在网络安全中,身份管理和访问控制(IAM)在对于访问对象的管理和信息传递的联系中起着至关重要的作用。身份管理与访问控制不仅要管理身份信息错误风险,还要保障在存储、处理乃至其他环节的机密性、完整性以及可用性。
根据CybersecurityVentures预测,到2021年,网络犯罪造成的损失将从2015年的3万亿美元增加到每年6万亿美元。除外部攻击外,内部人员的“参与”将进一步增加事件发生的可能性和影响程度,如赋予员工或承包商超过其职责所需的访问权限时,容易产生敏感数据泄露的风险。正因如此,组织对于身份的识别和管理控制的重视程度连年提升。一套健全的身份管理和访问控制体系是利用保障组织中用户访问策略以提升企业对于信息资产保护、解决组织内管理身份权限的需要,包括组织应对国内外合规等各类网络安全需求。
该领域国内市场活跃性的增高,尤其是政府部门、金融业、银行业等较为显著,因为我国的信息化建设发展到一定阶段,存有稳健增长发展的基础,国内企业和组织重视信息系统的建设吗,所以该领域得以顺应发展。其二,不论是欧盟GDPR,或是网络安全等级保护2.0标准体系的颁布,无不推动了身份管理与访问控制行业的发展。
本报告主要探讨和研究国内身份管理与访问控制的发展情况,分析国内企业和组织的需求,推进该领域的落地实施和高效发展,提出组织在实施中的难点和常见解决方案。
常见的身份管理和访问控制的安全挑战,大多因为数据位于不同的位置和业务部门,因此组织难以审查身份、批准访问请求。访问权限寻求的过程中所遇到的一定程度上的阻碍,导致请求者跨越适当审核过程直接上报给高层管理人员。负责审核的人员对于请求发起者和申请访问内容缺乏洞察力,无法准确定位哪些员工需要访问机密数据。
组织机构中身份管理与访问控制的常见问题有:
1)各应用系统账号管理分散,缺少统一的管理机制;
2)共用账号、无主账号现象大量存在,无法定位责任人;
4)采用传统的账号与口令认证方式,安全强度低;
6)无法满足企业进行集中身份与访问过程记录与审计需要。
然而,在组织中由于特权身份管理带来的挑战有:
1)管理帐户凭据:许多IT组织依靠人工密集型且易于出错的管理流程来轮换和更新特权凭据。这可能是一种低效且昂贵的方法。
2)跟踪特权活动:许多企业无法集中监视和控制特权会话,从而使企业面临网络安全威胁和合规性违规行为。
3)监视和分析威胁:许多组织缺乏全面的威胁分析工具,无法主动识别可疑活动并补救安全事件。
4)控制特权用户访问:组织经常难以有效地控制特权用户对云平台(基础架构即服务和平台即服务)、软件即服务(SaaS)应用程序、社交媒体等的访问,从而造成合规性风险和运营复杂性。
1)账户无分类:内部用户、外包用户、应用账号、公共账号、系统账号等分级机制没有建立,无法统一进行管控;用户无统一账号,分散账号体系,用户体验较差。
4)密码无管理:不同系统的密码管理机制不相同;没有统一的密码标准;没有弱密码检测机制。
6)定期审阅机制欠缺部门领导不会定期审阅下属员工权限;应用管理员不会定期审阅使用者权限;内部管理人员不会定期审阅外包人员权限;应用离职账号及弱密码无法自动审阅及告警,无法满足银保监定期审查要求。
随着该客户业务的迅速发展,各种系统资源和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,对系统之间的整合提出了更高的要求。对于各部门的运维帐号权限现状无从得知,管理策略和标准也无法统一,造成了运维帐号权限管理能力参差不齐,策略、流程不统一,没有统一的运维视图,全景境况模糊不清,存在安全死角和风险不容易发现的混乱现象。原有的运维帐号权限管理措施已不能满足山东广电目前及未来信息化系统发展的要求。
现将参与本次调研的网络安全企业身份管理与访问控制的产品形态归纳总结如下:
用户身份管理:
账号管理则是将自然人与其拥有的所有系统账号关联,集中进行管理,包括按照密码策略自动更改密码,不同系统间的账号同步等。
特权账户管理(PAM):
人是最薄弱的一环。从内部特权用户滥用其访问级别,到外部网络攻击者瞄准并窃取用户特权以作为“特权内部人员”进行隐匿操作,人类始终是网络安全链中最薄弱的环节。特权访问管理可帮助组织确保人们仅获得进行工作所需的访问级别。PAM还使安全团队能够识别与特权滥用有关的恶意活动,并迅速采取措施来补救风险。
