CSA发布 | IAM在云环境下新的挑战

云安全联盟大中华区发布报告《IAM在云环境下新的挑战》（以下简称报告）报告通过介绍影响IAM的云环境与本地环境之间的差异和过去解决方式的回顾，总结出目前IAM发展的趋势和在云环境中IAM面临的重要挑战，提出了针对云环境的有效的IAM最佳实践，用于帮助IAM在企业数字化转型中进行有效推动，从而加速数字经济，降低运营成本。（原报告中的解读更为详细。建议想要更具体地了解详情的读者朋友进一步做阅读）

本篇文章主要围绕IAM在云中管理所涉及的挑战、注意事项和最佳实践展开。企业业务正在加速上云，虽然可产生巨大的价值，但是也增加了IAM的复杂性，包括与云之间的互操作性，孤立的身份与安全策略的一致性，重写应用程序以实现迁移到云等都会成为云上业务开展的挑战，因此企业安全管理者需要了解云身份和访问管理。

传统的IAM或本地IAM让人产生笨重感，因为组织手动配置权限，随着越来越多的基础设施移至云端，创建了更多的入口点，带来了新的安全暴露面，云身份与访问管理使组织能够处理所有平台（无论是基于云的还是本地的）的身份验证和云访问，因此比传统的IAM更加灵活，更能有效地扩展。

简单来说，云身份和访问管理扩展了IAM的功能，支持分布式环境，可以包括在本地以及通过各种云模型（例如私有云、公共云、多云、混合云、合作伙伴）部署和访问。对于云供应商来说，提供内置身份基础设施是基础。

云身份和访问管理提供的框架包括简化系统中的管理身份以及简化对各种IT系统和应用程序的安全访问所需的工具，因此云身份和访问管理是一种解决方案，需要构建保护跨云、SaaS、本地系统以及API等关键资源（例如IT系统、网络、数据）所需的工具、策略和流程，以确保无论用户在什么位置，都可以提供对用户进行身份验证和授权访问的机制。一般特性如下：

• 身份认证：提供增强或多因素身份验证模式，以确保用户的真实性并限制被盗凭据带来的风险 。
• 访问管理：提供基于角色或属性的访问控制管理，建立授予所需的最小权限。
• 风险管理：基于风险的身份验证，使用算法计算恶意用户的风险、阻止可疑活动并报告高风险分数的操作。
• 身份治理和管理（IGA）：用于管理用户帐号生命周期，包括权限和配置 。
• 特权访问管理（PAM）：可通过监视、检测和防范对关键资源的未经授权的特权访问，并提供高度敏感的系统和数据的账号保管机制。
• API安全性：将安全协议扩展到非人类用户（例如API、容器和应用程序）的身份和适当的权限。
• 跨云集中身份管理：系统在不同的云进行运行，通过从其他系统迁移用户或将其与组织内的其他用户目录（例如HR目录）同步，进行跨云的集中身份管理。
• 为用户和开发者提供自助服务
• 同意收集和数据隐私管理

2、全球化：云身份与访问管理解决方案可以管控跨平台的访问，让员工可以从任何地方访问资源，消除传统IAM系统的笨重感，最大限度地减少登录时间，使员工访问众多的企业资源不是一种心理负担。

3、降低成本：组织可以根据需要扩展和收缩其使用量，从而使云身份与访问管理比本地解决方案成本更低。

4、合规：帮助组织遵守当地的相应法律法规。

1、 身份治理和管理(IGA)：目前IAM可能大多数聚焦在身份管理层面，无论从上游系统获取还是管理员自己配置，但是面对多云，多用户跨多个目标系统的时候，有效管理用户身份和访问非常困难，需要提升到身份治理的高度，匹配业务侧的目标，将身份统一到更高级的分层模型中，再采用分析，自动化等技术手段快速实现效率、合规性和安全性。

2、 面向不同客户群或场景，可能采用乐高式的解决方案，统称为CIP（Converged IAM Platfrom，融合式的IAM平台）,以身份治理与管理，访问管理，特权会话管理为主的方式去组织IAM的相关组件，针对不同的保护对象，保护级别，采用不同的访问控制手段。

3、 身份概念的扩大，根据相关机构调研，78%的IT决策者表示，管理多个云之间的用户身份是首要挑战，尤其在云上，No-Person的身份管理需要与人类实体一并考虑，因为最小工作负载往往并不是人类在操作，可能通过API接口的方式进行数据蔓延，所以API数据的访问控制需要纳入IAM的安全策略中。

4、 认证方式的强化：需要认识到MFA就是较为安全的这一误区，因为认证因子的强度和确定性是安全的重要保障，近年推崇的无密码认证的身份验证机制，用户可能只需要使用一个因素，但该因素不是密码，但可能是无法复制，篡改的生物特征，或者运营商提供的超级SIM号卡实名认证等。

5、 即时访问与防止角色爆炸：通过使用标准化角色模型提升云访问安全性，并且应该强制性使用，强调继续采用使用简单语言对策略进行编码，将角色和属性与逻辑结合以创建灵活的动态控制策略的机制。