身份与访问管理技术演进之下一代身份安全与IAM技术新趋势

一直以来，我们对身份治理的理解更多停留在传统的身份管理与访问控制，即传统的SSO、IAM等。但随着技术地不断迭代，企业对数字身份的定义、涉及维度及应用领域都在逐渐发生改变，从以“业务应用为中心”转变为以“可信身份为中心”，具体演进过程总结如下图：

这张图是派拉软件基于15年深耕身份安全领域的亲身实战总结，亦是派拉软件在身份安全领域持续深耕的战略定位。而随着技术的不断发展，时间与实践的不断累积，身份安全行业已逐渐走上了第四阶段——超越阶段。

那为什么我们将这个阶段称为“身份安全风险识别”？又为什么着重强调“分析”这一能力？这个阶段有什么技术新变化......

以上这些问题都要从安全理念与技术发展新变革与新趋势说起：

PART ONE

理念新变革：

以“身份优先”的零信任安全

近几年来，随着网络边界的模糊化甚至逐渐消失，传统以网络为边界的安全架构逐渐失效，以“身份优先”的零信任安全理念应运而生，并逐渐成为市场主流。尽管对零信任落地的质疑声还有很多，但这并不影响其成为未来发展新趋势与新主流。

事实上，根据Gartner实际数据调查显示，零信任安全落地与投资正在逐年增长。在2021  年至  2022  年，中国最终用户在  ZTNA  （零信任网络访问）上的支出增长  86%，并预测  2022  年至  2023  年将增长  54%。

众所周知，零信任的安全理念普遍被概括为八个字——从不信任，始终验证。要实现这样全新的安全理念与安全架构，作为零信任三大技术核心的——身份管理与访问控制（IAM）技术势必要进一步升级。

根据国际权威机构Gartner对零信任网络访问(Zero Trust Network Access ，ZTNA)给出的定义：一种安全方法，相关产品或服务将创建一个基于身份和上下文的逻辑访问边界。应用被隐藏在边界以内，所有的访问都需要通过可信代理，从而限制访问者在内网的横向移动。

我们可以看出，零信任下的IAM对身份与访问控制管理的要求更高了，具体表现为对访问者身份数据的采集维度变得更加丰富，并且要做到持续的分析和认证，强调对身份的“持续自适应风险与信任评估”。

PART TWO

技术新趋势：

身份安全风险识别与免疫

在这样的零信任安全理念以及对IAM技术新要求之下，传统的IAM技术要如何发展演进呢？

在网络安全行业风向标的RSAC 2023峰会上，CEO Rohit Ghai 发表了关于身份安全主题为《The Looming Identity Crisis（迫在眉睫的身份危机）》的开幕式演讲给了我们一些答案。

他指出，下一代身份安全产品和IAM技术的重要发展趋势将转向身份基础设施化、智能化、以及融合ITDR（身份威胁检测与响应）一体化，强调“免疫力”的主动身份安全防御能力建设策略。

过去的访问管理和身份管理（IAM）将变成身份安全的基础功能。未来，身份安全平台一定要加强安全防御能力，强调“免疫力”的主动身份安全防御能力建设。

那要如何实现主动的身份安全防御，或者具有安全免疫力的身份安全建设呢？首先我们要确保做到身份安全风险识别。在风险与威胁检测分析识别的基础上，再针对性地采取防御措施。

落到实际的技术落地层面，就需要在传统的IAM基础之上，结合零信任安全理念，嵌入AI、UEBA、ITDR等新技术。

PART THREE

产品新升级：

派拉软件身份安全产品

从上述理念变革与技术趋势中，我们看到，基于零信任理念下的身份安全风险识别与安全免疫是第四阶段身份安全领域的主攻方向。事实上，我们从各大身份安全厂商新发布的产品与解决方案也可以看出其中端倪。

以派拉软件身份安全产品为例。众所周知，派拉软件是国内领先的数字身份安全代表厂商，其产品也是整个国内身份安全产品的一个缩影。

近几年来，派拉软件一直在寻求传统身份安全的新突破，先后发布了以“身份优先”的一体化端到端零信任安全解决方案，随后在身份安全产品中增加AI、UEBA（用户与实体行为分析）等技术能力，结合智能多因素身份认证、动态细粒度最小权限授权等，不断优化身份安全防护能力。

其中，身份安全风险分析识别以及持续身份认证是派拉身份安全产品新升级的主攻方向。例如，派拉软件身份风险检测与防护平台，通过聚焦身份安全，结合不同业务安全风险场景，借助算法模型与AI智能技术，采取风险控制引擎，依据身份因子、浏览器因子、操作系统因子、行为因子等各种风险因子，在重要的风险决策点，如注册、登录、应用系统访问、业务功能获取等环节，进行相关身份安全风险的识别与风险评分。

不同于传统的身份认证，这里的风险识别与安全认证是持续动态的，很好地满足了零信任安全理念中提出的“持续自适应风险与信任评估”。

随后，平台会根据风险等级启动相应的风险打击和控制手段，如结合派拉软件多因素认证能力，或产生告警提醒并通过钉钉、微信、短信等方式告知管理员，甚至针对恶意严重风险，系统直接进行阻断或禁用，从而有效增强数字身份安全风险识别与防御能力，提升身份安全的免疫力。