IAM在云環(huán)境下新的挑戰(zhàn)

??2023云安全聯(lián)盟大中華區(qū)版權(quán)所有 3致謝《IAM在云環(huán)境下新的挑戰(zhàn)（WhatIsIdentity&AccessManagement(IAM)ForTheCloud?）》由CSA工作組專家編寫，CSA大中華區(qū)IAM工作組組織翻譯并審校。中文版翻譯專家組（排名不分先后）：崔崟 王亮 張彬 鹿淑煜 呂審校組：戴立偉 謝研究協(xié)調(diào)員：蔣妤希感謝以下單位的支持與貢獻(xiàn)：北京啟明星辰信息安全技術(shù)有限公司 奇安信網(wǎng)神信息技術(shù)（北京）股份有限公北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 深圳竹云科技有限公司上海物盾信息科技有限公司安易科技（北京）有限公華為技術(shù)有限公司 三未信安科技股份有限公阿里云計算有限公司英文版本編寫專家主要作者：RaviErukulla RameshGupta ShrutiKulkarni AlonNachmany貢獻(xiàn)者：FayeDixon JonathanFlack PaulMezzera AnsumanVenkatRaghavan HeinrichSmit DavidStrommer審校者：SamuelAddington

RadhikaBajpai

IvanDjordjevicShamikKacker ShamikKacker AdnanRafique MichaelNishanthSingarapuCSA員工：RyanGifford StephenLumpe在此感謝以上專家。如譯文有不妥當(dāng)之處，敬請讀者聯(lián)系CSAGCR秘書處給予雅正!聯(lián)系郵箱research@；國際云安全聯(lián)盟CSA公眾號。目錄TOC\o"1-2"\h\z\u致謝 4序言 7摘要 8引言 10云境與地部IAM的異 11IAM溯分析 12IAM的展趨勢 13云境的IAM 13多/混環(huán)境IAM解方案重要與日增 14IAM對業(yè)高的重性 14企有效采用IAM所對的戰(zhàn) 15身管理大挑戰(zhàn) 15云IAM帶更多業(yè)機(jī)會 16在環(huán)境制定效的IAM計的注事項最佳踐 17給全/IAM領(lǐng)和從者關(guān)溝IAM價的提示 19結(jié)論 20CSA企會員例 21阿云應(yīng)身份務(wù)IDaaS在游戲廠實案例 21序言在過去的幾年里，全球事件加速了許多企業(yè)的數(shù)字化轉(zhuǎn)型，陸續(xù)將業(yè)務(wù)遷IT采用本地、云端或并行機(jī)制，在這樣的狀態(tài)下，提高可見性，安全性和保護(hù)數(shù)據(jù)的需求尤為重要，企業(yè)管理者發(fā)現(xiàn)在云中管理身份是一個首要問題，因為他們可能面臨多個云服務(wù)是一個業(yè)務(wù)流程、策略和技術(shù)框架，使企業(yè)可以更輕松地管理數(shù)字身份。IAM能夠控制用戶對其公司關(guān)鍵信息的訪問，如IAM環(huán)境的許多組件（例如認(rèn)證、授權(quán)、身份生命周期管理和特權(quán)訪問）可以進(jìn)行切片，以便企業(yè)可以選擇在云中運行效率更高、更具成本效益的功能并保留必要的安全機(jī)制?；谠频腎AM將成為企業(yè)上云進(jìn)行IAM的云環(huán)境與本地環(huán)境之間的差異和過去解決方式的回顧，總結(jié)出目前IAM發(fā)展的趨勢和在云環(huán)境中IAM面臨的重要挑戰(zhàn)，提出了針對云環(huán)境的有效的IAMIAM在企業(yè)數(shù)李雨航Y(jié)aleLiCSA大中華區(qū)主席兼研究院院長摘要（IdentityandAccessManagementIAM）并非一種新的解決方案。