IAM在云环境下新的挑战

身份与访问管理工作组网址是：https://cloudsecurityalliance.org/research/working-groups/identity-and-access-management @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)本文商标、版权或其他声明不得删除。请在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有2 ©2023云安全联盟大中华区版权所有3 致谢 《IAM在云环境下新的挑战（WhatIsIdentity&AccessManagement(IAM)ForTheCloud?）》由CSA工作组专家编写，CSA大中华区IAM工作组组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组长：于继万翻译组： 崔崟王亮张彬鹿淑煜吕波审校组： 戴立伟谢琴研究协调员： 蒋妤希 感谢以下单位的支持与贡献： 北京启明星辰信息安全技术有限公司奇安信网神信息技术（北京）股份有限公司北京天融信网络安全技术有限公司深圳竹云科技有限公司 上海物盾信息科技有限公司安易科技（北京）有限公司华为技术有限公司三未信安科技股份有限公司阿里云计算有限公司 英文版本编写专家 主要作者： RaviErukullaRameshGuptaShrutiKulkarniAlonNachmany 贡献者： FayeDixonJonathanFlackPaulMezzeraAnsumanMishraVenkatRaghavanHeinrichSmitDavidStrommer 审校者： SamuelAddington RadhikaBajpaiShannonChisenga IvanDjordjevic ShamikKackerShamikKackerAdnanRafiqueMichaelRozaNishanthSingarapu CSA员工： RyanGiffordStephenLumpe 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 目录 致谢4 序言7 摘要8 引言10 云环境与本地部署IAM的差异11 IAM溯源分析12 IAM的发展趋势13 云环境的IAM13 多云/混合环境IAM解决方案的重要性与日俱增14 IAM对企业高管的重要性14 企业有效地采用云IAM所面对的挑战15 身份管理十大挑战15 云IAM带来更多商业机会16 在云环境中制定有效的IAM计划的注意事项和最佳实践17 给安全/IAM领导和从业者关于沟通IAM价值的提示19 结论20 CSA企业会员案例21 阿里云应用身份服务IDaaS在某游戏大厂实践案例21 序言 在过去的几年里，全球事件加速了许多企业的数字化转型，陆续将业务迁移到云端成为了流行。目前大多数企业IT采用本地、云端或并行机制，在这样的状态下，提高可见性，安全性和保护数据的需求尤为重要，企业管理者发现在云中管理身份是一个首要问题，因为他们可能面临多个云服务提供商，业务跨多个节点，很容易形成身份孤岛从而增加风险暴露面。 身份管理与访问控制(IAM)是一个业务流程、策略和技术框架，使企业可以更轻松地管理数字身份。IAM能够控制用户对其公司关键信息的访问，如今，组成IAM环境的许多组件（例如认证、授权、身份生命周期管理和特权访问）可以进行切片，以便企业可以选择在云中运行效率更高、更具成本效益的功能并保留必要的安全机制。基于云的IAM将成为企业上云进行网络防御、风险管理和数据保护能力的顶级安全安全实践。 本篇文献通过介绍影响IAM的云环境与本地环境之间的差异和过去解决方式的回顾，总结出目前IAM发展的趋势和在云环境中IAM面临的重要挑战，提出了针对云环境的有效的IAM最佳实践，用于帮助IAM在企业数字化转型中进行有效推动，从而加速数字经济，降低运营成本。 李雨航YaleLiCSA大中华区主席兼研究院院长 摘要 身份管理与访问控制（IdentityandAccessManagement，IAM）并非一种新的解决方案。IAM工具和实践用于保护字（有时甚至是物理）资源，并满足法规/合规要求。 IAM最初是一种通用的机制，通过对被授权的身份或身份组赋予权限来限制和控制对组织资源的访问。它最初的目标是验证权限，并且访问（控制）是完全基于对用户名和口令的判断，再加上直接在受访资源上分配的组成员身份或权限。这一模型后来演变为集中化的IAM，而访问决策集中在一个权威机构上，如：服务、服务器或身份基础设施。多年来，威胁形势发生了重大变化，IAM现今已成为任何数字访问模型的关键组成部分。随着用户、资源和系统这些（IAM核心）性质发生变化，IAM已经发展到使用不断增加的可见性、粒度和控制。例如：基于角色（RBAC）、属性（ABAC）或其他自适应（或启发式）的访问控制已经添加了分布式或基于事务的访问（控制能力）。随着多因素身份验证、通行密钥 （passkeys）和数字证书的加入，身份验证工具和技术不断发展，并极大的增强了IAM的能力。 如今，IAM已经远不仅是作为保护资源或者满足合规性的手段。随着全面云化、数字化以及由于COVID带来的远程和混合工作模式等发展趋势，IAM已经成为一个业务的推动者，通常是网络安全的第一道防线。IAM是组织零信任之旅的第一阶段，也往往是董事会级别的举措。随着云转型和云优先在组织的推动， IAM的需求和实践也必须相应的发展，以保持与云环境新动态的同步。基于本地环境的传统IAM实践并不适用于云环境，因为云环境引入了更加短暂、敏捷、并且突破企业边界的访问。