在数字业务中,特权无处不在。系统必须能够相互访问和通信才能共同工作。随着组织采用云、DevOps、机器人流程自动化、IoT等技术,需要特权访问的机器和应用程序数量激增,攻击面也越来越大。这些非人类实体的数量远远超过典型组织中的人数,并且更难监控和管理,甚至根本无法识别。现成的商用(COTS)应用程序通常需要访问网络的各个部分,可能被攻击者所利用。强大的特权访问管理策略可在存在特权的本地、云或混合环境中处理它们,并在发生异常活动时进行检测。
网络攻击者将端点和工作站作为目标。在企业中,默认情况下,每个端点(笔记本电脑、智能手机、平板电脑、台式机、服务器等)都包含特权。内置的管理员帐户使IT团队可以在本地解决问题,但也会带来巨大的风险。攻击者可以利用管理员帐户,然后从一个工作站跳到另一个工作站窃取其他凭据、提升特权,并通过网络横向移动,直到到达所需的位置。积极主动的PAM计划应考虑完全删除工作站上的本地管理权限,以降低风险。
特权访问特指超出标准用户访问权限等特殊访问情况,特权访问能够有效保护基础设施和应用程序,有效维持业务运营并保护敏感信息不受侵害。组织实施PAM以防止凭据盗用和特权滥用所造成的威胁。PAM是指由人员、流程和技术组成的综合网络安全策略,用于控制、监视、保护和审核整个企业IT环境中所有特权身份和活动。PAM有时被称为特权身份管理或特权访问安全,其以最小权限原则为基础,即用户仅获得执行其工作职能所需的最低访问级别。最小权限原则被广泛认为是网络安全的最佳实践,并且是保护对高价值数据和资产的特权访问的基本步骤。通过执行最小权限原则,组织可以减少攻击面并降低恶意内部人士或外部网络攻击可能导致代价高昂的数据泄露的风险。
目前,市场上安全企业常见特权访问管理实施解决方案有:1)保护和控制基础架构帐户。将所有众所周知的基础架构帐户都放在一个集中管理的数字保管库中,并在每次使用后定期自动轮换密码。2)限制身份的横向访问行为3)管理更新SSH密钥。保持存储在服务器上的SSH密钥定期更换4)对于云端/组织内部定期轮换、检索管理特权账户、密钥和API密钥。
认证管理:
身份认证是信息安全的第一道防线,用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。身份认证的方式可以有多种,包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。
统一认证功能主要包括:1)多平台认证2)身份认证服务插件或SDK体系3)分级安全策略4)多因子认证4)多种认证方式兼容的认证方式
用户身份鉴别:
在公钥密码中,发送者用公钥加密,接受者用私钥解密。公钥一般为公开的,不必担心受到监听,解决了对称密码中密钥配送的问题。但接收者仍然无法判断公钥的合法性,无法排出中间人假冒以发起攻击。于是,需要对公钥进行签名,从而确认公钥有无被篡改。加了数字签名的公钥称为证书。PKI中的认证是一种具有一定权威性的证明身份过程。
——以下方案顺序随机排序,不分先后
亚信安全——国务院下正属部级单位:
以身份为核心的认证服务
应用管理
实名核验
以用户行为核心的安全审计
安全审计是重要的环节。在系统中对以下审计做重点支持。
重要场景的增强认证
数据安全与隐私保护
亚信安全在本次项目建设中着重在系统安全、应用安全与数据安全方面,尤其是隐私数据保护等方面进行了详细设计和实现。
用户受益:
派拉软件——某核电集团
2.入转调离-全生命周期账号管理
1)员工入职-账号开通
在HR系统中录入人员信息后,统一身份认证与任务集中处理平台可自动为该员工开通平台账号,根据开通策略,部分通用业务系统账号自动开通,并可在系统中自动同步组织人员信息,无需多系统重复操作;
2)员工调/转岗-账号变更
正式员工调动必须由HR在系统中进行调整,至相应系统IT管理员进行相应权限开通关闭操作,权限调整响应及时;
3)员工离职/退休-账号清权
