IAM概述:基于动态身份的安全新边界
随着用户维度快速扩展、应用规模迅速增长、电子身份智能化以及监管要求等数字化转型带来的身份变化,传统安全边界消失,需要更灵活的技术手段给动态变化的人、终端、系统建立新的逻辑边界,通过对人、终端和系统进行识别、跟踪及访问控制,实现全面的身份化。因此,以身份为中心的零信任安全逐渐成为一种趋势。在零信任模型下,只要处于网络中,任何用户都不可被信任,任何环节、设备、身份及权限都有必要被验证。
IAM(Identity and Access Management),即身份与访问管理,或称为身份管理与访问控制,作为零信任模型中的重要组成部分,可以实现身份管理、认证和授权等重要功能,如图所示:
IAM身份管理与访问控制系统作为新一代身份认证与资源整合产品,主要用于给人或物赋予恰当的权限,从而允许其访问相应的资源。其中,“人或物”称为主体,“资源”称为客体。IAM产品主要由身份管理、认证管理、权限管理、单点登录和审计等模块组成,实现集中帐号管理、集中认证、集中授权、应用集成和集中审计等功能。具体功能体现在:
■ 可实现应用的单点登录;
■ 实现用户电子身份、账号权限的全生命周期的自动化管控,做到自动创建与一键回收,规避人为不当操作造成的安全后门和对信息的恶意窃取;
■ 融合多终端、多因素的认证方式;
■ 对敏感数据的使用行为做到集中化管控和有效的分级授权,实现对各应用系统的统一授权管理,建立统一的权限管理模型,支持未来新业务发展。
IAM可与环境感知等模块或终端安全设备联动,对内、外用户的访问行为实现实时的事前预警与防范,通过预警等信息为主体动态授权从而实现事中访问控制,通过审计日志实现事后责任追溯,从而形成了完善的风险控制管理体系。
IAM典型应用
基于IAM的用户业务接入方案如下图所示:
其工作流程图如下所示:
用户访问视角的IAM业务处理流程:
1)用户访问业务系统,通过IAM认证中心多因素认证登录;
2)用户登录成功后,根据单点登录应用导航直接进行业务访问。
3)IAM和HR系统连接,同步用户信息。
三大IAM主要模块
(1)身份管理模块
身份管理模块提供统一用户身份管理,主要负责用户、机构、应用业务等的管理。该模块实现用户信息与账号的集中存储、全生命周期闭环管理,用户账号可自动开通、变更和回收,同时对下游应用系统提供用户主数据供给。支持多用户授权模式。
该模块主要具有以下功能特点:
■ 标准化接口:产品提供完整的管理 REST API 接口,可以轻松进行业务流程再造,支持标准化的集成场景。整合OA系统、AD等用户身份信息,形成用户、组织机构信息的权威数据源,如下图所示:
■ 实现用户身份全生命周期管理。
■ 实现多组织机构管理,支持用户与多套组织机构关联。
■ 建立统一规则、密码强度规则等,实现全局管控。
■ 个人自助服务中心:可实现用户信息自助更新、权限申请和权限审批等功能。
(2)认证管理模块
认证管理模块,主要用于在主体申请访问客体时对主体进行认证。认证方式支持用户名密码、短信验证码、数字证书、人脸和声纹等。认证协议或实现单点登录的方案有SAML、oAuth、Cookie等,认证协议通常和单点登录息息相关。单点登录(Single Sign On),简称为 SSO,是指多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
认证管理平台为用户、应用业务等提供认证服务,支持标准代理、SDK、代填代理的方式,实现对应用的访问控制。标准代理和SDK将拦截所有应用的请求,在认证管理平台进行统一的认证,为应用提供单点登录服务;代填代理为不易改造的应用提供了密码代填模式,以表单代填的方式,实现单点登录。应用做少量的改造工作,即可实现统一认证,和其他接入的应用一起实现单点登录功能。
该模块主要具有以下功能特点:
丰富的多因素认证功能
■ 支持的认证因子包含口令、数字证书、手机短信认证、证书认证、人脸识别、声纹识别、指纹识别、虹膜识别等;多个认证因素可以灵活地进行组合认证,形成多种认证方式。
■ 支持目前市面上主流的社交应用认证源,如微信,钉钉等。
敏捷的应用业务、第三方组件对接
■ 支持丰富的默认连接器:可以通过默认连接器实现与商业化产品例如DB、LDAP、SAP、AD、Domino等应用的快捷对接,应用端无需开发。
■ 支持强大的自定义连接器框架:对于与客户自开发的应用对接集成,可以通过权限管理平台的自定义连接器框架来实现,客户的应用服务只需提供相应的接口,即可实现对接集成,方便快捷。
■ 支持强大的Restful API开发平台:可以通过快速开发Restful API接口,与第三方应用、组件对接。
■ 支持通过SDK方式,与客户的应用、第三方组件进行对接。
应用管理,主要实现对应用业务的认证管理
■ 应用认证设置:认证等级、每个认证等级的认证方式。
■ 访问应用的用户属性设置。
■ 有关应用的token有效期。
■ 应用相关信息的编辑、查询等。
(3)权限管理模块
权限管理模块提供统一用户可信权限管理,主要负责业务主体和客体之间的授权关系管理、用户访问权限的鉴权管理、权限审批、日志审计等。该模块支持多用户授权模式,同时可以根据用户的安全风险等级调整用户的访问权限。
该模块主要具有以下功能特点:
■ 业务适应性:不仅支持标准的RBAC和XRBAC权限模型,同时支持复杂场景的权限模型。
■ 细粒度授权:支持应用级、功能级、服务级、数据级的授权。
■ 用户鉴权功能:对用户的访问权限进行鉴权,支持应用级、功能级、服务级和数据级鉴权。
■ 灵活的授权机制:可以基于用户、应用、API、授权组进行授权,从而实现基于用户、角色、机构、任务的灵活授权。
■ 支持动态权限变更,实现实时权限最小化:可以和终端安全设备以及态势感知系统形成联动,达到用户风险和应用风险联动,实现实时用户权限最小化。
IAM在新华三的实现
H3C SecCenter IAM系统主要包括认证管理平台、权限管理平台和可信代理控制服务平台。除以上介绍的身份管理模块、认证模块和权限管理模块,新华三的IAM系统主要组件还包括可信代理控制服务模块,该模块可以和身份管理、权限管理以及认证系统联动,支持权限变更订阅、权限判定以及用户会话管理;可以和应用集成,实现访问控制服务。该模块主要应用在零信任安全架构。
可信代理控制服务模块主要具有以下功能特点:
■ 汇集了用户风险和业务风险,结合用户的权限,实现实时用户权限最小化。
■ 作为策略控制器的策略管理者,起到了上传下达的作用,将用户认证请求上传到认证中心,将匹配风险情况的用户权限下发到策略执行器如可信接入代理、可信API代理。
■ 对用户访问的业务进行会话管理,可以很好地展示用户的访问情况,也可以通过会话进行人工控制。
IAM具有统一的身份管理功能,以及集中式的身份和权限管理,使得用户身份维护可以同步,减少用户认证系统的维护成本。IAM具有统一的安全策略功能,使得身份认证的过程更加标准化,安全性方面更加靠。IAM具有单点登录、细粒度的访问控制功能、动态授权、多因素认证以及基于策略的集中式授权和审计等功能,其强大的身份管理和访问控制功能,使得该系统可成功运用于公安政务网零信任应用场景、基于IAM的用户业务接入等场景中,以满足客户多样化的需求。