什么是身份和访问管理 (IAM)?

身份和访问管理 (IAM) 系统可以确认用户的身份和控制用户特权。

学习目标

阅读本文后,您将能够:

  • 了解在计算背景下“身份”的涵义
  • 了解什么是用户访问
  • 探索为何身份和访问管理对于云而言至关重要

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是身份和访问管理 (IAM)?

身份和访问管理 (简称为 IAM 或 IdAM) 是一种说明客户身份及其行为权限的方式。IAM 类似于夜店门口的保镖,他们手里有一份名单,知道该让谁进,不该让谁进,谁有权利进入 VIP 区域。IAM 也被称作是身份管理 (IdM)。

身份和访问管理 IAM - 站在云前方的保镖

从更倾向于技术层面来看,IAM 是一种管理用户的一组数字身份以及每种身份对应之特权的方式。这是一个统称,涵盖了许多具有相同基本功能的不同产品。在企业内部,IAM 可以是单个产品,也可以是多个流程、软件产品、云服务和硬件的组合,让管理员能够对于个人用户可以访问的企业数据进行查看和控制。

在计算背景下的身份是怎样的?

一个人的所有身份无法上传并储存在一台计算机中,因此在计算背景下的“身份”指的是能够便于以数字化方式测量和记录的某种资产集。看看身份证或护照就知道了,并非一个人的所有信息都储存在身份证中,但它包含了足够多的个人特征,将一个人的身份迅速与其身份证相匹配。

要验证身份,计算机系统需要评价用户的专属特征。如果能够匹配,那么可以确认用户身份。这些特征也被称为“身份验证因素”,因为它们有助于验证某人自称的身份跟其实际身份是否匹配。

用途最广的三大身份验证因素是:

  • 用户了解的内容
  • 用户拥有的内容
  • 用户身份

用户了解的内容:此因素是一则仅用户掌握的私密信息,如用户名和密码组合。

假如,John 想要在家查看工作电子邮件。首先,他要建立自己的身份,从而登录他的电子邮件账户,因为如果 John 的电子邮件被除他之外的人访问,那么公司的数据将受到侵害。

John 输入他的电子邮件 [email protected] 登录,密码只有他自己知道 - 例如,“5jt*2)f12?y”。假定除 John 外,没有人知道这个密码,因此,电子邮件系统识别了 John 的身份,允许他访问他的电子邮件账户。如果其他人尝试冒充 John 的身份,在输入他们的电子邮件地址时输入 [email protected],但不知道输入 “5jt*2)f12?y” 这个密码,他们便不会成功。

用户拥有的内容:此因素指的是授予授权用户的实体令牌。关于此身份验证因素的最基本的例子是进入房门的实体钥匙。假定只有房子主人、租户或其他被允许进入的人拥有钥匙。

在计算背景下,这个实体物品可以是遥控钥匙、USB 设备甚至是智能手机。假设 John 的企业希望双重确认所有自称某种身份的用户都是谁,因此需要查看两个身份验证因素,而不是一个。这样一来,就不只是输入密码那么简单了(“用户了解的内容”因素),John 还需要向电子邮件系统展示自己拥有的专属实物。除了 John,世界上没有第二个人拥有他的个人智能手机,因此,电子邮件系统会发送给他一则一次性代码,John 输入此代码即可证明自己拥有这部手机。

用户身份:此因素指的是关于某人身体的实体资产。目前所使用的这种身份验证因素的常见案例是人脸 ID - 这是许多现代智能手机所拥有的功能。另外一个案例是指纹扫描。一些高安全性企业所使用的一些罕见方式包括视网膜扫描和验血。

假设 John 的企业决定提高安全级别,因此让用户确认三个因素,而不是两个(这种情况较为罕见)。这样一来,John 需要输入密码,确认拥有自己的智能手机,然后扫描指纹,这样电子邮件系统才会确认他就是 John。

总结:在现实世界中,一个人的身份是其个人特征、历史、地点和其他因素的复杂组合。在数字化世界中,一个人的身份则是由这三个身份验证因素的部分或全部组成,它们以数字化形式储存在身份数据库中。为了防止欺骗者冒充真正的用户,计算机系统会将用户身份对比身份数据库进行核实。

什么是访问管理?