员工离开工作岗位后,管理员通过统一身份认证与任务集中处理平台可一键停用账号,并对该账号所关联的所有系统进行清权操作,无需多系统后台重复清权,有效规避离职员工的账号风险;
1)用户权限查询
统一身份认证与任务集中处理平台通过ESB调用下游应用系统的权限接口服务,用户或管理员可在统一身份认证与任务集中处理平台中查询自己具体的应用权限。
2)用户权限申请
4)一点清权
由于采用了集中的管控方式,当用户离职时,管理员可以通过一点对用户在所有业务系统中的账号进行删除,实现“一点清权”,防止孤儿账号的存在,保证了系统的安全性。
在实现用户集中管理时,统一用户管理系统通过已有的适配器与用户数据进行连接,并实现用户的增加、修改、删除和回收等操作。
用户价值:建立标准规范,统一任务管理,提升业务效率
1)“身份主数据”,标准化规范化
数据同步有详细的日志记录,便于查看同步情况。当同步出错时,发出短信/邮件给管理员,提醒管路员手动处理。
2)“个人工作台”,一站式业务开展
统一身份认证与任务集中处理平台通过ESB企业服务总线实现了超强数据集成能力,通过统一身份认证与任务集中处理平台,用户无需切换应用系统,便可查看账号信息、发起业务流程、处理待办事宜、查看邮件、查看日程安排、接收通知公告等。用户也可根据自己的使用习惯,自由配置常用菜单、应用等页面。
3)“我的待办”,多系统待办消息整合展现
统一身份认证与任务集中处理平台平台全面集成下游应用系统,整合同步各系统中待办信息,形成统一的待办中心。用户可通过统一身份认证与任务集中处理平台集中处理待办事宜,同时各系统新的待办提醒也可直接推送至统一身份认证与任务集中处理平台平台。重要待办不遗漏,业务处理效率大幅提升!
4)“远程办公”,零信任防护身份和安全
先认证后连接,永不信任持续验证。远程办公的用户先通过VPN进行用户认证后连接内网后才能访问统一身份认证与任务集中处理平台,从统一身份认证与任务集中处理平台再访问下游系统,实时的重复校验用户身份和安全状态,融入多因子强认证对于风险用户进行多次认证后才能持续访问下游资源系统。
竹云科技——某大型央企案例
统一身份管理
建立统一身份管理平台,为集团内部员工、外包用户、外部用户等不同维度用户提供集中用户身份存储、集中用户管理、身份信息同步、统一密码策略、员工自服务等功能,实现集团统一用户、统一账号的全生命周期管理。同时梳理集团内外用户的身份管理流程,落地符合集团业务需求的统一身份管理能力。
智能融合认证
统一权限管理
智能风险控制
提供统一用户范围内的用户,账号,权限以及用户访问行为的统计和分析能力。实现基于动态策略的用户访问过程的预警及控制能力。
规范建立与应用接入
客户收益:
宁盾——某客户身份管理解决方案:
架构中各组件之间相互支撑协作:
LDAPServer/DB数据库:是整个方案的身份信息数据中心,作为账号源负责账号的统一存储(如AD、IBMTDS等),为DKEYAM提供用户身份数据源并提供同步服务。
权限管理:统一权限管理分为三个等级。一级权限管理仅实现对用户的粗粒度控制,即用户是否具有访问某应用的权限,形成用户在Portal门户的应用列表。二级权限管理基于RBAC模型(基于角色的访问控制Role-BasedAccessControl),身份管理系统通过向各业务系统返回用户角色,角色与权限匹配,实现中粒度权限。三级权限管理需要梳理各业务系统建立统一的权限管理策略标准,并将权限粒度精确到对象,实现细粒度权限。越高级别的权限管理,企业对应用系统的管控力度越强,但要求对应用系统的改造量越大、实施周期更长,项目风险也就越大。
在实际业务模型中,大多数统一身份认证系统能做到的,是基于用户角色/用户组的中粗粒度的权限控制。如可以授予角色为“管理员”的用户在相应的业务系统中拥有管理员权限,或设置仅在“财务”组的用户可访问那些财务部门内的应用系统。
流程引擎:企业级的工作流体系,往往需要跨越多个服务器或业务系统。流程引擎(如BPM、OA)连接各业务系统,根据业务逻辑定义工作流流程,并负责驱动流程流动和控制流动路径。
