隨著組織的數字身份數量激增，基于身份的網絡攻擊活動也在不斷增長。在身份優先的安全原則下，新一代身份安全方案需要更好的統一性和控制度。而在現有的身份管理模式中，組成業務運營的各應用程序和服務需要依賴特定的身份存儲系統來獲取憑據，往往難以管理和集成到統一的安全流程中。在此背景下，一種新興的身份安全防護理念——身份結構免疫(identity fabric immunity)開始受到行業關注。

　　從身份管理到身份結構免疫

　　目前的IAM(統一身份安全管理)方案大多獨立于需要保護的應用程序而存在，其他應用服務需要依賴IAM服務來獲取授權和身份驗證信息。這種身份安全管理的模式在一定程度上發揮了作用。但是當企業業務大量上云后，特別是在面對多家云提供商或公共云、私有云和本地化混合部署環境時，就開始顯得力不從心。而實際上，多云和混合云部署已經成為了現代應用系統開發的常態。

　　研究人員發現，企業脆弱的身份安全態勢往往是由其整體身份結構中的不完整、配置錯誤或易受攻擊的元素引起的。由于今天的應用程序大量分布式部署，用戶、合作伙伴和客戶需要從任何地方登錄系統，這使得安全團隊沒有一個易于界定的網絡和物理邊界來保護它們。當現有的IAM解決方案不足以全面滿足組織的身份安全需求時，身份結構免疫理念應運而生。

　　身份結構免疫起初是一種維護企業應用系統生態及其安全關系的方法。它遵循了零信任架構的安全理念，可以用來引導企業從容應對錯綜復雜的現代軟件應用安全需求。身份結構免疫的一個核心思想就是“融合身份”，將所有的用戶身份提取到抽象層中，從而減少潛在攻擊機會，及時改進威脅應對和事件響應機制，并簡化身份和訪問控制。

　　當基礎設施復雜性開始在組織內部帶來統一身份管理的挑戰時，身份結構免疫所倡導的安全抽象層就提供了一條解決方案。身份結構免疫中的“免疫”指系統結構中固有的威脅抵抗力。集成式安全層則為實施一致的策略、持續的監視和集中的管理創建了一個統一平臺。身份結構旨在提供其他組件可以依賴的層。這一層始于基礎設施的多樣性這個前提，并使擁有不同配置文件的組件參與其中盡可能簡單。

　　身份結構免疫的一個主要優點就是，它為組織開展身份安全防護工作時引入了整體觀。身份結構免疫并不是一種具體的產品，而是通過實施身份編排，幫助組織創建一個完整的身份體系結構，從而將現有的IAM解決方案和各種防護產品整合起來。沒有身份結構免疫這樣的整體方法，組織的CISO及安全運營團隊可能會永遠跟在攻擊者的后面，始終很被動的響應攻擊。

　　根據研究機構Gartner預測，到 2027 年，身份結構免疫技術將能夠幫助企業阻止 85% 的身份安全攻擊，從而將違規的財務影響降低 80%。研究人員認為，通過實施身份結構免疫原則，組織不僅可以通過身份威脅和檢測響應 (ITDR)技術來保護身份結構中的現有 IAM 組件，而且還可以通過合理配置來進一步提升這些組件的實際防護能力。

　　身份結構免疫應用實踐

　　身份結構免疫技術在今后幾年會變得越來越重要。不過它的建設應用需要組織投入一定的時間和資金，因此建議企業隨著數字化業務發展的需要，分階段逐步實施。以下是身份結構免疫應用中的幾個關鍵角色：

　　IdP(身份提供者)：身份結構免疫方案在提供各種功能的身份驗證服務時，必須有一個中央記錄目錄，IdP就扮演這個角色。它可以是一個數據存儲系統，比如輕量級目錄訪問協議(LDAP)或云IAM。組織在應用身份結構免疫方案時，一些原有的憑據系統需要遷離到獨立的數據存儲系統;

　　API網關：該組件為應用程序和身份結構之間的安全通信提供便利。它主要是在網絡路由層，為各應用程序和服務集中提供了身份編排和安全驗證機制;

　　身份代理(IB)：它使客戶端組件更容易進行對話以協商身份驗證。這個組件專門用于方便ID使用者和提供者之間的初始身份驗證交互;

　　策略引擎：該組件可以根據用戶角色、屬性和上下文(比如位置和設備)定義授權規則。與ID代理一起，它提供了高級抽象以消除基礎設施的不規則性;

　　總的來說，身份結構免疫致力于以統一的、集中管理的方法來解答這些問題：應用程序如何進行身份驗證和授權?用戶如何配置API并與之交互?如何創建和撤銷憑據?采用解答這些問題的一致框架意味著減少攻擊面，并減少系統中的復雜謎團。企業規模越大，越難以通盤考慮這些因素，這時采用分階段模型或成熟度模型來考慮就很有用。

　　為了幫助讀者對身份結構免疫概念有更直觀的了解，以下介紹了一個典型應用場景：有一個暴露API并實施業務邏輯的后端(可能是Java、.Net或NodeJS)，具體的堆棧并不重要。它與某處的身份存儲系統進行通信，安全方面接受憑據(可能是用戶名/密碼)，并對其進行驗證。一旦成功，某種令牌被添加到用戶會話中。可以通過多種方式處理令牌，比如通過cookie或請求頭。

　　而后端組件需要通過以下步驟才能進入到身份結構免疫架構中：

　　把它放在API網關后面。客戶機請求現在被發送到API網關，API網關負責身份驗證，還可能負責授權。

　　在獨立身份提供者上托管用戶憑據。這可以通過兩種基本方式來處理：將現有憑據遷移到IdP，或者要求用戶在新的IdP上重新注冊。

　　API網關現在與IdP通信，建議提供用戶憑據，并接收授權令牌，可能是JWT(JSON web令牌)，最好是通過OIDC之類的標準協議完成。

　　用戶通過身份驗證后，根據令牌判斷進一步的請求。JWT之類的令牌可能保存用戶聲明(比如角色)，隨后根據該信息，借助API網關和IdP進行授權處理，其他組件則可以看作是相應的變體。

　　參考鏈接：https://www.csoonline.com/article/2077860/what-is-identity-fabric-immunity-abstracting-identity-for-better-security.html