統一身份和訪問管理(Identity and access management，IAM)在當今“數字優先”的世界中正變得越來越重要。現代企業員工需要在任何設備(服務)上實現“隨時隨地工作”(work-from-anywhere)的訪問模式。這就迫使組織考慮構建新一代的IAM平臺，通過更加科學的方式，為數字資源賦予適當的訪問權限，從而發揮保護數字資產的重要作用。

　　新一代IAM發展趨勢

　　早期的IAM技術是建立在傳統IT架構平臺上的，主要負責管理人的身份。而隨著數字化業務系統和物聯網應用的快速發展，IAM系統不僅需要給數量龐大的“機器”和業務系統賦予身份并實現有效管理，還需要從組織數字化業務開展的整體視角，統一制定出各種數字資源的訪問規則和策略。為了滿足以上應用需求，新一代IAM技術快速發展并呈現以下趨勢：

　　1、去中心化身份

　　去中心化身份是對個人、應用服務和機器身份擴展響應的關鍵特征。隨著各種新型身份數量的激增，IAM底層技術需要徹底轉型，以滿足組織數字化發展和隱私保護的身份管理需求。支持區塊鏈的身份和去中心化身份是新一代IAM系統變革發展的關健特征，使用戶能夠自主創建、驗證和注冊他們所需要的任何類型身份。這種模式的轉變不僅能夠降低用戶的運營成本，還能夠降低原來集中式身份管理模式的一些固有風險，從而增強了數字生態系統的彈性和安全性。

　　2、零信任安全架構

　　零信任安全代表了網絡安全防護的理念轉變，體現了“永不信任，永遠驗證”的原則。這種方法需要基于持續不斷地用戶身份驗證活動，以加強安全管控措施。在零信任安全架構下，IAM系統需要通過根據用戶特征和權限管理審查訪問請求，在用戶體驗和網絡安全之間取得了微妙的平衡。采用零信任安全模型的IAM系統，可以幫助組織培養主動的安全文化，以減輕未經授權的破壞風險，并加強其整體安全態勢。

　　3、增強的用戶體驗

　　提升IAM系統的用戶體驗是組織的當務之急。為了完成這一目標，IAM策略必須與業務和IT目標緊密結合，確保以用戶為中心的優先級在組織功能中產生共鳴。

　　組織還應為所有外部用戶(消費者、業務客戶和合作伙伴)制定統一連貫的策略。例如，確保IAM優先事項與業務優先事項和IT優先事項都相一致，提供全方位渠道體驗，并統一客戶畫像資料。通過統一的客戶數據流，組織可以編排個性化的交互，無縫地跨越各種接觸點，在提高整體運營效率的同時，培養用戶之間更深層次的參與度和忠誠度。

　　4、無密碼身份認證

　　無密碼身份認證標志著對傳統密碼依賴的重大轉變，提供了一種更強大、用戶友好的身份認證方法。為了實現這種變革轉變，新一代IAM方案需要深入研究利用生物識別技術進行創新的身份驗證，最大限度地減少與傳統基于密碼的系統相關的安全性漏洞。例如，采用快速在線身份識別(FIDO)是實現完全無密碼體驗的關鍵一步，可以抵御無處不在的網絡釣魚攻擊威脅。通過采用無密碼身份認證方法，IAM不僅可以幫助組織增強其安全態勢，還可以簡化用戶交互，培養無摩擦的身份認證體驗，同時增強應對網絡威脅變化的整體彈性。

　　5、隨時隨地連接計算(Connect Anywhere Computing)

　　企業數字化轉型和云應用需要更多的支持，包括支持混合IT環境中的身份、多個云平臺中的身份和計算設備身份。向遠程和互聯計算的過渡強調了更復雜的訪問控制機制的必要性。為了應對這種不斷變化的環境，組織正在轉向能夠區分合法用戶和惡意機器人的高級IAM管理平臺，從而加強其網絡安全防御。通過支持隨時隨地連接計算(Connect Anywhere Computing)功能，IAM可以為員工提供無縫的遠程訪問，還可以保護其數字資產免受新出現的威脅，確保在日益互聯的環境中提供強大的保護。