负载均衡与高可用:宁盾利用Heartbeat/Keepalive服务为DKEYAM认证服务进行高可用部署。DKEYAM之间通过主从复制方式进行数据的实时同步。在正常情况下,当主机出现异常时,服务ip自动切换到备机进行工作,对业务不产生影响。UserCenter提供无状态服务,本身不存储任何关键业务信息,利用负载均衡器实现系统负载均衡。
客户价值:
整合认证:不论企业总部还是分支,所有终端用户访问各业务系统,统一通过Portal门户来进入。用户操作平台(UserCenter)向身份认证平台(DKEYAM)发送认证请求。身份认证平台(DKEYAM)调取LDAP服务器/DB数据库中存储的身份信息并进行验证。仅一次身份验证通过后,用户即可访问所有业务系统,而不需要切换到每个业务系统中做多次重复验证。
账号生命周期管理:借助流程引擎,如BPM(BusinessProcessManager业务流程管理)或OA(OfficeAutomation办公自动化),连接HR及其他各业务系统,为不同类型的用户(如员工、外包、供应商等)自定义账号创建、审批等业务流,形成与企业自身业务相匹配的生命周期管理流程。当有新人员进入时,企业为其在HR系统中新增一条身份数据,这时针对该用户的账号生命周期管理流程启动。流程引擎在探测到该数据后,驱动LDAP或类似服务创建对应账号并存储在用户身份信息库中。然后各业务系统根据流程引擎的预定义,以用户的唯一身份标识来创建各自的账号。同理,流程引擎探测到该用户的身份信息发生变更,会驱动各业务系统自动/半自动同步更新。
数字认证——某省政务服务网
省政务服务网统一身份认证平台建设系统架构图
主要建设内容如下:
(一)构建全省统一身份认证平台门户
(二)构建全省普通账户信息注册及认证管理体系
通过集中统一的用户管理,解决各个信息系统之间基本用户信息共享,实现互联互通,减少管理的重复性。针对全省网办大厅普通用户进行完善的用户信息管理,对用户进行集中管理和分级认证管理,提供多种用户实名认证模式,包括现场窗口认证,CA证书、银行U盾、等第三方验证方式。
(三)构建全省网办大厅多CA数字证书交叉认证机制
构建全省网上办事业务多CA交叉认证服务体系,结合省数字证书交叉认证平台、省信息中心本地CA信息管理、省直部门交叉认证平台等对CA账户进行多CA交叉认证服务,整合现有资源,打破条块分割,实现逻辑上集中、物理上分布、应用上透明的全省多CA交叉认证应用体系,实现数字证书互联互通、“一证通用”。
蚂蚁金服——IIFAA联盟实践方案
主要围绕基于可信的身份确认过程,实现对物联网设备的可信认证以及对于操作者身份的可信确认,从而确定该用户对物联网资源是否具有相应的访问和使用权限,进而使物联网系统的访问控制策略能够可靠、有效的执行。物联网系统的访问控制策略可应用于用户与设备、设备与设备、设备与系统/服务间的访问环节。在身份认证过程中,还可以进一步确定双方数据交互的安全防护手段,从而确保设备和系统能够安全、有效地运行,防止攻击者非法窃听、篡改交互过程中产生的数据并进一步假冒合法用户身份获得设备的操作权限,从而保证系统和数据的安全以及合法用户的利益。
物联网身份认证整体架构
面向物联网用户的可信身份认证和管理:
主要包括在用户身份认证注册、身份认证以及身份认证注销等环节中,都应能够使用有效的技术手段确认该用户的身份及其是否具备相应的权限完成对物联网的操作请求。需要注意的是,因为物联网应用场景的多样性,实际过程中对于用户进行身份认证的方案有多种。根据在认证环节中是否需要连接身份认证服务器,可大体分为离线认证模式和在线认证模式。
离线认证模式:
该模式下,用户的身份认证凭据一般是存储在物联网设备中(比如用户设置的口令或者录入的生物特征)或者存储在用户所持有的一个Token中,这样在认证过程中,可以无需连接位于云端的身份认证服务器即可完成认证。
在线认证模式:
在该模式的认证过程中,需要连接到位于云端的身份认证服务器来完成对用户的身份认证。IFAA此前在移动智能终端上制定的本地免密解决方案和远程人脸认证解决方案,即是这种结合了身份认证服务器实现的在线认证方案。事实上,移动智能终端在物联网中也是一种非常重要的物联网控制设备,IFAA本地免密解决方案和远程人脸认证解决方案也可以应用于物联网身份认证领域中。差异点在于,在通过物联网控制设备完成对用户的在线身份认证后,还需要将这种认证结果通过可信的方式传递给设备本身。
