企业数字身份治理实践研究:从IAM向IGA能力演进的原则与挑战
日期:2023年01月18日 阅:190
为更好地了解我国企业用户在数字化转型中不断变化的数字身份应用和访问行为,探索新场景下身份访问安全管理所面临的挑战,分享数字时代身份治理的行业观点和创新实践,为企业新一代身份和访问管理能力建设提供借鉴,安全牛联合亚信安全、吉大正元、竹云科技、信安世纪、派拉软件、九州云腾、神州泰岳、Authing身份云八家国内数字身份安全管理领域代表性厂商,发起了《数字身份治理与管理(IGA)应用实践指南》报告研究工作。2023年1月17日,报告正式发布。
报告研究认为,新安全技术的快速迭代,已将数字身份安全定义为未来网络安全的基石。但随着企业数字化转型的深入,企业数字身份更加多样化的应用场景与更严格的访问控制需求正在发生激烈的碰撞和冲突。企业现有的身份和访问管理体系,无论是产品形态、技术能力还是应用安全性等方面,都已不能满足企业的数字化应用需求。以IGA(身份安全治理与管理)为代表的新一代身份安全防护能力构建,不仅是未来网络空间建设有序发展的内生需求,更是下一代互联网技术演进的重要基础,必须成为企业数字化转型发展中的优先事项。
报告关键发现
IGA系统建设框架
IGA作为企业数字身份管理、业务访问、新一代安全能力构建的基础,覆盖场景广泛并且具有较强的行业特性。因此,IGA系统建设架构应该具备足够稳定的基础底座及灵活的融合和扩展能力,以适应多场景中的身份管理要求。在本次报告研究中,安全牛对国内主流IGA方案架构进行了分析研究,并以此为基础绘制了IGA系统建设框架,包括密码基础设施层、存储与管理层、分析和处理层、管理中台、可视化管理层。
IGA系统建设框架图
密码基础设施层
密码技术是IGA能力构建的底座,在身份和访问管理过程中起着非常重要的作用,为身份账号存储、流转、身份鉴别和授权、身份计算、传输等提供机密性、完整性和抗抵赖性保护。
存储与管理层
IGA方案会这涉及多种数据,将不同数据按格式化文件存储下来,并结合密码技术做好安全管控,是存储与管理的重点。此外,当用户数据访问并发量较大时,性能将是系统应用的一大挑战,需要参考大数据分布式文件系统的存储管理设计方法。
数据处理和分析层
处理和分析功能主要是通过数据清洗、分析、关联、聚合等技术,为风险管理、身份全生命周期管理、可视化管理提供支撑。
管理中台
主要包含IGA的六大核心能力:账户管理、身份鉴别、策略管理、授权管理、身份全生命周期管理、风险管理。
可视化管理层
不可见的风险才是最大的风险。IGA作为身份、业务、重要资产访问关系的管控平台,实现访问行为的可见性至关重要。
IGA能力增长与演进
报告调研发现,推动企业IGA能力演进的因素有多个方面,如业务环境因素、合规要求、业务管理需求、运维管理需求、风险因素、隐私要求等。以IGA系统建设框架为基础,安全牛研究团队进一步总结了当前企业IGA能力的增长模型。
IGA的能力增长模型
安全牛认为,企业在数字化业务应用需求及合规政策的双重驱动下,其IGA能力建设可以从单点认证、统一身份管理逐渐向细粒度认证授权以及自适应访问控制方向演进。
IGA能力演进说明
IGA能力建设的挑战与原则
随着企业业务系统的增加,数字化身份应用以及权限管理带来的暴露面也在不断扩大,数字身份管理的建设要求越来越复杂。在IGA能力的实际建设中,会存在以下主要挑战:
本次报告结合调研及行业应用实践,也总结了企业开展IGA能力构建时的建议原则:
产业观点与建议
在本次报告调研中,我们通过调研访谈,收集了国内代表性IGA厂商对企业身份治理和访问管理能力建设的观点:
真正的数字身份就是要构建一个统一的完整的身份体系,一切都是以身份为核心,企业应该“抛弃”以账号为核心的管理模式,把账号建立和管理工作从各个分散的业务系统里收回到统一的管理体系里来。
——亚信安全
身份治理首先要建立一个权威的身份池或身份源,并通过密码学的验证技术保证其在流转过程中的真实性、安全性和不可否认性;其次,身份审计要向事前演进,在威胁产生实质风险之前就能够捕捉得到;第三,身份治理要更智能,能够自动生成行为风险模型。
——吉大正元
IAM是业务连接和安全保障的基础组件,是数字化转型的前置条件。数字化转型环境下,身份管理和访问管理的需求在传统IAM基础上进行了扩延,IGA相对传统IAM要更加侧重管理和治理。
——竹云科技
4A能力在不同场景下有一定的通用性,但不同场景下4A的内涵又带有非常明显的行业特性。企业的数字化转型,使不同场景的业务又融合在了一起,特别是运维、办公、网络准入,因此,不同场景的身份要统一,不能各自孤立存在。
——信安世纪
IGA的本质是将分散在各个业务系统中的身份和权限收回到中心化的平台里,减少配置错误,增加统一分析能力,不但要做到入门级控制,还要能实现持续的和细粒度的访问控制。另外,IGA未来发展最主要的是在治理过程中减少对人的依赖。
——派拉软件
新一代IAM通过与企业组织数字化转型中的各类系统整合,实现智能化的风险识别、多云环境匹配、多维度的身份(EIAM、CIAM、PAM 等)管理。IGA的核心能力主要体现在:身份数据的自动化,认证的智能化差异化,风险动态管控,权限的细粒度管控。
——九州云腾
IGA能力的有效落地首先要有一套全量的、唯一的身份数据源,需要将不同的数字身份账号统一起来;其次,身份全生命周期管理要配合企业现有的流程落地,产品要结合业务去落地。
——神州泰岳
通过身份治理提升身份行为的可观测性和身份持续自适应信任的管理,将账户的风险从事后审计向事前风险发现前移,使身份系统从能用到安全使用是当前身份管理工作的重要任务。
——Authing身份云
报告目录
第一章 企业数字身份管理面临的挑战
第二章 IGA技术概述
第三章 IGA技术说明
第四章 IGA技术典型应用场景
第五章 IGA应用实践案例
第六章 企业IGA能力构建
6.1 能力建设的挑战
6.2 建设基本原则
6.3 IGA建设建议(本地化)
6.4 IGA建设建议(服务化)
第七章 IGA发展趋势及未来展望
第八章 参考资料
附:国内IGA代表性厂商及能力说明
目前,《数字身份治理与管理(IGA)应用实践指南》已经在安全牛商城上架,获取完整版本报告,请点击识别下方预售二维码: