随着云迁移和数字化转型继续加速,企业对许多新的身份挑战尚未做好准备:
- 多云环境激增,每个环境都有自己的身份解决方案
- 旧版系统十分复杂
- 形成支离破碎的身份孤岛
- 用户体验和安全性控制不一致
- 缺乏对整个身份环境的用户行为的实时可见性
1. 什么是Identity Fabric(身份编排)?
为了寻求简化访问管理流程并增强访问治理和合规性的身份和访问,拥有身份编排治理正成为实现这一目标的首选方式。在这篇文章中,我将解释什么是身份编排,揭示实施身份编排的好处,并探讨如何成功部署。
身份编排是企业级的身份和访问管理 (IAM)基础设施,是企业 IAM 基础架构的演进,包括用于构建混合和多云环境的模块化IAM工具,支持治理任何人类或机器身份,提供身份分析,支持自适应、持续的风险感知和弹性访问控制,并支持基于标准的身份管理协议集成。
Gartner认为身份编排是IAM基础设施的演进,具有独特的特征。,IAM 基础设施必须满足一组最低要求才能成为身份编排。
2. Identity Fabric(身份编排)的特点是什么?
随着技术组合的扩大和身份管理复杂性的增加,了解为什么越来越多的企业希望使用 身份编排来遵守法规和行业标准至关重要。企业需要制定新战略来超越其传统身份治理和管理 (IGA)系统,以控制运营成本和安全风险,而不会妨碍业务增长。身份编排提供了一种解决方案,既可以保留宝贵的资源,又可以使企业更加专注于关键的战略重点。
身份编排使任何企业能够将身份治理扩展到任何应用程序,包括第三方应用程序和移动设备,从而在本地、混合云和 SaaS 部署的不同环境中提供无缝、无摩擦的用户体验。
2.1. 身份编排必须具备的特征
要被视为身份编排,IAM 基础设施应该反映以下 10 条身份编排原则:
- 管控身份范围——任何人或机器
- 网络部署架构——集中控制部署和分散部署都支持
- 架构——结构合理、精心策划、以旅程为导向
- 安全性——自适应、连续、风险意识和弹性
- 标准——普及
- 连接性——基于事件的集成
- 变化 — 持续且自动化
- 威胁检测与响应——规范和补救
- 隐私 — 为所有人
- 可视化——持续
具体来说,IAM 基础设施必须:
- 为范围内的每个人和机器提供基本的 IAM 服务,包括管理、身份验证、授权、审计和分析。传统的IAM基础设施通常为某些群体提供完整功能,而对其他群体仅提供基本功能。
- 跨系统以近乎实时的方式管理和共享信息和上下文。这是支持身份优先安全自适应、风险感知和持续认证授权的基本功能。大多数传统IAM基础设施都缺乏此功能,或者仅以一家或几家供应商专有的孤立方式支持此功能。
- 在每个会话中,使用共享信号和上下文支持连续自适应访问。此外,支持用户生命周期内多个交互的连续性,以便一个会话中的自适应访问决策可以根据之前会话期间积累的数据来制定。
- 支持从入职到访问再到离职的整个生命周期中管理和运行时 IAM 功能之间的协调和连续性。单个 IAM 工具往往只提供管理或运行时功能,这种界限阻碍了动态上下文信息的持续交换。
- 具有最低程度的可组合性,表现为交换各个部分的可能性(临时交换以支持某个特定的用户旅程,或永久交换),同时保持身份编排的功能完整。尽可能利用身份标准来集成,如果没有标准实现,则采用基于 API 的策略性集成。
身份编排是一种特殊类型的可组合 IAM 架构,而不是“产品”或供应商 IAM 的套件。此外,现有的 IAM 基础设施不是身份编排,除非它是根据此定义中概述的原则构建的。
3. Identity Fabric(身份编排)如何工作?
身份编排为企业提供了一个采用模块化方法管理 IAM 的架构,通过轻松连接和配置各种应用程序,最大限度地减少工作量,消除自定义需求,并使用最佳的身份治理解决方案来管理IAM。此外,它通过双向上下文交换统一了安全领域的信息,以增强对风险和合规性的可见性。这种方法确保全面了解身份环境,从而实现有效的风险管理。
身份编排的元素包括:
功能—身份编排对外开放的功能,包括应用程序和其他网络安全工具使用的服务。这些是身份编排的实际交互点,通常使用现代身份协议进行访问。这些功能被描述为围绕工具网格的“电子”,形成“核心”。用户和服务只能看到对外开放的功能,而看不到核心中的工具。
交织在一起的工具—核心中的工具尽管隐藏起来,但它是提供多种功能和特性的独立 IAM 工具。交织在一起的工具构成了一个可组合的 IAM系统,为企业的混合云和多云环境提供身份识别功能。这些工具被描绘成六边形,在核内形成“核子”。
