身份通路管理（IAM）與多因素認證（MFA）有怎樣的交集？

資料保護是大小企業都會面臨的一大 IT 問題，為了資料安全必須確定隻有授權使用者需要時才能給予相應通路權限，而未授權使用者的通路是絕對不允許的，無論使用者來自内部還是外部，這也是企業實施準入系統的根本目的。

對于為企業或公衆提供産品服務的企業、組織而言，資料保護問題就更加複雜，很容易受到各種途徑的網絡攻擊，導緻客戶資料被竊取。是以，制定身份管理和通路控制的流程及政策至關重要，這些流程和政策也構成了身份通路管理（IAM）的基礎。

一、什麼是 IAM？

身份和通路管理（IAM）主要指企業用于管理使用者身份并規範通路的政策、産品和流程，核心原則是讓對的人在需要時可以使用有相應授權的資源。

IT 管理者通過 IAM 系統為每個使用者配置設定數字身份，使用者憑借自己的數字身份通過認證并擷取資源的通路權限。管理者則必須根據需要監管這些數字身份。

身份和通路管理（IAM）作為企業最關鍵的安全資産之一，也是企業抵禦攻擊者用來竊取資料的公用網絡入口的第一道防線。

二、IAM 有哪些子類别？

身份和通路管理（IAM）涵蓋了所有可用于管理 IT 資源和使用者身份的解決方案，具體包括以下幾個子類别。

1）身份源（IdP)

身份源（IdP）主要管理核心使用者身份，是驗證使用者身份的唯一資料源。

身份源也被認為是最重要的 IAM 子類别之一，是其他子類别的基礎。是以，選擇正确的廠商對于搭建成功的 IAM 系統至關重要。

2）身份認證即服務（IDaaS）

身份認證即服務（IDaaS）是一種基于雲的第三方身份認證解決方案，使企業免于管理身份認證的技術運維。

IDaaS 實際上類似傳統的 Web 應用單點登入（SSO)，也是基于微軟 Active Directory 域服務等核心身份源。雖然Web SSO 并不是真正的 IDaaS ，因為核心身份存在于目錄服務中，但 Web SSO也是通過聯合身份來通路 Web 應用程式。

但最近，随着雲目錄平台的發展，用于身份認證、授權和管理的真正雲服務的概念确實存在。這種現代化 IAM 方法消除了幾個類别，更準确地說是将多個子類别整合成了一個統一的身份通路管理平台。

IDaaS 作為企業級 IAM 解決方案使企業無需考慮基礎設施成本和實施的複雜性，涵蓋了功能擴充、高可用性、安全性、備份等功能，可一次性滿足 IdP、SSO、PAM、SSO、IGA 等多個 IAM 需求。

3）特權身份/通路管理（PIM/PAM)

特權身份管理（PIM）和特權通路管理（PAM）是更精細化的 IAM 子類别。PIM 關注配置設定給系統管理者等不同使用者身份的特權，特權身份可通路伺服器、網絡裝置、存儲系統等關鍵資源。

PAM 就像是通往更進階别安全控制的下一級階梯，是授權通路級别的最後一層，也是特權使用者可檢索的資訊層。PIM 和 PAM共同構成對特權身份的監督，防止對核心資源的特權濫用。這一子類别也随着 AWS、Azure 和 GCP 等 IaaS 解決方案的出現發生了變化。

4）多因素認證（MFA）

多因素認證（MFA)，也稱為雙因素認證（2FA)，它要求使用者提供除了密碼以外的其他身份認證因素增強登入安全，包括手機令牌或硬體令牌這類基于持有裝置的認證，甚至是指紋掃描等生物識别技術。

多因素認證讓身份和通路管理（IAM）系統變得更加安全，因為第二認證因素通常隻有終端使用者知道或持有。谷歌和微軟的研究都表明，使用合适的第二認證因素可以将登入安全幾乎提升到 100%，顯著降低了賬号洩露風險。

