©2023云安全联盟大中华区版权所有 2身份与访问管理工作组网址是：https://cloudsecurityalliance.org/research/working- groups/identity-and-access-management @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及 打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可 作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)本文商标、版 权或其他声明不得删除。请在遵循中华人民共和国著作权法相关条款情况下合理使用本文内 容，使用时请注明引用于云安全联盟大中华区。©2023云安全联盟大中华区版权所有 3 ©2023云安全联盟大中华区版权所有 4致谢 《IAM在云环境下新的挑战（WhatIsIdentity&AccessManagement(IAM) ForTheCloud?）》由CSA工作组专家编写，CSA大中华区IAM工作组组织翻 译并审校。 中文版翻译专家组（排名不分先后）： 组长： 于继万 翻译组： 崔崟 王亮 张彬 鹿淑煜 吕波 审校组： 戴立伟 谢琴 研究协调员： 蒋妤希 感谢以下单位的支持与贡献： 北京启明星辰信息安全技术有限公司奇安信网神信息技术（北京）股份有限公司 北京天融信网络安全技术有限公司深圳竹云科技有限公司 上海物盾信息科技有限公司 安易科技（北京）有限公司 华为技术有限公司 三未信安科技股份有限公司 阿里云计算有限公司©2023云安全联盟大中华区版权所有 5英文版本编写专家 主要作者： RaviErukulla RameshGupta ShrutiKulkarni AlonNachmany 贡献者： FayeDixon JonathanFlack PaulMezzera AnsumanMishra VenkatRaghavan HeinrichSmit DavidStrommer 审校者： Samuel AddingtonRadhikaBajpai Shannon ChisengaIvanDjordjevic ShamikKacker ShamikKacker AdnanRafique MichaelRoza NishanthSingarapu CSA员工： RyanGifford StephenLumpe 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处 给予雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有 6目录 致谢..................................................................................................................4 序言..................................................................................................................7 摘要..................................................................................................................8 引言................................................................................................................10 云环境与本地部署IAM的差异......................................................................11 IAM溯源分析.................................................................................................12 IAM的发展趋势..............................................................................................13 云环境的IAM............................................................................................13 多云/混合环境IAM解决方案的重要性与日俱增..........................................14 IAM对企业高管的重要性.........................................................................14 企业有效地采用云IAM所面对的挑战...........................................................15 身份管理十大挑战...................................................................................15 云IAM带来更多商业机会..............................................................................16 在云环境中制定有效的IAM计划的注意事项和最佳实践...........................17 给安全/IAM领导和从业者关于沟通IAM价值的提示...................................19 结论................................................................................................................20 CSA企业会员案例..........................................................................................21 阿里云应用身份服务IDaaS在某游戏大厂实践案例................................21©2023云安全联盟大中华区版权所有 7 序言 在过去的几年里，全球事件加速了许多企业的数字化转型，陆续将业务迁 移到云端成为了流行。目前大多数企业IT采用本地、云端或并行机制，在 这样的状态下，提高可见性，安全性和保护数据的需求尤为重要，企业管 理者发现在云中管理身份是一个首要问题，因为他们可能面临多个云服务 提供商，业务跨多个节点，很容易形成身份孤岛从而增加风险暴露面。 身份管理与访问控制(IAM)是一个业务流程、策略和技术框架，使企业可以 更轻松地管理数字身份。IAM能够控制用户对其公司关键信息的访问，如 今，组成IAM环境的许多组件（例如认证、授权、身份生命周期管理和特 权访问）可以进行切片，以便企业可以选择在云中运行效率更高、更具成 本效益的功能并保留必要的安全机制。基于云的IAM将成为企业上云进行 网络防御、风险管理和数据保护能力的顶级安全安全实践。 本篇文献通过介绍影响IAM的云环境与本地环境之间的差异和过去解决方 式的回顾，总结出目前IAM发展的趋势和在云环境中IAM面临的重要挑 战，提出了针对云环境的有效的IAM最佳实践，用于帮助IAM在企业数 字化转型中进行有效推动，从而加速数字经济，降低运营成本。 李雨航YaleLi CSA大中华区主席兼研究院院长©2023云安全联盟大中华区版权所有 8摘要 身份管理与访问控制（IdentityandAccess Management，IAM）并非一种新的解决方案。 IAM工具和实践用于保护字（有时甚至是物理） 资源，并满足法规/合规要求。 IAM最初是一种通用的机制，通过对被授权的身 份或身份组赋予权限来限制和控制对组织资源的 访问。它最初的目标是验证权限，并且访问（控 制）是完全基于对用户名和口令的判断，再加上 直接在受访资源上分配的组成员身份或权限。这 一模型后来演变为集中化的IAM，而访问决策集 中在一个权威机构上，如：服务、服务器或身份 基础设施。多年来，威胁形势发生了重大变化， IAM现今已成为任何数字访问模型的关键组成部 分。随着用户、资源和系统这些（IAM核心）性 质发生变化，IAM已经发展到使用不断增加的可 见性、粒度和控制。例如：基于角色（RBAC）、 属性（ABAC）或其他自适应（或启发式）的访问 控制已经添加了分布式或基于事务的访问（控制 能力）。随着多因素身份验证、通行密钥 （passkeys）和数字证书的加入，身份验证工具和 技术不断发展，并极大的增强了IAM的能力。