奇安信——某部委大数据中心的跨网数据访问案例
数据集中导致安全风险增加
大数据中心的建设实现了数据的集中存储与融合,促进了数据统一管理和价值挖掘;但同时大数据的集中意味着风险的集中,数据更容易成为被攻击的目标。
基于边界的安全措施难以应对高级安全威胁
静态的访问控制规则难以应对数据动态流动场景
大数据中心在满足不同的用户访问需求时,将面临各种复杂的安全问题:访问请求可能来自于不同的部门或者组织外部人员,难以确保其身份可信;访问人员可能随时随地在不同的终端设备上发起访问,难以有效保障访问终端的设备可信;访问过程中,难以有效度量访问过程中可能发生的风险行为并进行持续信任评估,并根据信任程度动态调整访问权限。如上安全挑战难以通过现有的静态安全措施和访问控制策略来缓解。
图:大数据中心安全场景
为应对上述安全挑战,基于零信任架构构建安全接入区,在用户、外部应用和大数据中心应用、服务之间构建动态可信访问控制机制,确保用户访问应用、服务之间API调用的安全可信,保障大数据中心的数据资产安全。
解决方案:
梳理核心资产访问路径,构建虚拟身份边界
图:奇安信零信任安全解决方案部署图
零信任爆发增长趋势。其架构的应用是大势所趋,势必将成为网络安全的新战略,身份认证与访问产品将越发广泛地在零信任架构的框架下进行发展与升级。目前外网办公、分公司访问子公司资源、家庭办公、出差等,都对传统的以防火墙物理边界作为安全边界的策略提出了挑战,对于资源的访问控制不应该依赖于网络边界的保护,在这种条件下如何持续的对用户身份进行认证和访问控制成了零信任策略的关键问题,而解决这种关键问题的基础就是完善的IAM系统,只有完善的IAM系统才能够从全局实现对资源的持续认证与访问控制。
身份管理与访问控制(IAM)产品会随着业务场景的不断变化和技术更新迭代,IAM技术经历了由点到面,由单一功能模块到全面数字身份治理体系的演进过程。从SSO发展到4A,再发展壮大直至现在的IAM,以及由IAM延伸的IGA(IdentityGovernanceandAdministration)、IDaaS(Identity-As-A-Service)、CIAM(ConsumerIAM)等,业务范围从内网到外网,从线下到云端、移动端、IoT等领域。
未来身份认证产品迈向身份治理(IGA)阶段,包含权限合规治理、职责分离、身份数据的智能分析和审计,该阶段强调的是管理和安全,与此同时需满足日益严苛的合规监管以及对法律法律(网络安全法、等保2.0、SOX、GDPR)的遵从。任何人对应用的访问、对数据的访问、对设备的访问都应该围绕着身份来展开。围绕着这个理念把全域的管控隐私的保护按零信任的体系有机结合。
EIAM企业内部人员对统一认证的需求增强。目前企业的信息化程度越来越高,一些大型企业主要的业务流程完全信息化,但这些系统相互独立,都有各自的一套账号,导致人员的入职、转岗、离职等信息变更繁琐,难以保证信息的一致性。同时,由于人员标识不一致,难以从全局对人员进行访问控制及审计,带来一些安全风险。
CIAM公众用户统一认证的需求增强。无论是互联网+政务、还是向公众提供服务的某些特定领域,一般都是由多个信息系统组成,因此,需要构建统一认证身份平台,整合各个服务、整合各信息系统身份体系,实现统一身份管理。
随着5G、IoT技术的深入应用,IAM产品将为人物、物物互联提供身份安全管理的功能。IAM平台未来将以一种高度流动的方式工作,因为需要大量调用第三方服务来验证信息的正确性,技术架构需是轻量级、松耦合,基于微服务架构,实现IAM能力的全面微服务化,快速地和IT基础设施以及其他应用进行融合。目前通过去中心化的技术比如区块链来解决设备之间的互信问题已经成为行业内的热点方向,还有更多的新技术需要探索。
为提升智能识别用户异常访问行为的能力,IAM从基于静态规则和策略的安全管理模式走向动态的自适应风控体系,实时感知用户访问过程中的安全环境变化,动态调整安全控制策略,并持续评估应用、用户、数据流的安全性和风险状态,为数字身份安全提供智能化防御。