4. Identity Fabric(身份编排)的组件有那些?
有四个基本组成部分:
- 无处不在的治理。将身份治理扩展到任何应用程序,包括第三方应用程序和移动设备,以获得无摩擦的体验。
- 无缝连接。一个可配置的框架,将最佳的身份治理与广泛的应用程序连接起来,无需编码即可适应混合云和多云环境。
- 增强安全性。与支持分布式多云身份治理的模块化IAM工具集成,可大幅降低数据泄露的风险。
- 智能自动化。机器学习和人工智能支持更快的人类决策,并自动执行身份验证和授权等重复过程。
4.1. 身份编排如何在多个IAM之间管理和共享上下文和其他数据
身份数据(用户属性和权利,以及上下文数据和其他属性)在多个地方生成、存储和管理,许多身份流程都依赖于它。作为用户旅程时间编排的一部分,在多个工具(IAM 和相邻工具)之间共享数据可以增强安全性并最大限度地减少用户的摩擦。身份编排还可以促进 IAM 与其他安全工具和技术之间的协作,以支持常见用例。身份编排可以支持多个IAM协作需要数据交换和编排。
扩展企业在以下领域的能力,以促进身份编排的身份数据交换:
- 能够快速、大规模地存储、查询、分析、交换和同步身份数据。
- 数据策略(例如虚拟目录服务)使得传输或查找可能来自其他地方的数据成为可能。
- 基于身份事件的触发,用于共享安全事件、传输身份属性和授权的变化,以减轻违规行为的发生,并在分散环境中启动身份安全政策的实施。
4.2. 身份编排如何实现持续访问控制和可视化
应用程序和 IAM 基础架构需要持续的可视性、控制和会话管理。现有的 IAM 基础架构使用多种类型的集成模式,但常见的一种模式是基于批量数据处理。将交互和集成方法转换为事件驱动方法可支持需要持续控制的用例类型。
身份编排必须能够支持需要持续可视性和控制的用例,例如:
- 即时访问或零权限以实现零信任策略。例如,用户只能在完成特定任务所需的时间内访问一组有限的特定资产。为了支持此用例,身份编排需要近乎实时地设置和取消访问权限,以配合特定任务的执行——而不是事后数小时甚至数天才执行设置或取消授权。
- 持续会话管理始终需要在会话建立后持续评估外部事件。这些事件可以是风险或信任/识别信号,经过评估后可做出适当的决策和响应。例如,依赖单点登录的 SaaS 应用程序需要与第三方工具(如 IAM、端点或安全工具)持续交换事件,以便能够中断用户流并强制进行多次强身份验证,甚至在需要时终止会话。
OpenID 基金会的共享信号框架工作组(Shared Signals Framework,SSF)是一项以更开放的方式支持第二范式的举措,该工作组已发布多项规范,例如风险事件共享和协调 (RISC) 和持续访问评估配置 (CAEP) 。非标准方法可以使用代理请求到 Web 应用程序的功能和/或云访问安全代理 (CASB) 的功能,并支持每个 SaaS 应用程序,以帮助管理使用 API 的操作并在用户身份验证后提供控制。
身份编排必须具有以标准化方式解决此类用例的能力。
可视化可以实现访问控制、敏捷性和增强的弹性。持续发现帐户和权限需要使用多种工具来支持对范围内所有人员和机器的全面可视化。只有紧密编织的身份编排(即与这些工具紧密集成的身份编排)才能将其可见性扩展到分散的环境中。例如,一些企业可能会将 IGA、云基础设施权限管理、机密发现、特权帐户管理和策略管理工具集成在一起,以实现持续的可视化和访问控制。
4.3. 身份编排如何支持跨域的一致性
IAM 的主要目的一直是确保正确的用户(无论是人类还是机器)在正确的时间出于正确的原因获得对正确资源的正确访问权限。
绝大多数应用程序和基础设施都使用嵌入式、孤立的授权功能。这些功能采用专有授权机制和策略的形式,也可从外部设置的能力(如API)。结果就是管理起来很困难,尤其是在应用程序数量增加的情况下。
身份编排可以通过转向集中治理和分散执行的CeDeSec模式来应对这一挑战。它根据各个企业的需求,按复杂度和精细度顺序提供以下三种功能中的一种或多种:
- 使用 IGA 功能确保这些应用程序用于做出授权决策的数据在整个企业中是一致的。这通常意味着角色和权限的管理。这是大多数传统 IAM 架构的最新技术,常用的比如RBAC、ABAC权限模型。
- 通过将通用策略模型映射并转换成应用程序的专有策略格式,通过策略编排确保专有策略的一致性。
- 为那些可以支持外部授权管理 (EAM) 的应用程序创建策略决策点 (PDP)。PDP 决策将由专有策略执行点 (PEP) 使用。
因此,身份编排最终将能够为支持外部化访问控制决策的应用程序做出访问控制决策。对于不支持外部化的应用程序,它将使用传统的授权管理,或协调其他安全工具之间的策略更改,以确保策略的一致性,并通过持续的策略生命周期管理根据需要调整态势。
身份编排需要能够在更多领域应用CeDeSec 模式,例如策略管理、机密管理以及单个企业内的多个租户,所有这些都需要使用多种工具,并且基本需要一致的控制。这是对已经建立的用例的补充,例如集中式生命周期管理、单点登录和集中式证书管理。
对于大多数企业而言,无论规模大小,多云计算都是不可避免的。单个云平台或单个供应商内的各个租户使用需要集成的本地应用、专业和优化的云原生工具。原生工具在其自己的平台上提供最佳支持,为工作负载、生命周期管理和原生策略语言提供自动身份发布。企业必须建立多云 IAM 架构,并将重点从传统策略(强制集中发布和使用身份)转移到对更多工具的集中治理和控制。