但是，并非所有的IAM团队或从业者都了解并且遵循IAM在云环境中的最佳实践，这使得IAM在云环境中的价值不佳，成本增高，并影响了满意度。 本文旨在提供以下内容的概述： ●云环境与本地环境的差异对IAM的影响 ●影响IAM的因素，IAM为解决这些问题而进行的改进，以及它将如何在未来进一步发展 ●IAM在云环境中与日俱增的重要性 ●组织在云环境中有效应用IAM时面临的挑战 ●在云环境下部署有成效的IAM项目时需要考虑的因素与最佳实践 ●为安全/IAM领导者和从业者沟通IAM价值的提示 引言 对于任何组织的技术栈和安全基础设施而言，身份管理与访问控制（IAM）都是其关键的组成部分，特别是在云环境中。本文档的主要受众是IAM项目负责人和安全运营团队，然后是首席信息安全官（CISO）和高层领导。本文档的目的是介绍在云环境下管理IAM所涉及的挑战和注意事项，以及IAM对组织整体安全战略的重要性。 云环境与本地部署IAM的差异 所有权是企业使用云交付IAM解决方案与管理私有化部署的IAM解决方案之间的一个根本区别。当一个组织在内部环境部署IAM解决方案时，该组织拥有一切，包括软件许可证和用户管理；与IAM解决方案相关的持续资本支出的责任，例如硬件（例如，服务器购买）、功耗和物理空间；以及支持内部管理的IAM解决方案的基础设施所需的所有其他支出。客户利用云服务提供商(CSP)的IAM构建的应用程序，则使用订阅模式，并遵循共享责任模型。 使用基于云的IAM解决方案与部署IAM私有化解决方案之间的另一个基本区别是控制。在私有化部署中，组织管理IAM的各个方面，包括漏洞管理、修补、渗透测试等。当组织从云服务提供商（CSP）采购基础设施即服务（IaaS）等服务时，该组织则不需要考虑漏洞管理、补丁等因素，因为“云安全”的这些方面由CSP负责。 使用云IAM更大的挑战和复杂性是由组织采购的云环境的激增（译者注：比如多云环境）。当一个组织运行多个基础设施即服务（IaaS）环境、平台即服务（PaaS）采购和软件即服务（SaaS）时，IAM变得复杂而富有挑战性。在每个环境中提供身份可能很简单，但访问控制审查和身份撤销可能并不简单，这可能导致离职者依然具有这些环境的访问权。 IAM溯源分析 如前所述，IAM不是一个新的解决方案。自大型机时代以来，它就一直存在，但在客户机/服务器时代，它变得更加重要，当时的应用程序变得更加分散，并包含了它们的身份烟囱。每个用户和权限都不得不在各个应用中管理，这导致了访问这些应用程序所需用户身份和口令数量的激增。 目录服务旨在通过提供集中的用户存储库以及一种称为轻量级目录访问协议（LDAP）的访问协议来解决这个问题。目录服务实现了跨多个平台（包括操作系统、数据库和web服务器）的相同登录。在此期间，Microsoft的ActiveDirectory成为管理计算机的公司标准，提供了管理用户、组和访问策略的体系结构。在互联网的早期，多个凭据和登录的问题比较严重，因此开发了单点登录（SSO）来促进跨组织应用程序的用户身份验证和授权，在大多数情况下利用LDAP目录作为身份存储。 此外，管理用户生命周期管理和访问策略的问题主要是通过定制的应用程序实现的，这些应用程序最终成为产品化的用户供应和管理解决方案。还需要治理功能来满足监管要求，并最终与身份管理和供应解决方案融合，成为现在所称的身份治理和管理（IGA）解决方案。在过去的十年里，这些解决方案作为云解决方案提供，利用了云的所有好处，包括维护IAM平台，在许多情况下，IAM平台需要专门的资源来维护。为了进一步简化IAM的使用案例和部署，并减少与实施多种解决方案相关的成本和负担，解决方案正在融合，以提供IAM解决方案的组合，如身份治理和管理 （IGA）、特权访问管理（PAM）以及客户身份管理与访问控制（CIAM）。 IAM的发展趋势 数据经济时代，企业组织向混合办公和远程办公模式的转变，进一步加速了云解决方案的普及以及数字化转型的深入，许多组织在选择应用和安全解决方案时，积极采用“云优先”的战略。此外，在云平台实施IAM解决方案以管理用户与权限，IAM解决方案针对每个平台都是独特的。云上IAM引入了一整套云特有的原生身份参与者，例如机器身份、服务账号、工作负载身份和人员身份等。主要趋势包括: ●采用去中心化的身份模型：区块链和自主身份模型成为主流，用户能够掌控自己的身份数据，提供了一种替代传统身份供应商的解决方案。 ●即时和基于风险的访问控制：越来越多的企业组织仅在需要时提供访问权限，并非授予广泛、长期有效的权限。此外，访问决策可能基于用户的风险级别和所请求访问的资源来进行判定。 许多组织努力争取对其用户和权限有正确的可见性和管理。这些服务通常分布在多个云平台，除了管理云服务之外，它还实现了一套通常由DevOps工具实例化的更短暂的工作负载。IAM解决方案必须包括管理跨云服务的访问，如容器、无服务器基础设施、DevOps和CI/CD工具，这些都需要访问策略才能运行。 云环境的IAM 与本地环境相比,在云中管理IAM存在独特的挑战,包括易变性和更快的增 长、对敏捷性的需求以及与合规性和其他问题相关的不同风险。一个关键的区别是云环境中API的使用量增加，而不是经常在本地环境中使用的基于组策略的方法。这些在技术和方法上的差异需要思维方式的转变和企业内部实践对云计算的适应。 多云/混合环境IAM解决方案的重要性与日俱增 云技术为企业带来了众多优势，例如按需付费、快速部署、短期运营以及长效投资、在几分钟内弹性伸缩资源等。由于这些优势，在过去几年中，我们看到了云在企业和个人应用的巨大增长。在迁移到云的过程中，企业仍然在采用混合模型（部分本地，部分上云），甚至采用多云策略来充分利用以实施最佳解决方案。 随着资源迁移到云上，无论是人还是非人实体，都需要在任何时间、任何地点，并具备适当的权限，经过身份认证和授权才能访问这些资源。与此同