零信任技术架构之增强IAM

IAM全称在Identity and access management (IAM) ，身份和访问管理平台，他的核心能力身份管理（identity）、认证管理（authentication）、授权管理(authorization)和审计管理(audit)，也就是4A认证。相较于早期的3A认证，主要多了授权管理，通过授权管理，实现了精细化的访问控制。很多人对账号、身份、授权、认证等很迷惑，下图给大家做了一个详细的区分。

一、认证管理与单点登录 

关于认证管理，大家经常提到一个词SSO，也就是单点登录，什么是单点登录？以VPN为例给大家简单解释一下。例如我们先点击开VPN客户端，然后输入你自己的VPN账号（也就是你在你公司IT系统里的唯一标识），然后输入口令和手机验证码（采用了双因子认证方式），通过认证匹配你的角色对于进行业务系统访问授权（例如A/B/C三个业务系统），你访问A业务系统需要再输入A业务系统的账号密码、访问B也要再输入B的，当业务系统多的时候，变成了一件很复杂的事情，所以SSO出现了。通过SSO协议（oauth2.0、cas、smal等）当第一次通过认证的时候，就给用户（账号）颁发一个令牌，这样后续再访问约其他BC业务系统的时候，一看有这个通行令，被授权业务系统直接就放行了，这样就实现了一次登陆，全部放行（被授权的资源）。

二、授权管理的多种模式

关于授权管理，有很多种方式，现在常用的就是RBAC基于角色的访问授权机制，现在市面上大多数安全产品设计的授权模式都是基于此的，用户（也就是账号）--->身份（角色，普通员工？高管？管理员？财务等）--->授权（可以访问哪些资源），如下图所示：

经过这种关联，可以将公司的组织架构和授权机制关联起来，尽可能做到“最小权限授权”。当然，随着黑客攻击手段的越来越高明，RBAC的访问模式出现了局限性，一是灵活性比较差，组织架构对应业务访问权限，一旦账号被窃取，进入到内网，访问就畅通无阻了；另一方面就是无法应对复杂、庞大且多变的组织环境，例如一个数十万公司规模、几百个部门且不断变化的组织，做到精细化的RBAC工程量将是巨大的。因此后面出现了ABAC和PBAC，来优化上面的问题，ABAC是基于属性（特征）的访问控制模式，从主题（用户）、资源、行为和环境（网络环境、地理位置、时间、协议/加密强度等）的属性来进行强制访问控制。这样就定好一套规则后，无论组织架构如何变化，都可以基于这些属性进行判断，一定程度上实现了动态性。

另一方面，随着对精细化访问控制的需求越来约高，基于策略的访问控制营运而生PBAC，零信任的动态认证授权机制就是PBAC的一种实现，基于控制策略，来对访问授权进行精细化的管理，更加具备动态性、灵活性。

三、增强IAM的技术架构

和传统的IAM对比，增强级的IAM架构师一般是基于PBAC进行授权管理设计，架构中最核心的是策略管理（也就是PDP，策略决策点），这也是零信任架构设计的核心，具体如下图所示。

用户指的是广义的用户，包括内部的和外部的成员。还包括传统的认证管理、账号生命周期管理、授权管理、策略管理、审计管理等。

四、IAM未来发展趋势

趋势一：IAMaaS (IAM 即服务)

随着企业越来越多地将 IT 环境迁移到云端，许多 IAM 功能被转移到云中并实现了

自动化。远程用户可以轻松地访问其工具:他们只需使用一次登录(SSO)即可访问所需的所有资源。

趋势二：在微服务之间实现 IAM

IAM 解决方案开始与微服务集成。在一个这样的解决方案中，微服务之间的每个通 信还包括一个唯一的令牌，该令牌在收到后便会得到验证。应用程序仅在收到有效令牌 后才执行请求的功能。在微服务环境中使用 IAM 可以防止不良行为者假冒微服务或窃 听应用程序。

趋势三：基于风险的身份验证

也称作自适应身份验证，这种验证方式可以被描述为变量矩阵，这些变量的结合会 产生一个风险信息。基于这个风险信息，在某些功能执行前，可能需要添加额外的身份 验证要求。基于风险的身份验证系统旨在识别升高的身份验证风险。

