IAM在云环境下新的挑战

©2023云安全联盟大中华区版权所有2身份与访问管理工作组网址是：https://cloudsecurityalliance.org/research/working-groups/identity-and-access-management@2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)本文商标、版权或其他声明不得删除。请在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有3 ©2023云安全联盟大中华区版权所有4致谢《IAM在云环境下新的挑战（WhatIsIdentity&AccessManagement(IAM)ForTheCloud?）》由CSA工作组专家编写，CSA大中华区IAM工作组组织翻译并审校。中文版翻译专家组（排名不分先后）：组长：于继万翻译组：崔崟王亮张彬鹿淑煜吕波审校组：戴立伟谢琴研究协调员：蒋妤希感谢以下单位的支持与贡献：北京启明星辰信息安全技术有限公司奇安信网神信息技术（北京）股份有限公司北京天融信网络安全技术有限公司深圳竹云科技有限公司上海物盾信息科技有限公司安易科技（北京）有限公司华为技术有限公司三未信安科技股份有限公司阿里云计算有限公司 ©2023云安全联盟大中华区版权所有5英文版本编写专家主要作者：RaviErukullaRameshGuptaShrutiKulkarniAlonNachmany贡献者：FayeDixonJonathanFlackPaulMezzeraAnsumanMishraVenkatRaghavanHeinrichSmitDavidStrommer审校者：SamuelAddingtonRadhikaBajpaiShannonChisengaIvanDjordjevicShamikKackerShamikKackerAdnanRafiqueMichaelRozaNishanthSingarapuCSA员工：RyanGiffordStephenLumpe在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有6目录致谢..................................................................................................................4序言..................................................................................................................7摘要..................................................................................................................8引言................................................................................................................10云环境与本地部署IAM的差异......................................................................11IAM溯源分析.................................................................................................12IAM的发展趋势..............................................................................................13云环境的IAM............................................................................................13多云/混合环境IAM解决方案的重要性与日俱增..........................................14IAM对企业高管的重要性.........................................................................14企业有效地采用云IAM所面对的挑战...........................................................15身份管理十大挑战...................................................................................15云IAM带来更多商业机会..............................................................................16在云环境中制定有效的IAM计划的注意事项和最佳实践...........................17给安全/IAM领导和从业者关于沟通IAM价值的提示...................................19结论................................................................................................................20CSA企业会员案例..........................................................................................21阿里云应用身份服务IDaaS在某游戏大厂实践案例................................21 ©2023云安全联盟大中华区版权所有7序言在过去的几年里，全球事件加速了许多企业的数字化转型，陆续将业务迁移到云端成为了流行。