“密碼”這個原本用來保護我們隱私的東西，現在儼然已經變成了我們的“累贅”，由密碼所導致的安全問題日趨凸顯，而身份管理解決方案的誕生接管了“密碼”的任務，并負責收拾“殘局”。

持續跟蹤用戶的賬號以及密碼聽起來好像很簡單，但其實不然。比如說，對于一個企業環境內的受保護網絡資源，企業員工、外部承包商、物聯網IoT設備和其他網絡應用程序都可以通過各種方式來訪問這些資源，而此時的密碼并不足以切斷這種類型的訪問請求。

在這種情況下，安全風險是非常高的。根據Verizon發布的數據泄露調查報告，2018年所有確認的數據泄露事件中，有81%涉及到用戶的身份信息泄露。

因此，圍繞這些安全問題的漏洞和安全攻擊日趨復雜，而這種情況也在促使整個安全社區圍繞著如何更好地使用身份和訪問管理(IAM)解決方案展開了廣泛而激烈的討論。

比如說，就在前不久，美國白宮管理和預算辦公室(OMB)宣布計劃了他們增強身份、憑證和訪問管理策略的計劃。這一舉措與私營部門的舉措類似，他們都認識到了雖然傳統安全方法仍然非常重要，但如果數字身份驗證信息的管理存在安全缺陷的話，很可能會存在新的網絡安全風險。

美國白宮管理和預算辦公室(OMB)的主人Russell Vought表示：“雖然加強網絡系統周邊安全性非常重要，但各個機構必須從簡單地管理系統的進出流量來識別用戶身份，轉變為圍繞使用身份和訪問管理(IAM)的解決方案。”

身份和訪問管理(IAM)這個領域的安全狀況發展非常迅速，而且某些情況下，我們很難判斷其主要的發展路徑，很大一部分原因是因為研究人員對該領域不同內容的定義會不同，但描述的卻是相同的東西。比如說，白宮方面將其稱之為身份、憑證和訪問管理(ICAM)，Forrester Research將其稱之為身份管理和治理(IMG)，Gartner稱之為特權訪問管理(PAM)，甚至有的研究人員還將該領域稱為身份即服務(IDAAS)。

[[279848]]

包羅萬象的術語

身份和訪問管理(IAM)是指一個策略性和技術性的框架，它的主要作用是確保企業內部和外部的符合條件的人員、應用程序和其他設備都有目標資源的適當的訪問權限。

IAM系統的身份識別、認證和授權適用于需要訪問和使用特定IT資源的個人用戶。除此之外，IAM也越來越多地應用到云服務、移動應用和Web應用程序之中了，而且很多連接到這些資源的物聯網系統也開始使用IAM了。

安全警告

SailPoint近期發布的一份身份識別研究報告估計，目前有54%的組織都有各自的用戶身份認證方案。但是，有88%的公司沒有恰當部署正確的公司管理防火墻數據訪問。事實上，只有10%的組織會對組織內網絡系統的文件訪問活動進行監控，但大多數組織都不會進行這樣的用戶行為監控。

是什么推動了IAM市場的發展?

Forrester Research在最近一份關于該技術驅動因素的報告中寫道：“對于當今的數字企業來說，身份管理和治理(IMG)不僅僅是規范和保護員工訪問公司應用程序和數據的行為。安全專業人員現在必須在不損害用戶體驗的情況下，管理和保護跨混合應用程序環境和各種人群(員工、合作伙伴和客戶)的無數物聯網設備的訪問。”

IAM方法通過綁定到多個服務并基于預定義的用戶角色的單用戶登錄來努力簡化訪問管理。IAM框架只允許用戶訪問他們需要的資源，并授權用戶訪問。管理集中在企業網絡系統的內部或外部，而流程的這種集中性允許更快的員工登錄、注銷和使用服務。

進入云端

隨著平臺和基礎設施向云端移動，IAM服務也隨之移動。Google和Amazon提供了預集成的工具，許多公司也提供了用于管理和供應的IDASS。這些功能可以支持令牌交換、令牌驗證、授權和身份驗證等服務。

非人類用戶的“身份”

根據電信公司愛立信(Ericsson)近期的一份報告，到2022年，預計將有290億臺聯網設備，其中180億臺與物聯網有關。其中包含許多相互連接的東西，再加上移動應用程序的日趨發展，新的IAM解決方案已經“迫在眉睫”。

Cyberark的客戶總監Noam Liran認為：“身份和訪問管理可以依賴于很多不同的東西，以前只是基于(問題的)這個身份是否有密碼。現在，企業還需要管理微服務、云容器和移動應用程序的身份，以便訪問云中的特權數據。”

值得注意的是：全球IAM系統市場從2012年的45億美元增長到了2018年的71億美元。根據MarketsandMarkets的數據，直到到2021年，IAM全球市場預計將達到148.2億美元。