IAM工具和實踐用于保護(hù)字（有時甚至是物理）/IAM最初是一種通用的機(jī)制，通過對被授權(quán)的身份或身份組賦予權(quán)限來限制和控制對組織資源的訪問。它最初的目標(biāo)是驗證權(quán)限，并且訪問（控制）是完全基于對用戶名和口令的判斷，再加上直接在受訪資源上分配的組成員身份或權(quán)限。這一模型后來演變?yōu)榧谢腎AM，而訪問決策集中在一個權(quán)威機(jī)構(gòu)上，如：服務(wù)、服務(wù)器或身份基礎(chǔ)設(shè)施。多年來，威脅形勢發(fā)生了重大變化，IAM現(xiàn)今已成為任何數(shù)字訪問模型的關(guān)鍵組成部分。隨著用戶、資源和系統(tǒng)這些（IAM核心）性質(zhì)發(fā)生變化，IAM已經(jīng)發(fā)展到使用不斷增加的可見性、粒度和控制。例如：基于角色（RBAC）屬性（ABAC）或其他自適應(yīng)（或啟發(fā)式）控制已經(jīng)添加了分布式或基于事務(wù)的訪問（控制能力）。隨著多因素身份驗證、通行密鑰（passkeys）和數(shù)字證書的加入，身份驗證工具和技術(shù)不斷發(fā)展，并極大的增強(qiáng)了IAM的能力。如今，IAM已經(jīng)遠(yuǎn)不僅是作為保護(hù)資源或者滿足合規(guī)性的手段。隨著全面云化、數(shù)字化以及由于COVID帶來的遠(yuǎn)程和混合工作模式等發(fā)展趨勢，IAM已經(jīng)成為一個業(yè)務(wù)的推動者，通常是網(wǎng)絡(luò)安全的第一道防線。IAM是組織零信任之旅的第一階段，也往往是董事會級別的舉措。隨著云轉(zhuǎn)型和云優(yōu)先在組織的推動，IAMIAMIAMIAM本文旨在提供以下內(nèi)容的概述：云環(huán)境與本地環(huán)境的差異對IAMIAM的因素，IAM為解決這些問題而進(jìn)行的改進(jìn)，以及它IAM組織在云環(huán)境中有效應(yīng)用IAM在云環(huán)境下部署有成效的IAM項目時需要考慮的因素與最佳實踐/IAM領(lǐng)導(dǎo)者和從業(yè)者溝通IAM引言對于任何組織的技術(shù)棧和安全基礎(chǔ)設(shè)施而言，身份管理與訪問控制（IAM）都是其關(guān)鍵的組成部分，特別是在云環(huán)境中。本文檔的主要受眾是IAM項目負(fù)責(zé)人和安全運營團(tuán)隊，然后是首席信息安全官（CISO）和高層領(lǐng)導(dǎo)。本文檔的目的是介紹在云環(huán)境下管理IAM所涉及的挑戰(zhàn)和注意事項，以及IAM對組織整體安全戰(zhàn)略的重要性。云環(huán)境與本地部署IAM的差異所有權(quán)是企業(yè)使用云交付IAM解決方案與管理私有化部署的IAM解決方案之間的一個根本區(qū)別。當(dāng)一個組織在內(nèi)部環(huán)境部署IAM解決方案時，該組織擁有一切，包括軟件許可證和用戶管理；與IAM解決方案相關(guān)的持續(xù)資本支出的責(zé)任，例如硬件（例如，服務(wù)器購買）、功耗和物理空間；以及支持內(nèi)部管理的IAM解決方案的基礎(chǔ)設(shè)施所需的所有其他支出?？蛻衾迷品?wù)提供商(CSP)的IAM使用基于云的IAM解決方案與部署IAM私有化解決方案之間的另一個基本區(qū)別是控制。在私有化部署中，組織管理IAM的各個方面，包括漏洞管理、修補、滲透測試等。當(dāng)組織從云服務(wù)提供商（CSP）采購基礎(chǔ)設(shè)施即服務(wù)（IaaS）等服務(wù)時，該組織則不需要考慮漏洞管理、補丁等因素，因為“云安全”的這些方面由CSP負(fù)責(zé)。