好地解决此类问题。相对于传统的防护思路，该体系是在“网络可能被攻陷或者已被攻陷、网络内部存在威胁”的假设下，把安全能力从网络边界防护扩展到行为主体及其对客体资源的整个访问过程，对主体的每次访问均进行身份的识别、认证和权限核验，只有身份正确、合法以及当前权限符合才可以继续访问。因此，零信任体系下，身份和访问管理强调将防护模式“以网络边界为中心”改为“以身份为中心”，即“以网络边界防护为主”改为“以身份为中心开展身份认证和授权访问等主动防护”，并以此来解决传统边界防护方案无法应对的因边界模糊化而带来的内部作恶、无动态核验、权限固化的问题。

与传统的身份和访问管理方案相比，零信任下的身份和访问管理更重视用户身份的实时动态验证，即基于大数据和人工智能（AI）技术对用户身份进行风险实时感知与智能分析。基于用户访问的行为数据、用户特征和权限数据，以及环境上下文数据对用户进行动态画像和实时安全风险评估，并自动生成持续认证和访问控制策略。

零信任的本质就是持续的身份鉴别与访问控制。企业建设的身份和访问管理系统在整个零信任体系中，不仅要为各类用户、设备、应用、数据提供统一的、权威的身份鉴别服务，还需要具备整合企业或外部各种认证技术的能力，实现企业级的统一访问控制。身份和访问管理技术发展难点如下：

1．多应用身份和访问管理技术复杂

大型企业往往已经建设多个不同的应用系统，每个应用系统在不同时期采用不同的身份系统，使用不同的描述格式和管理模式。零信任体系下的身份和访问管理需要实现统一的身份管理、统一的权限管理和统一的访问控制，要实现跨租户、跨账号体系、跨端、跨用户渠道、跨应用下的身份全生命周期管理支持，要满足多应用之间的复杂的权限控制、特定场景的需求定制开发等要求，这些对于身份和访问管理的技术架构、扩展性和管理要求均提出了越来越高的要求。

2．零信任体系下的不同产品融合难度大

零信任体系中集成了各种安全能力的综合解决方案，对安全组件依赖性大，如：终端环境感知、用户行为分析、态势感知、网络准入、入侵防御等。而企业在零信任架构下的身份和访问管理方案选型中，希望身份和访问管理能够集成更多的安全能力、并且与现有的安全产品实现联动、纳入集中管控等。由于不同厂商的产品，涉及到多种技术接口，包括身份安全接口、安全联动接口、密码服务接口、配置管理接口、威胁管理接口、威胁情报接口、访问控制接口等，所以技术对接周期长、融合难度大，对技术接口开放性及适配性提出了更高的要求。

3．实体全面身份化带来巨大的技术挑战

零信任体系基于“谁都不可靠、谁也不相信”的理念，需要对所有的网络实体建立“身份边界”，即不仅仅要对来访的用户（自然人）建立可管理的数字身份，而且要对信息系统中所有的设备、应用、进程、接口，甚至云中的微服务、容器、工作负载都需要建立可管理的数字身份，并以此为基础进行权限授予和访问控制。

一方面，这些设备、应用、进程、接口、微服务、容器、工作负载的数量众多，远远大于应用系统的自然人用户数量，这极大地增加了身份管理的难度和效率；另一方面，针对用户、设备、进程、接口、容器、工作负载等这些完全不同类型的实体对象，要做到统一的身份标识和身份管理是个巨大的挑战，在零信任体系下建立具有内生安全特性的身份标识和进行身份认证则更加困难。

4．基于策略的访问控制构建模型面临挑战

零信任体系下，面向被保护资源的网络环境发生了极大的变化，通信模式不断变化、流量模式也不断进化发展，要成功保护服务资源，就必须为每个服务、每个资源创建细粒度的访问权限策略以放行所需访问，并封禁所有不当请求，同时策略变更速度和形式也必须适配应用的变更。这就要求身份和访问管理也要适应变化，引入基于属性的访问控制（Attribute-Based Access Control，ABAC）、基于策略的访问控制（Policy-Based Access Control，PBAC）等模型，同时也要做到支持环境和上下文控制调整、支持策略快速调整等，为零信任体系提供精准服务。