5. Identity Fabric(身份编排)有哪些好处,解决那些问题?
为了降低传统运营成本并提高运营效率的 IT 基础设施,身份编排可带来大量直接优势。在引入新应用程序和身份时,身份和访问管理员可以部署身份编排解决方案,以更轻松地实现采用和运营变更,同时保持基础设施和运营的连续性。这可确保整个企业的项目成功执行。
5.1. 优化技术架构
5.1.1. 简化访问管理流程
身份编排通过集中身份相关数据和流程来简化访问管理。这使得访问控制和基于风险的身份验证等功能在整个企业中更容易、更快速地执行。显著减少手动工作量,并全面提高效率。
1. 用户身份验证方面
- 单点登录(SSO)集成
身份编排能够整合多个身份验证源,实现单点登录。用户只需一次登录,就可以访问多个相关的应用系统和资源,无需在不同系统中重复输入用户名和密码。例如,在一个企业环境中,员工可以通过一次身份验证访问办公软件、邮件系统、内部数据库等不同的业务系统,减少了登录操作的繁琐性。
- 多因素身份验证(MFA)协调
它可以将多种身份验证因素(如密码、指纹、令牌等)进行编排,根据不同的安全级别和使用场景自动应用合适的 MFA 方式。比如,对于访问敏感数据的操作,自动触发指纹识别和一次性密码验证,提高了安全性的同时,也为用户提供了相对灵活的验证体验。
2. 权限分配方面
- 基于角色的访问控制(RBAC)自动化
身份编排可以根据预定义的角色和规则,自动为用户分配权限。当用户的角色发生变化时(如职位晋升或部门调动),系统可以自动调整其在各个系统中的访问权限,避免了手动逐个系统修改权限的复杂操作。例如,一个员工从销售部门调到市场部门,身份编排系统可以自动撤销其在销售相关系统中的部分权限,并赋予其市场部门所需的资源访问权限。
- 动态权限调整
根据用户行为、时间、地点等多种因素动态调整权限。例如,当用户在公司内部网络环境下,可以拥有更广泛的资源访问权限;而当用户在外部网络环境下,系统会自动限制对某些敏感资源的访问,实现了权限管理的动态性和精细化。
3. 资源访问流程方面
- 工作流自动化
对于复杂的访问请求流程,如申请访问高安全级别的资源,身份编排可以通过工作流自动化来简化流程。它可以自动将访问请求路由到相应的审批人,跟踪审批进度,并在审批通过后自动配置访问权限,提高了资源访问的效率。例如,一个员工需要访问特定的项目数据,身份编排系统可以自动生成访问请求,发送给项目经理进行审批,审批完成后自动开通数据访问权限。
- 资源发现与访问映射
帮助用户快速发现他们有权访问的资源,并提供清晰的访问路径。通过身份编排,用户在一个统一的界面中就能看到所有可访问的资源,点击相应的资源链接即可直接访问,无需了解资源所在的具体系统和位置信息,简化了用户获取资源的过程。
5.1.2. 提高自动化和编排能力
这些底层功能是结构的一部分,可以实现不同产品和技术之间的更好协同作用。
1. 用户身份管理方面
- 自动化用户 provisioning 和 deprovisioning
身份编排可以与人力资源系统等数据源集成,当新员工入职时,自动在各个相关系统中创建用户账号,并根据预设的角色和权限模板分配权限。例如,当新员工加入公司后,身份编排系统能自动在邮件系统、办公软件系统、内部业务系统等多个系统中同步创建账号,并赋予其所在岗位对应的初始权限,避免了手动逐个系统操作的繁琐过程。当员工离职时,系统会自动撤销其在所有系统中的账号和权限,确保安全。
- 自动化身份验证流程
通过采用先进的身份验证技术和算法,实现身份验证过程的自动化。比如,对于基于生物特征的身份验证(如指纹识别、面部识别),系统可以自动采集、比对和验证用户的生物特征信息,无需人工干预。在一些场景中,如门禁系统,用户只需将手指放在指纹识别器上,系统就能快速自动完成身份验证并决定是否开门。
2. 权限管理方面
- 基于策略的权限自动分配
利用基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)策略,实现权限的自动化分配。例如,在一个企业中,可以定义 “财务人员” 角色具有访问财务系统特定模块的权限,当员工被分配到 “财务人员” 角色时,身份编排系统会自动根据该角色的权限策略,在财务系统中为其配置相应的权限。对于 ABAC,根据用户的属性(如部门、职位、项目组等)自动调整权限,如项目组成员在项目进行期间自动获得项目相关资源的访问权