使用云IAM更大的挑戰(zhàn)和復(fù)雜性是由組織采購的云環(huán)境的激增（譯者注：比如多云環(huán)境）。當(dāng)一個組織運行多個基礎(chǔ)設(shè)施即服務(wù)（IaaS）環(huán)境、平臺即服務(wù)（PaaS）采購和軟件即服務(wù)（SaaS）時，IAM變得復(fù)雜而富有挑戰(zhàn)性。在每個環(huán)境中提供身份可能很簡單，但訪問控制審查和身份撤銷可能并不簡單，這可能導(dǎo)致離職者依然具有這些環(huán)境的訪問權(quán)。IAM溯源分析如前所述，IAM不是一個新的解決方案。自大型機(jī)時代以來，它就一直存在，但在客戶機(jī)/服務(wù)器時代，它變得更加重要，當(dāng)時的應(yīng)用程序變得更加分散，并包含了它們的身份煙囪。每個用戶和權(quán)限都不得不在各個應(yīng)用中管理，這導(dǎo)致了訪問這些應(yīng)用程序所需用戶身份和口令數(shù)量的激增。目錄服務(wù)旨在通過提供集中的用戶存儲庫以及一種稱為輕量級目錄訪問協(xié)議（LDAP）的訪問協(xié)議來解決這個問題。目錄服務(wù)實現(xiàn)了跨多個平臺（包括操作系統(tǒng)、數(shù)據(jù)庫和web服務(wù)器）的相同登錄。在此期間，Microsoft的ActiveDirectory成為管理計算機(jī)的公司標(biāo)準(zhǔn)，提供了管理用戶、組和訪問策略的體系結(jié)構(gòu)。在互聯(lián)網(wǎng)的早期，多個憑據(jù)和登錄的問題比較嚴(yán)重，因此開發(fā)了單點登錄（SSO）來促進(jìn)跨組織應(yīng)用程序的用戶身份驗證和授權(quán)，在大多數(shù)情況下利用LDAP目錄作為身份存儲。此外，管理用戶生命周期管理和訪問策略的問題主要是通過定制的應(yīng)用程序?qū)崿F(xiàn)的，這些應(yīng)用程序最終成為產(chǎn)品化的用戶供應(yīng)和管理解決方案。還需要治理功能來滿足監(jiān)管要求，并最終與身份管理和供應(yīng)解決方案融合，成為現(xiàn)在所稱的身份治理和管理（IGA）解決方案。在過去的十年里，這些解決方案作為云解決方案提供，利用了云的所有好處，包括維護(hù)IAM平臺，在許多情況下，IAM平臺需要專門的資源來維護(hù)。為了進(jìn)一步簡化IAM的使用案例和部署，并減少與實施多種解決方案相關(guān)的成本和負(fù)擔(dān)，解決方案正在融合，以提供IAM解決方案的組合，如身份治理和管理（IGA）、特權(quán)訪問管理（PAM）以及客戶身份管理與訪問控制（CIAM）。IAM的發(fā)展趨勢數(shù)據(jù)經(jīng)濟(jì)時代，企業(yè)組織向混合辦公和遠(yuǎn)程辦公模式的轉(zhuǎn)變，進(jìn)一步加速了云解決方案的普及以及數(shù)字化轉(zhuǎn)型的深入，許多組織在選擇應(yīng)用和安全解決方案時，積極采用“云優(yōu)先”的戰(zhàn)略。此外，在云平臺實施IAM解決方案以管理用戶與權(quán)限，IAM解決方案針對每個平臺都是獨特的。云上IAM引入了一整套云特有的原生身份參與者，例如機(jī)器身份、服務(wù)賬號、工作負(fù)載身份和人員身份等。主要趨勢包括:采用去中心化的身份模型：區(qū)塊鏈和自主身份模型成為主流，用戶能夠掌控自己的身份數(shù)據(jù)，提供了一種替代傳統(tǒng)身份供應(yīng)即時和基于風(fēng)險的訪問控制：越來越多的企業(yè)組織僅在需要時提供訪問權(quán)限，并非授予廣泛、長期有效的權(quán)限。此外，訪問許多組織努力爭取對其用戶和權(quán)限有正確的可見性和管理。