什么是身份和访问管理 (IAM)？

身份和访问管理 (IAM) 就是建立用户身份并验证用户是否有权访问某些应用程序和信息类型。

根据 政治家2022 年，全球 IAM 市场价值 160 亿美元。预计到 2029 年，这一市场将增至 430 亿美元。显然，IAM 是一项需求量很大的技术，许多组织开始意识到将 IAM 纳入其数据的必要性安全工作。

让我们仔细看看 IAM 是什么、它是如何工作的、它的优点和缺点以及一些推荐的解决方案。

什么是身份和访问管理？

根据 Gartner 的定义，“身份和访问管理（IAM）是一门安全和业务学科，包括多种技术和业务流程，帮助正确的人员或机器在正确的时间以正确的理由访问正确的资产，同时保持未经授权的访问权限。”防止访问和欺诈。”

那么，IAM 是策略、流程和各种安全工具的集合，充当组织在线和数字资源的看门人。 在云计算和在家工作运动之前的时代，这是一个相对简单的主题。

防火墙曾经足以提供保障。 如果您位于防火墙内，您只需现场登录并访问您需要的任何内容。 如今，IAM 必须能够应对可能在家、在办公室或在路上的员工。 而且，在这些工作环境中，数据和应用程序可能位于内部、私有云或公共云中。 然而，无论授权用户位于何处，都必须能够快速访问。

因此，现代 IAM 必须能够应对应用程序和数据的去中心化性质，同时仅向那些可验证真实身份的身份提供对电子邮件、数据库和数据的安全访问。 最好的系统还必须实现安全性和功能性的适当平衡。 用户不想等待很长时间才能使用他们的工作工具。 需要克服太多的安全障碍，您的生产力就会开始受到影响。 因此，IAM 的工作是阻止黑客和犯罪分子的入侵，同时允许员工、授权合作伙伴和客户进行访问。

为什么需要身份访问管理

和 网络钓鱼 尽管安全意识培训已经变得如此普遍，但仍有太多员工继续成为这种情况的受害者，因此必须采取进一步的保障措施。 IAM 简化 监控谁有权访问什么，并在必要时撤销这些权利的任务。

IAM 的优点

• 保证数据和身份的安全： IAM 提供了多重身份验证 (MFA)、单点登录 (SSO) 和加密等功能，为两者提供了强大的障碍。
• 合作： IAM 不仅将不需要的访问者拒之门外，而且还提供了一个安全的空间，让拥有适当权限的人可以安全地共享信息。
• 遵守： IAM 的存在使合规工作人员能够更轻松地证明遵守各种法规。
• 方便： IAM 通常包含 SSO 等功能，因此一旦您进入，就无需为其他应用程序和系统输入更多凭据。
• 集中控制： 自动化功能和标准化用户配置文件的存在有助于简化职责并增强安全性。

IAM 的缺点

• 权利定义不明确： IAM需要建立一个框架来管理身份，以及为每个用户建立一个标准化的配置文件来定义他们可以做什么和不能做什么。 如果做得不好，人们可能会获得超出其角色应有的访问权限。
• 内部滥用： IAM 可能会很好地阻止不属于其中的人，但流氓内部人员或心怀不满的员工可能会通过向未经授权的用户授予权限或广泛开放系统来滥用该系统，而且通常不会被发现。
• 实施挑战： IAM 需要熟练的 IT 和安全人员，他们能够彻底实施 IAM 并克服前进道路上的许多障碍。
• 单点故障： 如果管理权限受到损害，整个组织和每个用户都将面临严重风险。

IAM 的工作原理

顾名思义，身份和访问管理有两个主要功能：身份管理和访问管理。 这些可以进一步细分为更多功能，如下所示：

身份生命周期管理

必须根据集中式身份数据库检查登录尝试。 当人们进入或离开组织时，所有用户的记录需要不断更新。 随着角色的变化和组织的发展，身份数据库需要得到良好的维护。 一旦有人被招募，他们就需要在数据库中准确输入个人资料。 此简介在他们的任期内保持最新。 当他们离开时，他们的个人资料和相关权限需要被删除，这样他们就无法再访问关键系统。

访问控制

在身份验证之后，IAM的下一个功能是管理他们的访问权限。 这都是关于他们可以看到什么、不允许他们看到什么以及他们可以或不能使用哪些应用程序。 有些组织在访问控制方面很严格，而另一些组织则比较宽松。 IAM 的存在有助于 IT 部门监控此功能并发现被授予过多权限的人员。

认证与授权

身份验证通过后，即可授权访问特定资产。 IAM 使用职称、任期、安全许可和项目成员资格等因素来确定谁应该有权查看哪些内容。

身份治理

IAM 与合规性密切相关。 身份治理涵盖整个身份和访问功能，以确保遵守所有适当的标准，组织始终遵守适用的法规，并且对身份和访问权限的任何更改都存在审计跟踪。

流行的 IAM 解决方案

JumpCloud、OneLogin、ManageEngine AD360 和 Okta 名列前茅 市场上流行的 IAM 解决方案。 每个都广泛部署在许多垂直领域。 那些 选择 IAM 工具 应该关注每个候选人的优点和缺点。

跳云

由于 JumpCloud 提供的一系列功能，它非常适合拥有大量云服务的企业。 作为 Active Directory (AD) 的替代品，它也是 Microsoft 商店的不错选择。 主要功能包括大量预构建应用程序和企业级密码管理器。 该平台的费用为每位用户每月 19 美元，如果添加零信任和高级支持则为 24 美元。

奥克塔

Okta 非常适合大型企业部署，尽管它也服务于中端市场。 因此，它提供了广泛的定制、无代码/低代码/代码和集成选项。 定价基于个人功能。 对于 MFA、目录、SSO、生命周期管理、API 管理和特权访问管理 (PAM) 等项目，每个用户每月 3 美元到 15 美元不等。

一次登录

OneLogin 特别适合不寻求开箱即用的 IAM 方法的组织。 除了大量集成之外，开发人员还可以对平台进行高度定制，包括定制品牌。 由于具有吸引力的价格，中小型企业经常被这种产品所吸引。 与 Okta 类似，价格按特定功能（例如 SSO 和 MFA）划分。

管理引擎AD360

ManageEngine AD360 适合那些寻求实现零信任、IAM 以及安全信息和事件管理 (SIEM) 统一方法的组织。 它提供大型组织可能需要的广泛安全功能，以及与 SIEM、零信任和其他安全工具和技术的集成。 定价根据用户数量分级，100 个用户的起价为每年 395 美元。

身份和访问管理已成为现代企业的核心安全技术。 您可以通过阅读我们的白皮书了解有关 IAM 的更多信息， “IAM 的 10 个普遍真理。”