企业数字身份治理实践研究:从IAM向IGA能力演进的原则与挑战

为更好地了解我国企业用户在数字化转型中不断变化的数字身份应用和访问行为,探索新场景下身份访问安全管理所面临的挑战,分享数字时代身份治理的行业观点和创新实践,为企业新一代身份和访问管理能力建设提供借鉴,安全牛联合亚信安全、吉大正元、竹云科技、信安世纪、派拉软件、九州云腾、神州泰岳、Authing身份云八家国内数字身份安全管理领域代表性厂商,发起了《数字身份治理与管理(IGA)应用实践指南》报告研究工作。2023年1月17日,报告正式发布。

报告研究认为,新安全技术的快速迭代,已将数字身份安全定义为未来网络安全的基石。但随着企业数字化转型的深入,企业数字身份更加多样化的应用场景与更严格的访问控制需求正在发生激烈的碰撞和冲突。企业现有的身份和访问管理体系,无论是产品形态、技术能力还是应用安全性等方面,都已不能满足企业的数字化应用需求。以IGA(身份安全治理与管理)为代表的新一代身份安全防护能力构建,不仅是未来网络空间建设有序发展的内生需求,更是下一代互联网技术演进的重要基础,必须成为企业数字化转型发展中的优先事项。

报告关键发现

  • 数字化转型的深入发展,让企业数字身份管理的内涵与外延都发生了诸多变化,这给数字身份管理市场注入了新的需求和机遇,同时也带来了新的挑战。功能性和安全性将是未来企业数字身份和访问管理能力构建的两个关键诉求;
  • 企业数字化身份管理需要从碎片化向集中化、从单一化向多元化、从静态化向动态化、从粗放化向精细化演进。IGA技术是企业现有身份管理模式的一种完善和优化,其本质是将分散在各个业务系统的账号和权限回收到中心化的管理平台,并以更加智能化、自动化的方式,对访问主体及其行为进行统一管控。
  • 当企业尝试用创新的方式去解决安全问题时,往往会出现新的安全挑战。企业对数字身份进行集中化管理,需要特别关注个人信息的隐私安全问题。特别是AI技术、机器学习和大数据技术的应用,将进一步扩大了企业隐私信息在数字空间的暴露面和攻击面。
  • Gartner认为完整的IGA建设应包括必选能力和可选能力,将仅包括部分必选能力的IGA称为轻量级IGA。轻量的IGA可通过在现有的IAM或类似系统实现。在本次调研中,安全牛根据国内IGA技术发展状况,梳理了当前IGA方案应具备的六个核心能力:身份管理、统一认证、策略管理、授权管理、风险管理、生命周期管理;
  • 调研发现,企业用户的IGA能力建设可以现在的IAM应用为基础进行扩展,实现较完整IGA能力建设需要应用以下关键技术支撑:身份标识和鉴别、访问控制策略、智能分析、业务流程编排、数据可视化、密码技术;
  • 推动企业IGA能力建设的主要因素包括:数字化转型发展、合规要求、安全运维管理、风险控制、隐私要求等。其中,数字化转型发展和合规政策将是企业IGA能力建设的关键推动因素。

IGA系统建设框架

IGA作为企业数字身份管理、业务访问、新一代安全能力构建的基础,覆盖场景广泛并且具有较强的行业特性。因此,IGA系统建设架构应该具备足够稳定的基础底座及灵活的融合和扩展能力,以适应多场景中的身份管理要求。在本次报告研究中,安全牛对国内主流IGA方案架构进行了分析研究,并以此为基础绘制了IGA系统建设框架,包括密码基础设施层、存储与管理层、分析和处理层、管理中台、可视化管理层。

IGA系统建设框架图

密码基础设施层

密码技术是IGA能力构建的底座,在身份和访问管理过程中起着非常重要的作用,为身份账号存储、流转、身份鉴别和授权、身份计算、传输等提供机密性、完整性和抗抵赖性保护。

存储与管理层

IGA方案会这涉及多种数据,将不同数据按格式化文件存储下来,并结合密码技术做好安全管控,是存储与管理的重点。此外,当用户数据访问并发量较大时,性能将是系统应用的一大挑战,需要参考大数据分布式文件系统的存储管理设计方法。

数据处理和分析层 

处理和分析功能主要是通过数据清洗、分析、关联、聚合等技术,为风险管理、身份全生命周期管理、可视化管理提供支撑。

管理中台

主要包含IGA的六大核心能力:账户管理、身份鉴别、策略管理、授权管理、身份全生命周期管理、风险管理。

可视化管理层

不可见的风险才是最大的风险。IGA作为身份、业务、重要资产访问关系的管控平台,实现访问行为的可见性至关重要。

IGA能力增长与演进

报告调研发现,推动企业IGA能力演进的因素有多个方面,如业务环境因素、合规要求、业务管理需求、运维管理需求、风险因素、隐私要求等。以IGA系统建设框架为基础,安全牛研究团队进一步总结了当前企业IGA能力的增长模型。