這些服務(wù)通常分布在多個云平臺，除了管理云服務(wù)之外，它還實現(xiàn)了一套通常由DevOpsIAMCI/CD工具，這些都云環(huán)境的IAM與本地環(huán)境相比,在云中管理IAM存在獨特的挑戰(zhàn),包括易變性和更快的增長、對敏捷性的需求以及與合規(guī)性和其他問題相關(guān)的不同風(fēng)險。一個關(guān)鍵的區(qū)別是云環(huán)境中API的使用量增加，而不是經(jīng)常在本地環(huán)境中使用的基于組策略的方法。這些在技術(shù)和方法上的差異需要思維方式的轉(zhuǎn)變和企業(yè)內(nèi)部實踐對云計算的適應(yīng)。多云/IAM俱增云技術(shù)為企業(yè)帶來了眾多優(yōu)勢，例如按需付費、快速部署、短期運營以及長效投資、在幾分鐘內(nèi)彈性伸縮資源等。由于這些優(yōu)勢，在過去幾年中，我們看到了云在企業(yè)和個人應(yīng)用的巨大增長。在遷移到云的過程中，企業(yè)仍然在采用混合模型（部分本地，部分上云），甚至采用多云策略來充分利用以實施最佳解決方案。隨著資源遷移到云上，無論是人還是非人實體，都需要在任何時間、任何地點，并具備適當(dāng)?shù)臋?quán)限，經(jīng)過身份認(rèn)證和授權(quán)才能訪問這些資源。與此同時，由于資源不再處于組織的網(wǎng)絡(luò)邊界內(nèi)，它們也更容易受到攻擊。因此，更需要確保實體對正確的資源具有適當(dāng)?shù)脑L問權(quán)限。在多云環(huán)境中，用戶需要訪問各類分散的資源。如何確保用戶對正確的資源具有適當(dāng)?shù)脑L問權(quán)限？如何管理他們的權(quán)限？服務(wù)賬號和機(jī)器身份在多云環(huán)境中需要運行單獨的自動化流程，并連接到不同的工作負(fù)載。如何管理這些身份及其權(quán)限？一個良好的云環(huán)境IAMIAM對企業(yè)高管的重要性IAM對于保護(hù)組織的資產(chǎn)和數(shù)據(jù)起著至關(guān)重要的作用。企業(yè)高管應(yīng)該意識到IAM可以有效降低風(fēng)險、促進(jìn)合規(guī)性，并為企業(yè)組織整體安全戰(zhàn)略方面IAM企業(yè)有效地采用云IAM所面對的挑戰(zhàn)身份管理十大挑戰(zhàn)如需進(jìn)一步了解，詳情見我們的推文：“應(yīng)對云身份管理與訪問控制中的十大挑戰(zhàn)”IAM帶來更多商業(yè)機(jī)會IAM是綁定云服務(wù)的粘合劑。一個負(fù)責(zé)任的、經(jīng)過深思熟慮的云IAM戰(zhàn)略打開了巨大的業(yè)務(wù)機(jī)會，并促進(jìn)了對新業(yè)務(wù)需求的更敏捷的響應(yīng)。云IAMIAM項和最佳實踐在云環(huán)境中制定有效的IAM計劃的注意事項和最佳實踐與傳統(tǒng)本地部署環(huán)境有所不同，以下列舉一些重要的考量因素：利用諸如及時檢測（JIT）、特權(quán)訪問管理（PAM）和特權(quán)身份管理（PIM）IAM為了在云環(huán)境中有效實施IAM項目，推薦參考以下最佳實踐：（RBAC）（）了解云環(huán)境中的IAM給安全/IAMIAM價值的提示IAM的業(yè)務(wù)優(yōu)勢，例如改善最終用戶體驗、無縫單點介紹IAM利用數(shù)據(jù)和指標(biāo)來證明IAM介紹IAM對企業(yè)全體員工進(jìn)行培訓(xùn)，確保他們了解IAM項目的重要性以注重企業(yè)內(nèi)部安全防護(hù)文化的培養(yǎng)，鼓勵員工報告任何安全問題。