身份和访问管理(IAM),即提供一种安全的方法和技术来确保正确的个体能够以正确的原因在正确的时间访问正确的资源。这个概念是依照所有人和事物都获得一个身份的前提来执行的,包括人、服务器、设备、API、应用和数据。一旦验证完成,接下来就只是定义哪些身份可以访问其他身份并创建定义这些关系的限制政策了。
众所周知,IAM从早期就已经被企业广泛使用,在SaaS出现之前,企业通过防火墙将外部人员的恶意访问挡住,再依靠手动操作达到身份和访问管理的效果。可以看出,这样的IAM力求效果,但对安全要求不高。
如今当许多智能化应用部署在云上或混合云时,没有防火墙的安全保障,无法挡住外部人员的恶意访问,企业内部数据信息失去了安全防护;尤其当商业环境变得复杂时,企业账号不再只包含员工,还有临时工、供应商、合作伙伴等,IAM的安全就变得尤为重要,身份(Identity)也就成了最需要保护的对象。
与此同时,在今天这样的互联网科技领先时代,人口红利趋于消失,劳动人口缺乏,企业必须依靠提升管理效率和人工效率来保证企业一定的竞争力。
随着企业逐渐采购越来越多的公有云服务,加上原有的企业内部服务,管理员不得不在各个不同的系统中管理不同的账号,对应用的部署速度要求也相应提升,如果依旧靠手动管理完成,高出错率和低效带来的损失是IT人员无法承担的。
也就是说,在这个效率与安全需要并存的云时代,原有的身份和访问管理是不够的,
我们需要一个全新的身份和访问管理服务,将身份(Identity)作为保护的对象,
这就是IDaaS(Identity as a service)。
IDC (市场研究公司)这样定义IDaaS:
1. 身份和访问管理(IAM) 对企业整体的安全性至关重要。
2. SaaS时代的效率和安全严重依赖于身份和访问管理(IAM)。
当这两个趋势相结合的时候,就衍生出了一个对“身份即服务”的需求,也就是IDaaS。
所以,IDaaS实际上是一个基于SaaS的IAM产品,也就是云上的“身份和访问管理”。
它允许企业使用单点登录、身份验证和访问控制来提供对其他软件和SaaS应用的安全访问。最重要的是,它解决了本地化IAM存在的属性缺陷。
那么,一个合格的云时代IAM应该具备什么属性呢?
01 安全
身份和访问管理,用一句话来概述就是:在正确的时间,以正确的理由,给予正确的人员访问正确的资源的权利。
这个过程包含了三个重要的步骤:身份、认证、授权。
当一个用户尝试去访问一个系统或数据时,他首先要提出一个有关身份的请求,例如输入用户名和密码。之后,系统需要通过身份认证过程来验证此身份,这可以是密码似的基本技术,也可以是一些生物识别的高端技术。当用户成功通过身份认证,IAM系统必须要验证用户所请求的活动授权是否合理。也就是说,仅仅是身份的证明是无法获得访问权利的,系统需要确保用户所产生的行为是在他们的权限范围内。
如果任何人只要能够拿到相应的身份信息(例如用户名和密码)就可以任意访问,这显然是不安全的。就像一个别墅的门口有一个不可信赖的管家——小偷只要拿着钥匙,就可以进这个房子为所欲为。
企业需要知道,一个可信赖的管家的职责不应该是只查钥匙,或是告诉人员进来之后不能拆房子;而是要明确地知道别墅每一个住户的相貌特征,对应的钥匙,包括谁用钥匙就可以进门,谁必须受到邀请才可以进入,每个人进来做什么,和每个人的出入记录。当发现有可疑人员准备进入的时候,自动锁门并开启警报,确保小偷无法进入, 更无法拆掉房子。这样的身份和访问管理,是安全的。
02 效率
通常来说,企业中的身份信息都来自于不同的数据源,例如AD、 HR、OA等系统,增加了身份信息统一化管理的难度,所以效率是云时代IAM不可或缺的属性。
(将不同目录之间 N x N的同步复杂关系降低为N +1)
一个高效的身份管理系统应该 1. 能够同步所有这些系统中的用户身份信息,从而提供单一的事实来源。2. 可进行实时自动化管理。 3. 能够降低IT部署难度和成本。4. 用户认证过程简单,易操作。
从前AD的出现虽然为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段,也实现了本地账号和软件的集中管理。但是,当企业处于非Windows体系的环境时,AD的优势就体现不出来,更不要说它的高操作难度了。回到我们开头提到的“手动操作”。并不是说本地部署依靠手动,上了云就不再需要;而是在云时代的复杂环境下,手动操作管理账户的难度越来越高,效率会更低,因此我们需要一个更完善的IAM。
就好比上文中提到的管家,如果只能依靠手动进行每一项工作,例如翻阅每一个住户和钥匙的照片进行比对,手动记录出入日志等...这样原始化的操作,必定无法满足SaaS时代所需的效率,安全性也会因此大打折扣。
总结以上两点我们可以得出:云时代的IAM不仅追求效果,更是要在安全和效率的需求双双增加的情况下,依然可以达到效果。
也就是说,我们不仅要求这个管家站在门口,更是可信赖和高效地管理人员的访问。
那么,能够满足这两个条件的,就是IDaaS——云时代的IAM,在确保企业信息安全的同时,降低IT管理成本,对资源进行高效的身份和访问管理。
玉符科技:(https://www.yufuid.com)
Reference:
Bmc.com.(2018), Muhammad Raza, What is Identity-As-A-Service-BMC Blogs. [Online]