什么是身份和访问管理 (IAM)?

身份和访问管理 (IAM) 系统可以确认用户的身份和控制用户特权。

Share facebook icon linkedin icon twitter icon email icon

IAM

学习目标

阅读本文后,您将能够:

  • 了解在计算背景下“身份”的涵义
  • 了解什么是用户访问
  • 探索为何身份和访问管理对于云而言至关重要

什么是身份和访问管理 (IAM)?

身份和访问管理 (简称为 IAM 或 IdAM) 是一种说明客户身份及其行为权限的方式。IAM 类似于夜店门口的保镖,他们手里有一份名单,知道该让谁进,不该让谁进,谁有权利进入 VIP 区域。IAM 也被称作是身份管理 (IdM)。

identity and access management iam

从更倾向于技术层面来看,IAM 是一种管理特定用户数字化身份集以及每种身份对应之特权的方式。它是一个伞状术语,涵盖不同种具有这同一种基本功能的产品。在企业内部,IAM 可以是单个产品,也可以是多个流程的组合、软件产品、云服务,以及让管理员能够对于个体用户可以访问的企业数据进行查看和控制的硬件。

在计算背景下的身份是怎样的?

一个人的所有身份无法上传并储存在一台计算机中,因此在计算背景下的“身份”指的是能够便于以数字化方式测量和记录的某种资产集。看看身份证或护照就知道了,并非一个人的所有信息都储存在身份证中,但它包含了足够多的个人特征,将一个人的身份迅速与其身份证相匹配。

要验证身份,计算机系统需要评价用户的专属特征。如果能够匹配,那么可以确认用户身份。这些特征也被称为“身份验证因素”,因为它们有助于验证某人自称的身份跟其实际身份是否匹配。

用途最广的三大身份验证因素是:

  • 用户了解的内容
  • 用户拥有的内容
  • 用户身份

用户了解的内容:此因素是一则仅用户掌握的私密信息,如用户名和密码组合。

假如,John 想要在家查看工作电子邮件。首先,他要建立自己的身份,从而登录他的电子邮件账户,因为如果 John 的电子邮件被除他之外的人访问,那么公司的数据将受到侵害。

John 输入他的电子邮件 john@company.com 登录,密码只有他自己知道 - 例如,“5jt*2)f12?y”。假定除 John 外,没有人知道这个密码,因此,电子邮件系统识别了 John 的身份,允许他访问他的电子邮件账户。如果其他人尝试冒充 John 以 “john@company.com” 的身份输入他们的电子邮件地址,如果不知道输入 “5jt*2)f12?y” 这个密码,他们便不会成功。

用户拥有的内容:此因素指的是授予授权用户的实体令牌。关于此身份验证因素的最基本的例子是进入房门的实体钥匙。假定只有房子主人、租户或其他被允许进入的人拥有钥匙。

在计算背景下,这个实体物品可以是遥控钥匙、USB 设备甚至是智能手机。假设 John 的企业希望双重确认所有自称某种身份的用户都是谁,因此需要查看两个身份验证因素,而不是一个。这样一来,就不只是输入密码那么简单了(“用户了解的内容”因素),John 还需要向电子邮件系统展示自己拥有的专属实物。除了 John,世界上没有第二个人拥有他的个人智能手机,因此,电子邮件系统会发送给他一则一次性代码,John 输入此代码即可证明自己拥有这部手机。

用户身份:此因素指的是关于某人身体的实体资产。目前所使用的这种身份验证因素的常见案例是人脸 ID - 这是许多现代智能手机所拥有的功能。另外一个案例是指纹扫描。一些高安全性企业所使用的一些罕见方式包括视网膜扫描和验血。

假设 John 的企业决定提高安全级别,因此让用户确认三个因素,而不是两个(这种情况较为罕见)。这样一来,John 需要输入密码,确认拥有自己的智能手机,然后扫描指纹,这样电子邮件系统才会确认他就是 John。

总结:在现实世界中,一个人的身份是其个人特征、历史、地点和其他因素的复杂组合。在数字化世界中,一个人的身份则是由这三个身份验证因素的部分或全部组成,它们以数字化形式储存在身份数据库中。为了防止欺骗者冒充真正的用户,计算机系统会将用户身份对比身份数据库进行核实。

什么是访问管理?