目前大多数企业IT采用本地、云端或并行机制，在这样的状态下，提高可见性，安全性和保护数据的需求尤为重要，企业管理者发现在云中管理身份是一个首要问题，因为他们可能面临多个云服务提供商，业务跨多个节点，很容易形成身份孤岛从而增加风险暴露面。身份管理与访问控制(IAM)是一个业务流程、策略和技术框架，使企业可以更轻松地管理数字身份。IAM能够控制用户对其公司关键信息的访问，如今，组成IAM环境的许多组件（例如认证、授权、身份生命周期管理和特权访问）可以进行切片，以便企业可以选择在云中运行效率更高、更具成本效益的功能并保留必要的安全机制。基于云的IAM将成为企业上云进行网络防御、风险管理和数据保护能力的顶级安全安全实践。本篇文献通过介绍影响IAM的云环境与本地环境之间的差异和过去解决方式的回顾，总结出目前IAM发展的趋势和在云环境中IAM面临的重要挑战，提出了针对云环境的有效的IAM最佳实践，用于帮助IAM在企业数字化转型中进行有效推动，从而加速数字经济，降低运营成本。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有8摘要身份管理与访问控制（IdentityandAccessManagement，IAM）并非一种新的解决方案。IAM工具和实践用于保护字（有时甚至是物理）资源，并满足法规/合规要求。IAM最初是一种通用的机制，通过对被授权的身份或身份组赋予权限来限制和控制对组织资源的访问。它最初的目标是验证权限，并且访问（控制）是完全基于对用户名和口令的判断，再加上直接在受访资源上分配的组成员身份或权限。这一模型后来演变为集中化的IAM，而访问决策集中在一个权威机构上，如：服务、服务器或身份基础设施。多年来，威胁形势发生了重大变化，IAM现今已成为任何数字访问模型的关键组成部分。随着用户、资源和系统这些（IAM核心）性质发生变化，IAM已经发展到使用不断增加的可见性、粒度和控制。例如：基于角色（RBAC）、属性（ABAC）或其他自适应（或启发式）的访问控制已经添加了分布式或基于事务的访问（控制能力）。随着多因素身份验证、通行密钥（passkeys）和数字证书的加入，身份验证工具和技术不断发展，并极大的增强了IAM的能力。 ©2023云安全联盟大中华区版权所有9如今，IAM已经远不仅是作为保护资源或者满足合规性的手段。随着全面云化、数字化以及由于COVID带来的远程和混合工作模式等发展趋势，IAM已经成为一个业务的推动者，通常是网络安全的第一道防线。IAM是组织零信任之旅的第一阶段，也往往是董事会级别的举措。随着云转型和云优先在组织的推动，IAM的需求和实践也必须相应的发展，以保持与云环境新动态的同步。基于本地环境的传统IAM实践并不适用于云环境，因为云环境引入了更加短暂、敏捷、并且突破企业边界的访问。但是，并非所有的IAM团队或从业者都了解并且遵循IAM在云环境中的最佳实践，这使得IAM在云环境中的价值不佳，成本增高，并影响了满意度。本文旨在提供以下内容的概述：●云环境与本地环境的差异对IAM的影响●影响IAM的因素，IAM为解决这些问题而进行的改进，以及它将如何在未来进一步发展●IAM在云环境中与日俱增的重要性●组织在云环境中有效应用IAM时面临的挑战●在云环境下部署有成效的IAM项目时需要考虑的因素与最佳实践●为安全/IAM领导者和从业者沟通IAM价值的提示 ©2023云安全联盟大中华区版权所有10引言对于任何组织的技术栈和安全基础设施而言，身份管理与访问控制（IAM）都是其关键的组成部分，特别是在云环境中。本文档的主要受众是IAM项目负责人和安全运营团队，然后是首席信息安全官（CISO）和高层领导。本文档的目的是介绍在云环境下管理IAM所涉及的挑战和注意事项，以及IAM对组织整体安全战略的重要性。 ©2023云安全联盟大中华区版权所有11云环境与本地部署IAM的差异所有权是企业使用云交付IAM解决方案与管理私有化部署的IAM解决方案之间的一个根本区别。当一个组织在内部环境部署IAM解决方案时，该组织拥有一切，包括软件许可证和用户管理；与IAM解决方案相关的持续资本支出的责任，例如硬件（例如，服务器购买）、功耗和物理空间；以及支持内部管理的IAM解决方案的基础设施所需的所有其他支出。客户利用云服务提供商(CSP)的IAM构建的应用程序，则使用订阅模式，并遵循共享责任模型。使用基于云的IAM解决方案与部署IAM私有化解决方案之间的另一个基本区别是控制。在私有化部署中，组织管理IAM的各个方面，包括漏洞管理、修补、渗透测试等。当组织从云服务提供商（CSP）采购基础设施即服务（IaaS）等服务时，该组织则不需要考虑漏洞管理、补丁等因素，因为“云安全”的这些方面由CSP负责。使用云IAM更大的挑战和复杂性是由组织采购的云环境的激增（译者注：比如多云环境）。当一个组织运行多个基础设施即服务（IaaS）环境、平台即服务（PaaS）采购和软件即服务（SaaS）时，IAM变得复杂而富有挑战性。在每个环境中提供身份可能很简单，但访问控制审查和身份撤销可能并不简单，这可能导致离职者依然具有这些环境的访问权。 ©2023云安全联盟大中华区版权所有12IAM溯源分析如前所述，IAM不是一个新的解决方案。