什么是身份和访问权限管理（IAM）？

身份和访问权限管理（IAM）是以一致的方式集中管理用户身份（即人员、服务和服务器）、自动执行访问控制，并满足传统和容器化环境中的合规要求。员工使用 VPN 访问公司资源以进行远程工作，就是 IAM 解决方案的其中一个实施示例。

有 IAM 的解决方案有助于确保适当的人员以适当的权限访问适当的资源，尤其是在多个云实例中。IAM 框架对于从中心位置跨裸机、虚拟化、混合云和边缘计算环境管理身份至关重要，有助于降低安全性或合规性风险。

IAM 方法根据用户或应用身份和以管理方式定义的策略，来控制对本地和云资产、应用和数据的访问。IAM 方法存在于 DevOps 生命周期的每个阶段，可以帮助防止未授权的系统访问和横向移动。 

IAM 概念包括：

• 身份验证：验证用户、服务和应用的身份。

• 授权：授予经过身份验证的用户对特定资源或功能的访问权限。 

• 身份提供商、秘密库和硬件安全模块（HSM）：允许 DevOps 团队在静止和传输状态管理和保护安全凭据、密钥、证书和机密。 

• 溯源：验证代码或镜像的身份或真实性，通常通过某种类型的数字签名或证明记录。

随着安全场景的不断发展，IAM 还可以囊括人工智能（AI）、机器学习（ML）和生物识别身份验证等其他功能。

身份验证是确认或验证个人身份的过程。用户身份（或数字身份）是一组信息，用于向特定的企业数据或网络集验证人员、服务甚至 IoT 设备。身份验证最简单的例子是我们用密码来登录系统；系统可以通过检查提供的信息（密码）来验证提供的身份。

身份验证过程不仅捕获登录信息，还允许 IT 管理员监视和管理跨基础架构和服务的活动。 

有几种方法可以实现安全策略，这些策略可以帮助提高环境的安全性，同时保障用户的易用性。两个常见的方法是单点登录（SSO）和多重身份验证（MFA）。

• SSO：不同的服务、设备和服务器都需要单独的身份验证才能访问。SSO 会配置一项中央身份服务，已配置的服务可以在该中央身份服务中检查是否存在已验证的用户。用户只需进行一次身份验证，即可访问多个服务。

• MFA：额外一层的安全防护，在授予访问权限之前需要多次检查以验证身份。这种方法可以考虑使用加密设备（如硬件令牌和智能卡），或配置身份验证类型（如密码、radius、密码 OTP、PKINIT 和加强密码）。

您还可以在基础架构中使用其他工具来更轻松地管理身份，尤其是用户身份验证较难以实现的复杂或分布式环境（如云或 CI/CD 管道）中。在 DevSecOps 环境中，系统角色尤其有帮助。从长远来说，借助一致且可重复的自动化配置工作流，IT 管理员可以减少与部署、身份管理和置备/取消置备相关的负荷和手动任务，从而节省时间和资源。

身份验证是识别谁在尝试访问服务的过程。而授权就是定义用户可对该服务执行的操作（如编辑、创建或删除信息）的过程。 

访问权限控制为用户身份分配了一组预定的访问权限，使身份管理更进一步。这些控制通常在帐户设置或用户置备期间分配，并基于“最小特权”原则，这是零信任模型的基础。

最小特权仅授予用户访问达到特定目的（如项目或任务）所需资源的权限，并且仅允许用户执行所需的操作（权限）。访问策略还可以限制某些资源的可用时长。 

例如，与承包商、合作伙伴、供应商和客户等第三方相比，员工可能有权限访问更广泛的资源。如果某个用户被批准获得不同级别的访问权限，IT 管理员可以进入身份数据库并根据需要进行用户调整。

遵循最小特权的访问权限管理系统包括特权访问管理（PAM）和基于角色的访问管理（RBAC）。 

PAM 是最关键的访问权限控制类型。获得这些分配的管理员和 DevOps 人员通常拥有敏感数据的不受限访问权限，并且可以对企业应用、数据库、系统或服务器进行更改。 

RBAC 可授予定义角色或用户集合，然后根据这些角色的工作职责向其授予访问资源或功能的权限。RBAC 能确保一致且明确地应用访问权限，从而简化管理和新用户加入，并减少权限蔓延。RBAC 可以根据用户在组织中的角色自动分配访问权限，从而节省时间和资源。

IAM 通过应用开发管道提供一定程度的内置安全防护，对于在组织中实施 DevSecOps 至关重要。它是跨裸机、虚拟化、容器和云环境创建分层安全防护方法的构建要素之一。 

确保您的 IAM 系统能够跨多个环境和工作负载支持解决方案，这一点非常重要。这包括在应用的整个开发、测试、操作和监控过程中实施 IAM。

由于市面上有许多 IAM 解决方案，因此企业可以通过以下方式缩小其选择范围：

• 对新旧系统进行审核，尤其是在本地和云中都有应用的情况下。

• 确定内部和外部利益相关者的任何安全漏洞。

• 定义用户类型及其特定访问权限。

定义组织的安全需求后，即可部署 IAM 解决方案。您可以从第三方选择单机解决方案、托管身份服务或云订阅服务（如身份即服务（IDaaS））。

红帽® 企业 Linux® 可在开放混合云环境中提供简化、可靠且一致的身份验证体验。其中包括集中式身份管理（IdM）功能，允许您使用跨整个数据中心的单个可扩展接口对用户进行身份验证，并实现 RBAC。

红帽企业 Linux 中的身份管理可以：

• 显著简化身份管理基础架构。

• 帮助满足 PCI DSS、USGCB、STIG 等现代合规性要求。 

• 降低未经授权的访问或访问权限提升的风险。

• 为高度动态、可扩展、支持云和容器的运维环境奠定基础。

• 在新系统、虚拟机（VM）和容器上预配置访问权限控制。

• 降低日常运维成本和 IT 的安全负担。

红帽企业 Linux 中的身份管理还通过标准应用编程接口（API）与 Microsoft Active Directory、轻量级目录访问协议（LDAP）和其他第三方 IAM 解决方案集成。您还可以使用基于证书的身份验证和授权技术集中管理服务的身份验证和授权。

借助红帽企业 Linux 提供的基础自动化、安全防护和生命周期管理，在顶层运行的分层产品（如红帽 OpenShift®）继承了相同的安全技术，并将内置网络安全扩展到基于容器的应用开发。