　　6、自適應訪問控制機制

　　實現零信任架構需要采用行業最佳實踐來最小化安全風險并加強組織防御。這涉及強制將多因素身份驗證(MFA)作為特權訪問的基本要求，在傳統的密碼身份驗證方法之外添加額外的安全層。

　　此外，利用自適應訪問控制機制作為零信任體系結構的組成部分，通過基于上下文因素(如用戶行為和設備狀態)不斷評估和調整訪問權限，進一步增強了安全性。通過自適應訪問控制策略，組織可以建立更強大的安全態勢，不僅可以降低未經授權訪問的風險，還可以與不斷發展的網絡安全標準保持一致，保護敏感數據和關鍵資產免受復雜的網絡威脅。

　　新一代IAM應用實踐

　　因為IAM涉及了多方利益相關者的日常工作，因此，它的應用往往被認為是復雜的、困難的并且會帶來較大成本性投入的。為了更好地建設應用IAM，最大限度發揮其價值，建議企業組織遵循以下最佳實踐：

　　1、徹底審計組織資產

　　當組織將新的IAM工具集成到數字化業務中時，第一步應該是對組織的資產和應用程序進行徹底的審計檢查，特別是組織中的用戶身份，因為它們中的許多可能早已過期。這些身份賬戶會對整個體系構成真正的風險，清理這些賬戶會讓組織收獲頗豐。一旦了解了歷史身份庫存情況，組織就可以著手部署新的IAM工具。在此過程中，安全管理者必須構建好身份治理管理和特權訪問管理，防范可能出現違規的訪問。

　　2、“從點到面”試點

　　開展新一代IAM建設時建議從小事做起——確定四到五個最廣泛使用的應用程序。從試點工作開始，安全團隊可以與那些應用程序團隊密切合作，構建和啟動集成。通過早期的使用經驗也將有助于在內部為其他項目提供動力。

　　具體來說，組織可以選擇一種技術，比如多因素身份驗證(MFA)或特權管理，然后按部門或地區采取分階段的方法，利用從每次小型部署中吸取的經驗教訓，使后續部署更加成功。從哪里開始并不重要，重要的是要堅持下去。

　　3、選擇合適的服務提供商

　　明智地選擇IAM服務供應商也很重要，要比較市場和每個平臺或工具套件提供的內容。安全團隊還應該努力回答以下基本問題：

　　它是否具有您組織所需的所有組件和功能?

　　它能否管理組織的所有環境應用需求?

　　是否能提供一個統一的身份管理“界面”來管理所有身份?

　　系統是否與環境中已有的業務系統有效集成?

　　如果不事先充分考慮上述因素，在IAM系統建設過程中就可能會消耗IT和安全團隊的大量資源。

　　4、贏得公司管理層支持

　　IAM系統要想整合應用成功，必需要得到公司董事會和相關業務部門的支持。大量實踐表明，IAM項目成功的最大挑戰就是文化阻力和員工們對新事物的恐懼。從戰略上講，IAM項目關鍵的一點是要與董事會和高級管理層充分溝通，確保他們理解項目努力實現的目標的價值。

　　對于許多安全團隊來說，讓董事會了解網絡風險及其與業務風險的關系仍然是一個挑戰。對于這種情況，建議使用一些數據驅動的實際案例來引起管理層的共鳴，比如如果敏感數據因身份攻擊而泄露，監管機構會對組織進行什么處罰，或者如果組織的知識產權泄露會發生什么?組織是否會失去競爭優勢甚至客戶?

　　除了董事會的參與外，還需要取得組織業務部門的支持。這將確保員工們不會試圖尋找規避IAM的方法，增加系統的運行難度。

　　原文鏈接：https://10xds.com/blog/trends-and-best-practices-of-identity-and-access-management-iam-to-look-out-for-in-2024-and-beyond/