《身份攻击向量》②：一文读懂企业身份治理

定义身份治理

    身份治理已经成为企业IT自动化、企业安全和企业合规性管理中的重要组成部分。它提供了一个用户访问的控制框架，并最终帮助我们降低整体运营风险。幸运的是，对于身份治理的含义，业界已经达成了很好的共识。本书定义如下：

身份治理流程

    身份治理（IG）项目的基本步骤和主要流程包括如何基于当前状态建立可见性和上下文，以及从基本控制流程到企业角色管理和策略评估的IG流程的主要内容，最后到使用人工智能创建“预测性”治理的高级流程。

    第4章中提到，在某个特定的时间点知道是谁访问，这一可见性是治理流程中至关重要的一步。要管理用户访问，必须实现基于当前访问配置的可见性和上下文。“你无法管理你看不见的东西”这句话用在这里再贴切不过了。你必须通过已有账户和访问来发现用户在哪些地方有访问和权限。许多情况下，相关组织可能已经有了一套工具，能实现账户管理过程中一定程度的可见性与控制。你只需要在可见性流程的初始阶段使用这个工具就行了。

    整个身份治理流程中关键的第一步是启用和维护“当前状态”的可见性。这就需要与权威身份源进行整合，与账户和访问控制所在的目标应用程序进行连接，以及建立权限目录。

    与目标资源的连接是身份治理流程中的一个关键组成。尽管实现连接的方法有很多，但我们始终认为，开发、部署和维护这种连接的方法是成功部署企业级IGA的核心要素之一。7.1.2节会详细介绍如何处理连接性，同时提供一个简单的分类系统，帮助大家了解和评估在身份治理解决方案中如何实现连接性。

    本节标题中使用了“上下文”一词，是为了帮助大家理解访问的含义。很多时候，我们在管理用户的访问时，并没有很好地理解这种访问的实际意义。

    访问控制技术（在目标系统内部实现控制的账户、组、配置文件、属性和许可）在开发时很少考虑会与业务直接交互。含义模糊的命名标准和复杂的分层实现模型，使得非IT安全专业人员基本无法理解访问上下文的实际含义。“Bob在活动目录的管理组中。意思是他可以访问我的个人信息吗”？身份治理的最终目标是通过连接（或重新连接）访问安全模型和该特定访问控制的业务含义来帮助回答这个问题。理解身份、用户、访问和数据之间的关系，就是我们所说的上下文；为这个访问上下文创建一个一致的映射是这项技术的主要目标之一。

    通过身份治理流程，我们可以缩小各种权限控制系统和最终拥有这些系统的业务用户之间的差距。随着我们获取了各种权威身份源的可见性，并建立了对应用程序和权限源的连接之后，我们就可以再叠加业务策略，并为正在进行的长期生命周期管理打好基础。

    生命周期管理（Lifecycle Management，LCM）是IG流程的核心。它可以捕获、模拟和维护“自动分配生命周期”的核心状态。IG系统的主要目标之一是在用户及其访问数据不断变化的生命周期中提供控制与自动化。整个LCM子系统的概要如图2所示。

图2 LCM整体流程

    开通是身份管理中长期使用的术语，表示提供对应用程序和数据进行访问的整个过程。它通常涉及采用各种连接手段，在正确的时间向正确的人提供正确的访问。在开通后面用了“实现”这个词，是为了提醒大家，在复杂的企业场景中，有多种方式可以实现这种访问。在基于治理的方法中，开通和实现（为简便起见，以下简称为“开通”）代表了系统如何确保一个行动顺利完成，不管它是如何跨越“最后一公里”交付的。

    进行身份治理的一个关键点就是治理策略的持续制定和执行。IG策略是支撑运营效率、增强安全性和持续合规的支柱。市面上有许多不同类型的策略，也有多种实现方式。本节将概述驱动访问合规的业务规则，并讨论身份治理策略如何发挥作用。这里将介绍企业部署中常见的3种主要策略类型，并介绍在作为基于治理的整体方法的一部分使用时，检测性策略和防御性策略之间的差异。

    核准与访问审查(Certification and Access Review) 是身份治理流程的重要组成部分。它们使管理者或其他负责任的委托人能够以一致和高度可审计的方式审查和验证用户的访问权限。在治理过程中建立的策略、角色和风险模型的基础上，访问审查为用户权限的当前状态提供了一个受控的审查点。

    在IG领域，获得对非结构化数据的控制显得越来越重要。大家都明白什么是数据，但这里我们说的非结构化数据到底是什么意思？术语“非结构化”是指这些数据不具有可预测的形式或结构，例如，包含个人身份信息（Personally Identifiable Information，PII）的PDF文件（存放在文件系统或共享网盘中）。这些数据往往存在于企业的治理监控下，其访问控制模型通常与应用程序层面的治理控制和监督不同步。

    自助服务和委托是体现IG项目商业价值的重要部分。智能自助服务能够帮助降低企业管理成本，改善安全流程，以及提高最终用户的满意度。对最终用户来说，智能手机在相当大的程度上已经改变了人们获取服务的方式。现在每个人都希望能找到企业自助服务项目的目录和一套按钮式的交付模式。单从成本管理角度看，自助服务一般意味着更低的总体拥有成本(Total Cost of Ownership, TCO)，所以在现代IT环境中，以自助服务方式为主导是公认的最佳商业实践。

    在IG的治理框架下，现在已经有了一套公认的生命周期管理功能，这些功能首先是面向自助服务的。在本节中，我们将讨论IG自助服务在更普遍的IT自助服务交付策略中的地位和方式。项目成功与否的关键在于是否为IG和信息技术服务管理(Information Technology Service Management, ITSM) 的整合设定了一个明确的方向。我们先解释主要的整合方案，并提出一些最佳实践建议。本节最后，我们将深入探讨访问请求、密码管理和账户控制等主要的IG自助服务项目。

满足合规性要求

    组织要想管理风险更为有效，就必须在满足合规性要求时兼顾到可持续性。作为一种安全驱动的合规方式，也就是说如果组织合规了，也就等于安全了。安全必须有可持续性，才能确保安全。如果只是为了通过SOX或FISMA的审计，就有可能无法应对逻辑访问风险或安全要求。有效管理用户访问风险，需要付出大量努力，不是点选一下合规复选框就行了。合规的目标应该是实现可持续的安全透明度和风险管理，防范组织内部真实存在的安全威胁。

    为了积极应对合规性要求，许多组织希望通过IG来定义和管理整个流程。作为一项跨组织部门的企业能力，IG提供了加强控制和保护信息资产所需的智能与业务洞察力。通过IG，组织可获得一个全方位的控制平面，有效解决“谁能访问什么”的问题。这个控制平面提供了一套流程和追踪透明性，可以降低潜在的安全合规性风险。