什麼是身份和通路管理（IAM）安全政策？

您企業内的使用者身份真的安全嗎？

歸根結底，這一問題的答案取決于企業身份和通路管理（IAM）政策的嚴謹程度。IAM 的概念比較寬泛，指企業如何管理使用者對裝置、檔案、網絡和應用的通路權限，而 IAM 安全政策的着眼點更具體，主要指企業為降低身份相關的風險而制定的政策體系。

随着遠端辦公不斷普及，設定嚴謹的 IAM 安全政策既能為員工提供辦公所需的通路權限，又能保護企業的資産安全，對企業來說至關重要。制定 IAM 安全政策時，首先要了解其含義、實施方法以及實施原因。

什麼是 IAM 安全政策？

IAM 安全政策包含了用于保護企業使用者身份、防止惡意攻擊或無意洩露的所有流程、系統和應用。IAM 基本都和管理者有關，管理者需要保護使用者安全、幫助使用者流暢地通路企業 IT 資源，IAM 安全政策就是要用盡可能低風險的方式實作這一流程。

IAM 安全政策就像是企業與來往使用者之間的一道護城河。在使用者已經經過适當的篩選、許可和預配的情況下，設定這道護城河隻是為了有備無患。而在其他防護手段漏洞百出且網絡入侵者試圖襲擊企業網絡的情況下，IAM 安全政策将是最後一道防線。這道額外的安全層能保護企業核心資産避免落入不法分子手中。

IAM 安全政策的優勢    

簡單來說，實施 IAM 安全政策的确具有幾大優勢，但不實施這一政策産生的後果卻是企業承擔不起的。IBM 2021年釋出的一份報告顯示，資料洩露事件對企業造成的平均損失高達424萬美元，其中最常見的誘因是憑證竊取。IT 部門作為企業使用者身份的管理者要預防網絡攻擊就必須制定嚴格的 IAM 安全政策。

1）快速更新防護  

現代 IAM 安全解決方案為企業提供了安全防護的黃金準則，自動化的流程也讓運維更便捷。

企業可以通過單向的加鹽哈希密碼、多因素認證、密碼複雜度設定和 SSH 密鑰管理減少身份洩露，顯著提升企業的安全狀況。

2）提高 IT 部門效率

對管理者來說，今天的 IAM 安全方案比傳統的本地方案更容易管理。企業在制定安全政策時，應考慮 IT 人員的可用性和工作量。許多現代 IAM 平台都提供自動化的遠端管理系統，讓 IT 部門能騰出時間完成更複雜的任務。

IAM 安全政策範例

雖然 IAM 安全政策還沒有通用的實作方式，企業還是可以參考以下提示将安全性提升到最高，同時盡可能為 IT 部門減負。秘訣就是找到合适的遠端軟體，實施零信任安全政策，并要求使用者在裝置上啟用多因素認證。

1）遠端化

遠端化是 IAM 安全政策的必要部分，如果企業現有的 IAM 安全政策不是基于雲的，那麼遠端化就是企業布局 IAM 安全政策的第一步。遠端通路不僅對在家辦公的員工連接配接企業網絡時至關重要，而且能讓 IT 部門随時随地進行故障排除和安全政策的管理。 

當 IAM 安全系統駐留在本地時，遠端終端使用者必須斷開 VPN 才能辦公，這就給管理者的系統維護工作增加了負擔，犧牲了其他任務時間。解決密碼更改等大量支援請求時如果還需要 VPN 通路，情況就變得更複雜，這時 IT 支援人員隻能采取其他方法，而終端使用者隻能焦急等待。

IAM 安全流程的遠端化幫助企業員工輕松通路内網的同時還為管理者持續提供無縫監控，一舉兩得。

2）實施零信任政策

随着現場辦公逐漸向混合辦公轉變，使用者可以從家庭 WiFi、公共咖啡館等任何地方登入，對身份驗證安全的需求由此産生。為此，企業可以采用零信任安全政策。

零信任政策并不是一種自動身份驗證，而是規定在使用者或裝置隻有通過信任模型的身份驗證後才能通路系統、應用或網絡。僅僅因為使用者持有正确的憑證并不代表該使用者就是被授權使用該憑證的人。

要在企業中實施零信任政策，需要抓住一切機會在通路業務中增加身份核驗步驟。

管理者仍應設定嚴格、複雜的密碼要求，不過在此基礎上使用條件通路政策或在身份驗證過程中使用多因素認證對于防止惡意使用者利用竊取憑據很有幫助。其中，條件通路政策指僅準許受信任網絡或私有網絡上的管理裝置進行通路，而多因素認證将在下節詳細展開。

3）啟用多因素認證（MFA）

MFA 是建立 IAM 安全政策最簡單也最有效的一種方法，它要求使用多個憑證進行驗證，自動加強對使用者身份的保護。MFA 中的憑證通常涉及靜态密碼或 PIN 碼，以及一個或多個附加驗證因素，如安全問題、發送到另一台裝置的驗證碼、确認來自身份驗證APP的推送通知，甚至提供指紋或視網膜等生物識别信号。

由于靜态密碼任何人都能擷取，MFA 的其他驗證因素通常設計為使用者的持有物、生物特征或行為特征。雖然密碼很容易在資料洩露中被竊取，但攻擊者即便知道了密碼，也很難通路手機擷取驗證碼或猜出随機的六位 TOTP 密碼。

甯盾雙因素認證（2FA）就是一種最常見的 MFA 方式，隻需要在密碼以外再采用一個驗證因素，通常為OTP（動态密碼）。除此之外，甯盾雙因素認證還研發創新了适合國内社交環境的企微、飛書、釘釘H5令牌，無需下載下傳任何APP，通過員工手機端/電腦端的企微、飛書、釘釘工作台中的小程式令牌即可獲知動态密碼；還有企微、飛書、釘釘的掃碼認證，更加便捷。

由于 2FA 可以平衡企業的安全性和使用者體驗的便利性，很多公司更願意使用 2FA，如果企業想進一步提升安全性，可以根據需要設定盡可能多的驗證步驟。

為您的企業選擇合适的 IAM 安全解決方案

在當今不斷發展的混合辦公場景下，如何平衡隐私和安全成為企業的一大難題。IT 部門需要在不影響 IAM 安全政策的情況下提高遠端通路的效率，使其更易于管理。

針對這一問題，甯盾的解決方案是一體化身份認證平台（IAM系統），同時将于今年推出基于雲的 IAM 管了解決方案（IDaaS平台），讓管理者可以統一對整體 IAM 安全政策進行無縫管理。