IGA的能力增长模型

安全牛认为,企业在数字化业务应用需求及合规政策的双重驱动下,其IGA能力建设可以从单点认证、统一身份管理逐渐向细粒度认证授权以及自适应访问控制方向演进。

IGA能力演进说明

IGA能力建设的挑战与原则

随着企业业务系统的增加,数字化身份应用以及权限管理带来的暴露面也在不断扩大,数字身份管理的建设要求越来越复杂。在IGA能力的实际建设中,会存在以下主要挑战:

  1. IGA系统覆盖的业务广度和深度较高,但多数客户对自身业务需求的认识并不是很明确;
  2. IGA系统上线涉及大量的业务系统迁移,前期准备工作必须充分,确保迁移方案安全和无缝切换,否则会影响业务正常使用,给企业造成不必要的损失;
  3. IGA应用迁移过程中多涉及大量老旧业务账户的梳理及非标准协议的对接,对接和互联的工作量较大;
  4. IGA建设过程中需要跨组织、跨业务部门协调,很多企业在管理制度和流程方面并不完善;
  5. 从长期运营来看,企业管理复杂度的熵增定律是不变的,在频繁的人员流动和业务更迭中维持IGA系统有效运行,需要一定的毅力和成本。

本次报告结合调研及行业应用实践,也总结了企业开展IGA能力构建时的建议原则:

  1. 身份治理和访问管理应统筹考虑,并纳入企业的安全体系建设。企业在数字化业务开展前,都应依据等保2.0标准,做好信息系统的安全等级评估,遵从不同层面身份鉴别、访问控制和数据安全的合规要求,避免由于不满足合规给业务带来不必要的停顿和整改;
  2. 充分基于传统的IAM能力,为IGA建设打好基础,并将企业现有的碎片化身份管理能力统筹应用起来;
  3. 务必清晰梳理数字身份的数据源,使数字身份在不同业务系统中保持一致;
  4. 对应用/数据分类分级,客观评估业务的访问控制需求,特别是远程访问和特权访问,并遵循最小化授权的原则,做好业务暴露面管理;
  5. 应围绕业务闭环流程对数字身份的活动行为进行全生命周期可视化管理,同时结合事件触发或风险分析,做好权限的时效性管理和动态管控;
  6. 应根据业务范围评估账户信息的隐私合规性要求,并给出防范隐私风险的建议和预案;
  7. 设计中应采用可扩展性架构,使未来的业务、流程、功能可以方便的集成。

产业观点与建议

在本次报告调研中,我们通过调研访谈,收集了国内代表性IGA厂商对企业身份治理和访问管理能力建设的观点:

真正的数字身份就是要构建一个统一的完整的身份体系,一切都是以身份为核心,企业应该“抛弃”以账号为核心的管理模式,把账号建立和管理工作从各个分散的业务系统里收回到统一的管理体系里来。

——亚信安全

身份治理首先要建立一个权威的身份池或身份源,并通过密码学的验证技术保证其在流转过程中的真实性、安全性和不可否认性;其次,身份审计要向事前演进,在威胁产生实质风险之前就能够捕捉得到;第三,身份治理要更智能,能够自动生成行为风险模型。

——吉大正元

IAM是业务连接和安全保障的基础组件,是数字化转型的前置条件。数字化转型环境下,身份管理和访问管理的需求在传统IAM基础上进行了扩延,IGA相对传统IAM要更加侧重管理和治理。

——竹云科技

4A能力在不同场景下有一定的通用性,但不同场景下4A的内涵又带有非常明显的行业特性。企业的数字化转型,使不同场景的业务又融合在了一起,特别是运维、办公、网络准入,因此,不同场景的身份要统一,不能各自孤立存在。

——信安世纪

IGA的本质是将分散在各个业务系统中的身份和权限收回到中心化的平台里,减少配置错误,增加统一分析能力,不但要做到入门级控制,还要能实现持续的和细粒度的访问控制。另外,IGA未来发展最主要的是在治理过程中减少对人的依赖。

——派拉软件

新一代IAM通过与企业组织数字化转型中的各类系统整合,实现智能化的风险识别、多云环境匹配、多维度的身份(EIAM、CIAM、PAM 等)管理。IGA的核心能力主要体现在:身份数据的自动化,认证的智能化差异化,风险动态管控,权限的细粒度管控。

——九州云腾

IGA能力的有效落地首先要有一套全量的、唯一的身份数据源,需要将不同的数字身份账号统一起来;其次,身份全生命周期管理要配合企业现有的流程落地,产品要结合业务去落地。

——神州泰岳

通过身份治理提升身份行为的可观测性和身份持续自适应信任的管理,将账户的风险从事后审计向事前风险发现前移,使身份系统从能用到安全使用是当前身份管理工作的重要任务。

——Authing身份云

—-数据来源:安全牛 微信公众号