定期向所有利益相關(guān)者匯報IAM結(jié)論總之，與本地部署環(huán)境相比，在云環(huán)境中的進(jìn)行IAM項目管理面臨著獨特挑戰(zhàn)和一些特別注意事項。企業(yè)組織需要明確制定戰(zhàn)略來應(yīng)對這些挑戰(zhàn)，確保企業(yè)資產(chǎn)和數(shù)據(jù)的安全。IAM項目團(tuán)隊?wèi)?yīng)與企業(yè)高管密切合作，探討IAM項目的價值及其在組織整體安全戰(zhàn)略角色中的作用。此外，企業(yè)應(yīng)制定規(guī)范流程以監(jiān)控和驗證身份，并重視管理人類和非人類實體身份所面臨的獨特挑戰(zhàn)。CSA企業(yè)會員案例阿里云應(yīng)用身份服務(wù)IDaaS在某游戲大廠實踐案例某游戲大廠與阿里云應(yīng)用身份服務(wù)IDaaS攜手共建身份認(rèn)證平臺，實現(xiàn)各大工作室人員身份的統(tǒng)一治理以及全球范圍云服務(wù)器的權(quán)限管控，保障企業(yè)海內(nèi)外業(yè)務(wù)高效安全發(fā)展。方案背景某游戲行業(yè)大廠發(fā)行的游戲覆蓋全球市場，有多款TOP級游戲備受玩家青睞。發(fā)展初期，企業(yè)人員不多，工作室數(shù)量也很少，業(yè)務(wù)集中在國內(nèi)。但隨著公司業(yè)務(wù)的高速擴(kuò)展，產(chǎn)品不斷豐富，以及業(yè)務(wù)出海，員工快速擴(kuò)展到2000多人，建立了10余個工作室，在中國，以及美國、韓國、日本、泰國等國家都擴(kuò)展了云服務(wù)資源。公司對于工作室員工以及云服務(wù)資源管理的整體管理變得異常吃力：1、溝通工具五花八門，用戶多個賬戶，使用不便每個工作室內(nèi)部協(xié)同溝通工具五花八門，有企業(yè)微信、飛書、釘釘?shù)龋幢阌泄ぷ魇叶荚谟闷髽I(yè)微信，賬號都是獨立的，數(shù)據(jù)互不相通，員工訪問業(yè)務(wù)應(yīng)用時，需要再注冊新的用戶賬號，相當(dāng)于每個員工都有好幾個賬號。2、權(quán)限開發(fā)管理各自為營，重復(fù)開發(fā)，造成資源浪費公司每個云服務(wù)器都是由當(dāng)?shù)赝獍鼒F(tuán)隊管理的，而每個游戲所在的地區(qū)的服務(wù)器權(quán)限都是由游戲開發(fā)團(tuán)隊開發(fā)，其中涉及到一些相對標(biāo)準(zhǔn)的用戶角色，比如客服類，相同的開發(fā)工作和管理工作需要在不同的團(tuán)隊中重復(fù)進(jìn)行，無法實現(xiàn)資源的合理利用和共享。未來，這家游戲公司工作室還會持續(xù)擴(kuò)增，人員只會越來越多，公司的游戲產(chǎn)品以及出海業(yè)務(wù)搭建的云服務(wù)器也只會更多。當(dāng)下企業(yè)面臨的用戶身份數(shù)據(jù)、以及海外外包團(tuán)隊訪問云服務(wù)器的權(quán)限管理問題若不解決，未來將會更棘手，被拖住的不僅是業(yè)務(wù)增長速度，還會引發(fā)安全問題。建設(shè)方案阿里云IDaaS具體實施方案如下：1、建設(shè)身份中心，統(tǒng)管來源各異的身份數(shù)據(jù)阿里云IDaaS通過搭建統(tǒng)一身份認(rèn)證平臺，上游對接游戲公司的各大工作室的各類溝通工具的身份數(shù)據(jù)，如企微、飛書、釘釘?shù)?，下游對接公司的各類?yīng)用工具。通過身份數(shù)據(jù)的打通，工作室的員工可以用原有的溝通平臺賬號直接登錄公司的各類應(yīng)用，如jira、AD、gitlab、知識庫等，極大地簡化了員工的操作流程，以及提高了工作效率。同時，阿里云IDaaS提供用戶身份的自動同步更新，如各大工作室的釘釘中有員工賬號信息發(fā)生變更（如入職、調(diào)崗、離崗等），