如何更好地理解 IAM

信息安全 访问控制 oauth2 山姆 身份管理 xacml
2021-08-24 18:46:48

我对身份和访问管理 (IAM)越来越感兴趣,但我发现很难找到适合我的完整且易于理解的解释,这肯定是因为我开始错了。

我从 Wikipedia 开始,并在这里和那里进行讨论(推特、松弛频道等)。

我的主要问题是:

  • 术语:有时,解释需要对所用词的解释
  • 不同的思想流派:通常,有不同的方式来解释问题,然后有更多的方式来解决这些问题。我不明白什么方法最适合什么情况,我想知道为什么这个或那个不如另一个好。我看到了不同的意见,很少有人设置最佳解决方案或方法。
  • 技术:我在某处读到,一个好的访问控制与文件系统协同工作,应该适合这个目的。真的吗 ?这些系统是什么?
  • 参考资料:我幻想找到一个“最好”的参考资料,可以清除所有这些,同时保持客观并解决我忘记或不知道的事情。

例如,我开始认为ABAC会提供最好的细粒度控制,而XACML、SAML 和 OAUTH2一起使用可以形成一个完美的(但可能是繁重而复杂的)系统。但后来我看到人们对此大肆宣扬(“又一个 OASIS 定义”)并反对NGAC(下一代访问控制)。

所以现在我的问题:

  1. 我应该如何操作以获得该主题的正确专业知识?换句话说:从哪里开始,接下来要查找什么,最终要实现什么?
  2. 我在问正确的问题吗?
1个回答

你的问题是一个很好的问题,作为一名 IAM 从业者,我只能为这种混乱道歉。IAM确实是一个很大的领域。我认为可能值得退后一步并通过基本元素。

介绍

IAM 或身份和访问管理是 IT 安全的一个领域(就像网络安全、加密等......)。它可以分为四个关键区域,如下图所示:

什么是身份和访问管理?

IAM 中有几个子字段。这是一个非详尽的列表

  • 认证技术
    • 传统认证方式
    • 强身份验证(例如一次性密码、双重身份验证……)。该领域的供应商包括 Yubico。
  • 身份联合。
    • 该领域的供应商包括 CA SSO、Ping Identity ......
  • 身份即服务 (IdaaS)
    • 该领域的供应商包括 Okta。
  • 用户管理和目录
    • 用户目录,例如 LDAP
    • 虚拟目录。该领域的供应商包括 Radiant Logic。
  • 特权帐户管理 (PAM)
    • 该领域的供应商包括 Cyber​​Ark
  • 身份和访问治理 (IAG)
    • 该领域的供应商包括 Savyint 和 Sailpoint
  • 外部化(动态)授权管理(EAM 或 DAM)

与 IAM 相关的其他领域

有一些不属于 IAM 本身但肯定有很大帮助的辅助字段,例如 SIEM(安全信息事件管理)。还有一些领域使用/利用 IAM,例如 API 安全性。事实上,您提到的一些标准(OAuth 2.0、OpenID Connect)是专注于 API 身份验证的标准。

大型供应商套件

您会发现较大的供应商(Oracle、Microsoft、IBM)都有身份管理套件,其中包括上述部分或全部子字段。

外部化(或动态)授权管理

我关注的领域是EAM。在我提供的培训课程中,我通常从这张幻灯片开始,我希望它也能帮助你:

EAM 在 IAM 和安全性中的地位

动态授权管理的实际模型称为基于属性的访问控制(ABAC)。这是一个已经存在很长时间的模型。它于 2013 年由 NIST(美国国家标准与技术研究院)正式确定。

实现 ABAC 的事实标准是XACML,即可扩展访问控制标记语言。它始于 2001 年,当前版本于 2013 年发布。

您提到 NGAC:这只是一个研发计划,而不是一个标准。

空间文学

我将 Kuppingercole 和 Gartner 称为拥有大量 IAM 文献的两家主要分析公司。他们会有很好的定义和视频。

你的问题

我的主要问题是:

术语:有时,解释需要对所用词的解释

通读我的帖子,查看维基百科,并阅读 Gartner 等机构的报告。

不同的思想流派:通常,有不同的方式来解释问题,然后有更多的方式来解决这些问题。我不明白什么方法最适合什么情况,我想知道为什么这个或那个不如另一个。我看到了不同的意见,很少有人设置最佳解决方案或方法。

不,在 IAM 中,没有不同的思想流派。场比较均匀。有竞争的供应商和开源解决方案,但原则是一成不变的。

技术:我在某处读到,一个好的访问控制与文件系统协同工作,应该适合这个目的。真的吗 ?这些系统是什么?

这个说法有点奇怪,因为 IAM 并不特定于任何一个给定的层。您应该能够在任何层(应用程序、数据库、文件系统...)中使用 IAM。此外,IAM 中的不同学科旨在构建可互操作的标准,以便您可以将身份验证与用户管理与授权解决方案集成在一起。

参考资料:我幻想找到一个“最好”的参考资料,可以清除所有这些,同时保持客观并解决我忘记或不知道的事情。

这就是分析公司的目的。还要考虑IDPro,我是一个创始成员的组织。我们努力为所有 IT 专业人士创造一个参与的空间,分享他们对 IAM 的知识,或了解更多关于该空间的信息。

例如,我开始认为 ABAC 会提供最好的细粒度控制,而 XACML、SAML 和 OAUTH2 一起使用可以形成一个完美的(但可能是繁重而复杂的)系统。但后来我看到人们对此大肆宣扬(“又一个 OASIS 定义”)并反对 NGAC(下一代访问控制)。

很抱歉你必须通读这个。让我解释一下。

  • 如前所述,ABAC 是一种授权模型。它由 NIST 正式化,并扩展了 RBAC 自 1992 年以来的出色表现。您可以在此处查看有关 RBAC、ABAC 等的快速介绍视频
  • XACML:可扩展访问控制标记语言。一种 OASIS 标准,用于定义管理 ABAC 授权策略的策略语言、体系结构和请求/响应方案。
  • SAML:安全断言标记语言。一种 OASIS 标准,用于解决身份联合问题(除其他外)。它广泛用于 Web 单点登录和联合。
  • OAuth 2.0:旨在修复“密码反模式”的开放标准,在这种模式下,用户必须将服务 1(例如 Facebook)的密码提供给服务 2(例如 Twitter),以便服务 1 可以代表用户使用服务2. 使用 OAuth,您无需共享密码即可做到这一点。OAuth 2.0 实现授权委托。
  • OpenID Connect:一套基于 OAuth 2.0 的标准,用于解决身份验证问题,尤其是在 API 领域。OIDC 有可能取代 SAML。

我应该如何操作以获得该主题的正确专业知识?换句话说:从哪里开始,接下来要查找什么,最终要实现什么?

这就是这个站点、维基百科、分析站点(Gartner 和 Kuppingercole)、专业系统集成商(例如美国的Security Architect)、标准机构(例如 Kantara、OASIS、IDPro)的用途。

我希望这有帮助。

其它你可能感兴趣的问题
上一篇出售零日交易的程序是什么? 下一篇蛮力 FileVault 加密?