Google：大规模 IAM 安全实践指南

概述

身份和访问管理 (Identity and Access Management, IAM) 是企业安全领域中一个具有挑战性的部分。

IAM 对用户来说非常可见，同时也是防止勒索软件或账户被盗等网络攻击的关键步骤。当正确实施时，它既能帮助用户更轻松地工作，又能保障企业安全——这在安全领域是罕见的组合。这使其成为希望产生重大影响的组织的绝佳选择——尤其是在重大组织变革之后 (如遭遇数据泄露后或新任 CISO 上任时)。

但当 IAM 实施不当时，它会在损害与业务部门关系的同时创造重大网络风险。让我们来看看"好的 IAM 是什么样子"，然后讨论实现这一目标的最佳实践。

好的 IAM 是什么样子

基本要求

• 我们谈论的是拥有数万或数十万用户的企业 (有一定用户规模)
• 企业已经存在一段时间 (有一定应用程序规模)
• 组织多年来进行了一些收购 (有一定技术债务)

技术栈

• 身份提供商 (Identity Provider, IdP) (如 Okta、AzureAD / EntraID) — 存储和管理用户身份
• 身份治理和管理 (Identity Governance and Administration, IGA) (如 Sailpoint、Saviynt) — 分配终端用户访问权限，处理用户访问请求 (如批准、拒绝等)，并配置权限
• 目录服务 (如 Active Directory 或其他本地目录服务) — 处理所有本地身份验证/授权需求

自动化 IAM 生命周期

1. 身份创建：当新人被雇用时，HR 系统触发身份创建，然后同步到身份提供商。

图 1. 当新人被雇用时，IGA 系统检测到并创建一个身份，然后同步到目录服务。

1. 入职：为所有用户使用"与生俱来"的最低权限集，然后基于角色的访问控制 (Role Based Access Control, RBAC) 为更具体的工作群体 (HR、财务、技术等) 甚至工作类别 (零售经理、网页开发人员、数据库管理员等) 提供对系统的访问权限。

图 2. IGA 系统利用从 HR 系统返回的信息将每个新用户添加到与生俱来的组，然后添加到映射的 RBAC IdP 组和目录服务组。

1. 权限管理：当用户需要未通过与生俱来权限或基于角色的访问权限授予的额外权限时，该用户可以通过 IGA 的服务目录请求这些权限。访问批准通过 IGA 处理，且批准过程简单 (如电子邮件)。优先考虑访问速度而非冗长的批准者列表。在应用程序角色级别 (当通过跨域身份管理系统 [System for Cross-domain Identity Management, SCIM] 支持时) 请求和批准应用程序组权限。 

   图 3. 用户通过 IGA 系统请求对特定应用程序和应用程序权限的访问，然后将用户添加到 IdP 和目录服务组。

2. 适应不断变化的用户角色：由当前用户和/或用户经理完成的自动用户访问审查。至少每年触发一次，且 (当能力存在时) 在 HR 职位变更时触发。IGA 系统通常具有安排访问审核、向审核人发送通知以及跟踪完成响应的自动化流程能力。

3. 用户离职：HR 系统中的变更触发 IAM 系统中的账户禁用、删除和许可证撤销。

   图 4. 当用户的雇佣状态发生变化时，IGA 系统检测到并禁用/删除身份。

自动化 IAM 计划的好处

自动化 IAM 计划通过以下控制措施提高企业安全性：

• 使用安全协议。优先考虑与身份提供商的集成 (SAML 和 OIDC 协议)，而非传统协议 (LDAP)。
• 为 (几乎) 每个身份启用多因素认证 (Multi-factor Authentication, MFA)。
• 对每个用户进行访问审查 (由他们自己和/或他们的经理进行)。
• 设置密码长度策略。
• 特权访问管理 (Privileged Access Management, PAM) 与 IdP 集成，为工作站和服务器提供"及时"(Just-in-Time, JIT) 管理访问，并自动轮换密码策略。
• 尽可能强制使用 IdP 认证 (不允许同时使用本地认证)。
• 在关键 IT 基础设施系统上使用带外管理 (Out-of-Band Management, OOBM) 账户作为上述规则的例外。它们确保在勒索软件攻击影响通过 IdP 登录应用程序的能力时能够访问系统。
• 通过集中式访问日志记录改进威胁检测，实现更快地检测可疑行为。
• 基于角色的访问控制 (RBAC) 有助于确保授予最低权限，防止过度分配访问权限，从而限制攻击的潜在影响。 
  图 5. 不同级别的访问控制有助于简化管理开销，同时确保资源具有必要的最低权限。