“访问”指的是客户能够查看的数据以及他们在登录后可以执行的操作。John 登录电子邮件后,他可以查看之前发送和接收的所有电子邮件,但无法看到同事 Tracy 发送和接收的电子邮件。

换言之,因为用户身份得到验证并不意味着他们可以随心所欲地访问系统或网络内的任何内容。譬如,公司内的一名职位较低的员工能够访问其公司的电子邮件账户,但无法访问工资单记录或机密人力资源信息。

访问管理是控制和跟踪访问的流程。系统内的每位用户拥有在系统内满足其个人需求的不同特权。会计师确实需要访问和编辑工资单记录,因此,他们在确认自己的身份后可以查看和更新那些记录,并访问他们的电子邮件账户。

为什么 IAM 对云计算而言如此重要?

云计算中,数据在 Internet 上远程储存和访问。因为用户可以几乎从任何地点和设备上连入 Internet,多数云服务与设备和地点并无关联。用户不再需要位于办公室或通过公司拥有的设备才能访问云。实际上,远程工作人员正变得越来越普遍。

因此,身份成了控制访问的最重要的方面,而不是网络外围。*决定用户可以访问的云数据以及他们是否有权访问的,不是他们的设备或地点,而是他们的身份。

要了解为何身份如此重要,可以参看此图。假设一名网络罪犯想要访问公司数据中心的敏感文件。在云计算尚未广泛应用的时期,网络罪犯需要绕过保护公司内部网络的防火墙,或是潜入办公楼或贿赂内部员工,从而亲自访问服务器。这名罪犯的主要目的是绕过网络外围。

然而,有了云计算,敏感文件可以储存在远程云服务器中。因为公司员工需要访问这些文件,他们可以通过浏览器或应用程序登录来实现。如果网络罪犯想要访问这些文件,他们需要的是员工的登录凭证(如用户名和密码)和 Internet 连接;罪犯无需绕过网络外围。

IAM 有助于避免因特权升级而导致的基于身份的攻击和数据泄露(当一名未授权的客户访问太多时)。因此,IAM 系统对于云计算而言至关重要。

*网络外围指的是内部网络的边缘地带。它是一个虚拟的界限,将安全管理的内部网络跟未加以控制的无保障的 Internet 分离开来。办公室的所有电脑,以及办公室打印机的所有连接设备,都在此外围内,但世界各地数据中心的远程服务器则不在此列。

访问管理 (IAM) 在哪里适配云架构?

IAM 通常是用户达到企业云基础设施其他部分所需要经过的云服务。它还可以部署在企业内部网络现场。最终,有些公共云供应商会将 IAM 和其他服务捆绑在一起。

使用多云混合云结构的企业可能使用 IAM 的独立供应商。将 IAM 跟其他公共云私有云服务分离,可以让他们更加灵活:他们在切换云供应商时依然能够维护其身份和访问其数据库。

什么是身份提供商 (IdP)?

身份提供商 (IdP) 是一款帮助管理身份的产品或服务。身份提供商一般管理着实际登录流程。适配此类身份提供商的单点登录 (SSO) 提供商可以是 IAM 框架的一部分,但通常不会帮助管理用户访问。

什么是身份即服务 (IDaaS)?

身份即服务 (IDaaS) 是一款确认身份的云服务。它是由云供应商提供的 SaaS 产品,是一种将部分身份管理外包的方式。在某些情况下,IDaaS 和 IdP 是可以互换的 - 但在其他情况下,IDaaS 供应商在身份验证和管理之上提供其他功能。根据 IDaaS 供应商提供的功能,IDaaS 可以是 IAM 框架的一部分,也可以是整个 IAM 系统。

Zero Trust 身份与 IAM

Zero Trust 安全模型对连接到私有网络资源的每位用户和每台设备(无论位于网络边界之内还是之外)进行严格的身份验证。Zero Trust 与 IAM 密切相关,因为它需要检查身份和限制访问。

Zero Trust 使用多因素身份验证 (MFA),检查上述两个或三个身份因素,而不是只检查一个。它还需要执行访问控制的最低权限原则。最重要的是,确认一个人的身份后,Zero Trust 仍然不会自动信任该人的行为。而是会监测每个请求,逐一检查是否存在破坏活动。进一步了解 Zero Trust

Cloudflare 如何协助 IAM 和云?

Cloudflare Access 是一种 IAM 产品,能够监控用户对托管于 Cloudflare 的任何网域、应用程序或路径的访问。它能与 SSO 提供程序集成,同时也允许管理员更改和自定义用户权限。Cloudflare Access 有助于为本地员工和远程员工实施安全策略

Cloudflare 可以在任何云基础设施设置前部署,这样可以让公司更加灵活地实现包括 IAM 提供商在内的多云或混合云部署。