趋势四：IOT 扩大了身份的边界

随着物联网的大力发展，设备，机器人，IOT 等设备如今都需要访问网络和数据资 源，所以这些设备也应该纳入身份管理的范围。

趋势五：IAM 与 UEBA 的整合

将 UEBA 与 IAM 集成可创建基于实时用户行为检测的主动修复方法。对于部署 IAM 的企业来说，已经收集的大量 IAM 数据为行为提供了必须的上下文，将这些数据投入使用可为潜在的安全事件提供强大的机制和预防性控制。

五、IDaas身份即服务

IDaas即identify as a serveice，身份即服务，它的核心应用场景是解决云环境下的身份和访问管理，因此我们也可以理解为云上IAM解决方案，在这块全球顶级的网络安全厂家Okta是该领域的翘楚，靠这个单一产品最高峰值市值超过了1000亿美金，可想云上的IAM市场空间巨大。

业务上云必然带动配套业务需求的上云，云上IAM在功能上基本传统IAM没有太大差异化，还是紧紧围绕身份、认证、授权和审计等几个核心维度开展工作，尽管在功能上差异性不大，但是基于云环境它有自己的一些技术特征和应用潜力，具体如下：

IDaas是天然的适配云的，因此对于IDaas而言，可以将高可能性、健壮性等能非功能性能力直接借助云平台的能力，例如双机热备、健康检测、快重启等，这样可以以更小的花费保障充分的安全

IDass作为用户和应用的中间人，因此它本身要天然支持各种各样的应用，无论是saas应用程序、微服务、还是传统的老业务应用程序，它都应充分的支持。尤其现在随着云的发展，各种应用也开始saas化，所以现在很多IDaas厂家在一开始设计之初，就开始对接和整合用户常用的一些saas应用，例如办公软件、办公系统、工具应用等，这样客户在使用这些saas应用的时候，天然的做了对接，尽可能保障用户的访问体验。当然对于一些非常老的、无法改造的应用程序，也可以通过反向代理的模式实现和IDaas的认证授权交互。

云上最大的特点之一就是用户量巨大、数据量巨大，IDaas作为云上身份与访问管理平台，留存数据条数难以想象，如何利用好这些数据更好的服务于客户是IDaas和云厂家需要考虑的话题。从目前来看，基于大数据分析，形成用户的业务使用画像，形成基线库，能够识别高级的风险访问（基于行为特征、时间特征、位置特征等信息），因此后续哪怕账号泄露，也可以通过基于大数据分析，来识别风险账号和用户。

作为云上的IAM，IAM可以充分和第三方应用系统对接，包括第三方账号管理系统、第三方的认证系统（AD域认证、LDAP认证等），甚至和审计系统对接，不但自身具备相关管理的能力，也充分的开放和协议支持，这样也可以发挥出平台的能力。对于用户而言、无论是混合云、还是跨云场景，都可以通过一套方案形成身份和访问管理闭环。

六、零信任和IAM的关系

正如上图红线框出的能力所示，都用到了IAM的能力，这也是为什么零信任的三种架构中有IAM架构的存在。用户/组数据库模块负责统一身份管理功能，对所有用户的身份生命周期管理，当有人员身份变更时，数据库会及时更新;单点登录模块负责统一认证功能，提供了一个集中的认证门户，对所有请求访问资源的用户进行双因子认证；设备库存数据库负责可控设备管理功能，持续收集、处理、 发布已知设备的状态变化；证书签发者负责为可信的设备签发专用的设备证书，证书是可信设备的唯一标识；信任接口，通过查询多个数据源动态分配给设备、用户信任等级，访问控制引擎将参考信任等级进行授权。

当然完整的零信任架构单靠IAM很难实现，还需要有相关的配套组件，例如代理网关、零信任客户端等，但是无论怎么样，我们都不能把零信任和IAM隔离成单独的两个产品去看，IAM的发展未来必向零信任、大数据、云的方向不断演进和进步。