由于数字业务依赖身份和访问管理赋能的数字信任，身份和访问管理成为了保障企业数字化转型的安全基石，是保护企业网络、服务器和其他业务资源的关键。据Marketsand Markets预测，全球零信任安全市场规模预计将从2019年的156亿美元增长到2024年的386亿美元，2019至2024年的复合年均增长率为19.9%。Gartner预测，到2025年，85%的组织将实施云优先战略，其中95%的企业工作负载将部署在云原生平台上。到2023年，75%的云安全问题是由身份、访问和特权管理的不足导致。

自零信任体系以及身份和访问管理提出以来，国际国内很多厂商致力于研发先进、实用的身份和访问管理产品。国际上较为知名的企业包括Okta、Ping Identity、Microsoft、OneLogin、IBM等厂商。其中，Okta（https://www.okta.com）是一家全球领先的企业级身份与访问管理（IAM）解决方案提供商，总部位于美国旧金山。该公司致力于在企业和应用之间打造安全、边界的入口和用户身份管理平台。Okta基于Okta Identity Cloud平台，将业务由最初的单点登录逐渐扩展至通用目录、生命周期管理、API访问管理等全方位身份认证和访问管理服务领域。Ping Identity既以SaaS形式提供IAM服务，也发布具有身份验证和欺诈检测功能的软件，用于满足企业内部的员工、企业的合作伙伴或企业的客户的身份认证和访问授权的需求。Ping Identity客户往往是大型企业单位，也包括那些使用混合本地和云部署的企业。

国内包括天融信、亚信、派拉在内的众多厂商也推出了各种各样的身份和访问管理产品，并在政府部门、企业单位得到了广泛的应用。如天融信的安全认证网关以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、认证管理等功能，为多业务系统提供用户身份、系统资源、权限策略等统一、安全、有效的配置和服务。通过整合企业的用户和系统资源，让企业应用系统的访问方式更加安全、简便，大幅提升企业的整体生产力和工作效率。

近年来，阿里云、腾讯、华为等大型企业也结合自身实践推出了身份和访问管理产品。如阿里云的“IDaaS身份认证服务中台”，集成了多种身份类型的统一管理、用户目录、集中授权、单点登录、认证与审计报告等能力，并同时支持SaaS化和软件部署两种模式。腾讯的“统一身份认证平台”，围绕可信数字身份整合各种核验方式，可以提供统一的、可信的线上实名身份认证，实现“一次登录、全网通行”。华为的“OneAccess 统一身份与访问管理产品”，则是一个集中式的数字身份管理、认证、授权、监控和审计平台，能够用来保证合法的用户、以适当的权限访问受信任的的系统和设备，并对异常访问行为进行实时预警和有效防范。

为进一步推动身份和访问管理技术创新发展，加快技术落地和产品研发，提出以下建议：

1．重视部署身份和访问管理产品

建议信息化建设主管部门应明确信息系统建设时的统一身份管理、统一身份认证和统一权限管理要求，并适时开展零信任体系身份和访问管理典型方案试点示范、零信任优秀案例宣传推广等工作。在建设政务信息化过程中，要从业务使用便捷、身份权限统一、访问安全合规角度出发，重视部署身份和访问管理产品，以满足信息系统中统一身份管理、统一身份认证、统一权限管理等需求。

2．鼓励技术创新及研发新型产品

随着互联网、大数据、云计算、人工智能等新技术的广泛使用，身份和访问管理产品也亟需创新发展。鼓励企业进行技术创新，结合应用场景和服务模式积极研究重点难点技术，如在解决海量网络实体身份管理效率、云环境下微服务和容器的身份认证、基于策略的授权访问模式、面向多云的身份和访问管理、具有强隐私保护的云身份服务等方面进行技术突破，开发实用、安全的身份和访问管理产品。

3．加快技术标准化和互联互通

在零信任体系下身份和访问管理产品不仅要为信息系统提供身份管理、身份认证和访问控制服务，还需要和态势感知、安全管理平台等安全系统进行对接，提供用户真实身份和用户行为信息；在大型信息系统中甚至需要设立多级的身份和访问管理层级，或者和其他的统一身份管理系统进行对接。应针对身份和访问管理技术发展现状，加快技术和产品的标准化和规范化进程，鼓励企业开发具有开放性、能够互联互通互操作的模块化产品或服务，促进身份和访问管理技术推广使用。

2022年第9期（总第27期）专报主笔人证书