以往的多因素認證方案都獨立于其他 IAM 類别，作為終端使用者的附加方案和措施。而現在，現代雲目錄平台DaaS（Directory as a Service）正在将多因素認證內建到标準的身份保護機制中。

DaaS雲目錄平台，也被稱為目錄即服務平台，它擁有類似于微軟Active Directory（AD）活動目錄的能力，管理着使用者和IT資源的連接配接。同時又擴充了AD沒有的功能，比如多因素認證（MFA），DaaS将MFA內建在了目錄服務（也即核心身份源）中，企業無需再單獨安裝部署和運維多因素認證（MFA）伺服器，更省去了複雜的配置過程，IT管理者可以統一管理多因素認證使用的場景和政策，簡便高效。

三、MFA 如何保護 IAM？

雖然多因素認證看起來很簡單，但在保護身份和通路管理（IAM）系統方面也确實發揮了關鍵作用。在不實施多因素認證的 IAM 環境中，任何持有有效使用者憑證的人都可以通路相應的授權資源。一旦憑證被盜，在資料庫進行認證時，被竊取的憑證也會被視為真實有效進而授予通路權限。憑證竊取是最常見的一種攻擊手段，61% 的資料洩露都源于憑證竊取。

實施多因素認證後，IAM 環境就會變得更加安全。即使資料庫核驗了憑證，在使用者完成多因素認證請求之前也不會授予通路權限，多因素認證可能包括手機上的動态令牌或推送認證等，無論哪種形式都能有效防止遠端攻擊。

多因素認證確定 IT 資源不會因為使用者名密碼洩露而受損。要知道靜态密碼作為唯一的身份認證因素時并不太可靠。而實施多因素認證後，攻擊者竊取了有效憑證也很難通過二次認證。

四、IAM中的MFA面臨哪些挑戰？

不了解安全最佳實踐的決策者和終端使用者可能并不看好多因素認證的應用前景，因為通過裝置或令牌登入認證比密碼登入要花費更多時間，使用者可能覺得不友善，尤其是基于時間的動态令牌。相比之下，手機推送認證的使用體驗更好，是更能被使用者接受的認證形式。然而，選擇合适的認證形式是一方面，另一方面 IT 部門必須組織使用者教育訓練，讓他們适應多因素認證。

還有一點值得注意的是，多因素認證工具雖然看上去适用 Web 應用程式，但其實并不涉及 IAM 的其他功能。換句話說，如果沒有多因素認證和使用者的統一管理工具，也沒有第三方內建工具，實施多因素認證可能會很困難。如果把選擇權交給使用者，部分使用者可能會選擇不啟用多因素認證，最終産生網絡攻擊風險。

五、如何充分利用 MFA 保護 IAM？

所有企業都應遵循以下幾條關于多因素認證的最佳實踐準則來保護 IAM。首先，對于所有請求通路 IT 資源的使用者都應強制要求多因素認證，以免未授權通路威脅資料安全。對于所有關鍵的 IT 資源，從雲應用到本地應用再到 VPN 和無線網絡等，都應該啟用多因素認證加以保護。

其次，使用者也應該為使用的裝置啟用多因素認證，確定通路安全。所有資源的通路都會經由裝置，裝置入侵導緻的未授權通路不僅會危及本地資料，甚至影響對企業的關鍵 IT 資源的通路，是以對裝置實施多因素認證保護也是必不可少的。多因素認證方案能夠有效保護 Linux、Mac 和 Windows 裝置。

最後，多因素認證和條件通路政策配合使用效果更好。管理者可以通過條件通路政策自定義 在哪些條件下出現多因素認證提示，優化了使用者體驗的同時仍能滿足安全要求。例如，管理者可以為 IP 白名單上的員工或使用可信裝置的主管禁用多因素認證提示。

總結而言，能有效支援企業身份和通路管理 IAM 系統的理想化多因素認證解決方案應具備以下特征：

1、可直接內建核心身份源，而非單點解決方案

2、無需訂閱額外的廠商服務

3、可擴充到包含雲應用在内的所有 IT 資源

4、可保護異構 IT 環境

5、可定制條件通路政策