自动化 IAM 计划通过以下措施提高运营效率：

• 减少管理开销，使 IAM 团队能够更快地推进重要计划。
• 缩短访问请求的交付时间，允许用户以最小的延迟访问资源，从而提高用户生产力。
• 通过集中式审计跟踪和报告功能简化合规性审计，使 IAM 团队能够更快地推进重要计划。
• 通过单点登录 (Single Sign On, SSO)、自助服务访问请求和自助服务密码重置改善用户登录体验，提高用户生产力，同时可能减少对一级支持人员的需求。

实现"好的 IAM"

项目结构

如果组织有选择的余地，建议在将大量用户迁移到 SSO 之前先实施 IGA 和端到端自动化。否则，IAM 团队在处理操作时的能力将大大降低。以下是理想的技术栈推出顺序：

图 6. 如何构建 IAM 计划的大致时间线。最长的项目通常是将应用程序纳入系统 (SSO 引入和推广)。

1. 身份提供商 (IdP)：从 IdP 开始，因为它构成了 IAM 系统的基础。
2. IGA (身份治理和管理)：一旦 IdP 到位，实施 IGA 解决方案。这允许自动化用户生命周期管理、访问认证和强制执行特权访问策略。
3. PAM (特权访问管理)：最后实施 PAM，因为它建立在 IdP 和 IGA 建立的基础之上并扩展它。
4. 引入基础应用程序 (如 M365) 并逐步推出安全控制 (如 MFA 推广)
5. 一旦技术栈设置好且安全控制通过工具集自动执行，精力转向将应用程序和授权迁移到身份提供商 (如联合访问、单点登录等)

• 首先迁移几个没有太多 (或任何) 用户的最简单应用程序，以建立团队的肌肉记忆
• 迁移那些技术上容易但逐渐拥有更多用户的应用程序
• 将有大量活跃用户的困难、关键应用程序迁移留到最后
• 在风险登记册中跟踪由于技术或业务原因无法与 IAM 集成的应用程序

常见错误

将应用程序引入身份提供商仍然是一个非常手动的过程，各种业务应用程序支持不同级别的集成、功能和自助服务引入。有些应用程序很轻松，而有些则需要与 NBA 总决赛第 7 场相当的团队合作和表现水平。以下是一些需要避免的常见错误：

• 不有效地优先处理身份提供商/SSO 应用程序引入 — 不要从最关键、高曝光度、技术难度大的应用程序开始。熟能生巧。
• 被困难的应用程序迁移所阻碍 — 先跳过，等团队更有经验时再回来处理。
• 沟通不足 — 沟通是这类项目成败的关键。可能的话，将其与技术工作分离（并行设置认证，测试验证后再沟通）。
• 跨职能合作不足 — 每日开会的团队应包括企业沟通、网络风险、服务台、特定应用程序团队以及其他相关方。
• 进行大规模"上线" — 条件允许时，始终优先选择平滑过渡，让新旧认证方式并行运行一段时间。
• 不解决技术债务 — 如果环境中已有多个 IdP 提供商，尽早整合它们，释放许可证，向业务展示实际的节约。
• 自动化不足 — 尽可能自动化一切，为团队腾出时间处理更重要的工作。

结语

创建一个自动化的 IAM 计划是处理具有规模的企业 IAM 的合理方法。它增强安全效力，增加人员支持其他安全计划的能力，同时提高用户生产力和满意度。做得好的话，这是一个"双赢"的局面，可以用来建立安全部门与业务其他部分之间的牢固关系，为未来项目的更有效合作铺平道路。

参考资料