“访问”指的是客户能够查看的数据以及他们在登录后可以执行的操作。John 登录电子邮件后,他可以查看之前发送和接收的所有电子邮件,但无法看到同事 Tracy 发送和接收的电子邮件。

换言之,因为用户身份得到验证并不意味着他们可以随心所欲地访问系统或网络内的任何内容。譬如,公司内的一名职位较低的员工能够访问其公司的电子邮件账户,但无法访问工资单记录或机密人力资源信息。

访问管理是控制和跟踪访问的流程。系统内的每位用户拥有在系统内满足其个人需求的不同特权。会计师确实需要访问和编辑工资单记录,因此,他们在确认自己的身份后可以查看和更新那些记录,并访问他们的电子邮件账户。

为什么 IAM 对云计算而言如此重要?

In cloud computing, data is stored remotely and accessed over the Internet. Because users can connect to the Internet from almost any location and any device, most cloud services are device- and location-agnostic. Users no longer need to be in the office or on a company-owned device to access the cloud. And in fact, remote workforces are becoming more common.

因此,身份成了控制访问的最重要的方面,而不是网络外围。*决定用户可以访问的云数据以及他们是否有权访问的,不是他们的设备或地点,而是他们的身份。

要了解为何身份如此重要,可以参看此图。假设一名网络罪犯想要访问公司数据中心的敏感文件。在云计算尚未广泛应用的时期,网络罪犯需要绕过保护公司内部网络的防火墙,或是潜入办公楼或贿赂内部员工,从而亲自访问服务器。这名罪犯的主要目的是绕过网络外围。

然而,有了云计算,敏感文件可以储存在远程云服务器中。因为公司员工需要访问这些文件,他们可以通过浏览器或应用程序登录来实现。如果网络罪犯想要访问这些文件,他们需要的是员工的登录凭证(如用户名和密码)和 Internet 连接;罪犯无需绕过网络外围。

IAM helps prevent identity-based attacks and data breaches that come from privilege escalations (when an unauthorized user has too much access). Thus, IAM systems are essential for cloud computing, and for managing remote teams.

*网络外围指的是内部网络的边缘地带。它是一个虚拟的界限,将安全管理的内部网络跟未加以控制的无保障的 Internet 分离开来。办公室的所有电脑,以及办公室打印机的所有连接设备,都在此外围内,但世界各地数据中心的远程服务器则不在此列。

IAM 在哪里可以适配云部署堆栈/云架构?

IAM 通常是用户达到企业云基础设施其他部分所需要经过的云服务。它还可以部署在企业内部网络现场。最终,有些公共云供应商会将 IAM 和其他服务捆绑在一起。

使用多云混合云结构的企业可能使用 IAM 的独立供应商。将 IAM 跟其他公共云私有云服务分离,可以让他们更加灵活:他们在切换云供应商时依然能够维护其身份和访问其数据库。

什么是身份提供商 (IdP)?

身份提供商 (IdP) 是一款帮助管理身份的产品或服务。身份提供商一般管理着实际登录流程。适配此类身份提供商的单点登录 (SSO) 提供商可以是 IAM 框架的一部分,但通常不会帮助管理用户访问。

什么是身份即服务 (IDaaS)?

身份即服务 (IDaaS) 是一款确认身份的云服务。它是由云供应商提供的 SaaS 产品,是一种将部分身份管理外包的方式。在某些情况下,IDaaS 和 IdP 是可以互换的 - 但在其他情况下,IDaaS 供应商在身份验证和管理之上提供其他功能。根据 IDaaS 供应商提供的功能,IDaaS 可以是 IAM 框架的一部分,也可以是整个 IAM 系统。

Cloudflare 如何协助 IAM 和云?

Cloudflare Access is an IAM product that monitors user access to any domain, application, or path hosted on Cloudflare. It integrates with SSO providers and allows administrators to alter and customize user permissions. Cloudflare Access helps enforce security policies for both on-premises internal employees and remote workers.

Cloudflare 可以在任何云基础设施设置前部署,这样可以让公司更加灵活地实现包括 IAM 供应商在内的多云或混合云部署。