完善的身份和访问管理（IAM）策略需要正确利用政策、流程和技术。当企业想通过零信任网络安全原则取得成功时，这些IAM组成部分尤为重要。

传统架构是基于边界，当获得对网络的访问权限，该架构基本上信任每个实体，而零信任架构则采取安全相反的方法。在零信任的情况下，设备和个人不断被认证、授权和验证。目标是确保只有那些需要它来履行特定职责的人才能访问系统和数据。

鉴于企业已经从隔离的基础设施转移到更动态和分布式的环境，在管理身份方面，网络安全团队面临更大风险挑战。

有效的IAM实践的核心是访问控制政策。

访问控制类型

企业主要有几种方法来提供访问控制。每种方法都有其优点和缺点。
主流访问控制类型包括：

• 基于角色的访问控制（RBAC）。
• 自主访问控制（DAC）。
• 基于属性的访问控制（ABAC）。
• 强制访问控制（MAC）。

每个类型都以自己的方式处理访问控制。在承诺或切换到一个选项之前，请仔细考虑这些选项。

基于角色的访问控制

在RBAC中，企业根据员工的工作职责分配访问权限。例如，HR人员需要访问销售团队同事不需要的特定系统和应用程序的记录。与此同时，销售人员需要访问客户信息，而人力资源人员则不需要。

RBAC将员工明确定义的工作职能与他们所做的工作保持一致，相应地分配权限。对相邻资源的访问受到限制，保护连续的系统和应用程序免受访问蠕变。

RBAC 易于配置和编辑。由于该过程易于自动化，因此降低手动管理错误的风险。RBAC还可以很好地扩展，因此它对大型和小型组织都很有效。

但RBAC也有明显的缺点。员工的责任在不断变化，这意味着访问权限可以是动态的。威胁环境的变化可能需要更快的响应，而RBAC可能跟不上。此外，RBAC缺乏实体可以访问哪些特定数据的粒度。

基于自主的的控制

DAC将安全管理权完全掌握在资源利益相关者手中。这种高度分布式的方法使各个业务线能够在未经更集中管理授权的情况下授予或限制进入资产。

DAC依赖于访问控制列表（ACL），该列表根据权限对用户进行分类，或设置允许进入特定资源的用户组。

DAC通常用于为经过验证的来源提供编辑访问权限，例如共享的谷歌文档或Facebook群组。

DAC是一种快速授予访问权限的方式，但它不是最安全的。与其他类型的访问控制相比，它的通用访问方法为外部行为者提供了更快的资产路径。

基于属性的访问控制

如果企业倾向于采用基于政策的方法，他们就会倾向于ABAC。ABAC方法允许根据与部门、专业目标和安全许可等功能一致的用户特征访问资产。

ABAC应用 Boolean逻辑来构建一个分级表，以划定用户可以访问哪些资产以及该访问的限制。

ABAC不仅考虑最终用户的角色；它还会评估背景信息。用户是否从安全设备和位置连接？用户是否需要以应该更改其授权的方式请求更改数据的任何方面？请求的时间是否符合公司政策和监管要求？

ABAC可以通过多种方式在组织中发挥作用。营销主管可能会对宣传册进行更改，但销售人员没有相同的编辑权限。教授查看学生成绩和课程作业的能力可能仅限于他们教授该学生的学期。只有当医疗专业人员正在治疗患者时，并且只能从安全的地方访问患者的档案。

ABAC的优点在于，它提供一定程度的特异性。基于每个系统元素的特征，IT组织可以设定规则。根据不断变化的场景和不断变化的监管要求，安全专业人员可以调整访问权限。

这些使ABAC具有吸引力的相同因素也带来缺点。其更细粒度的本质可能导致配置错误和性能下降。为ABAC系统设定和维护规则可能既复杂又耗时。跟踪特定个人的特权水平也可能很困难。

强制访问控制

在有分层安全许可系统的企业中，MAC系统很有用。MAC系统非常适合政府机构以及需要严格控制机密和敏感数据的行业，例如金融、工程和医疗保健。

政府机构可以通过严格的分类，根据需要知道的基础来制定访问规则。在私营部门环境中，MAC可以限制访问消费者数据的用户数量。这些限制可降低数据泄露风险。

在所有类型的访问控制中，MAC系统提供了最高水平的数据保护。数据是分类的，而安全由一个实体集中管理。这些保障措施降低数据泄露的可能性，无论是意外的还是故意的。

然而，MAC系统并不易于部署或管理。当同事想要共享数据时，MAC系统会阻止这种协作。当添加新文件或ACL更改时，管理员需要持续更新系统规则。MAC系统的刚性意味着很难进行调整。

访问控制的未来

访问管理是一个持续的过程，而不仅仅是对入口点的控制。企业需要持续检查用户权限的有效性。这可保证最低特权原则，该原则仅允许个人员工、承包商或设备访问其所必需的东西。

企业需要进行部署控制，使政策和许可审查成为持续的过程——而不是每年审查，甚至更不频繁的审查。员工的角色会随着时间的推移而变化，应该相应地调整权利。这些调整需要记录在案，这不仅是为了监管合规目的，也是为了未来的战略规划。

自动化的进步有助于验证访问权限，并改善整体工作流程。尽管如此，企业需要审查这些流程，确保它们准确反映政策，并正确执行。

MFA通过手机号码、电子邮件地址或其他方法确认最终用户身份，这仍然是有效IAM战略的重要组成部分。即便如此，对于流程来说，重要的是不要有太多步骤。如果工人需要在不同阶段采取多个步骤，安全可能是生产力的限制因素。此外，用户会去找其他替代办法。

这种平衡保护和生产力的挑战，以及IAM系统缺乏灵活性，可以通过新兴的人工智能能力来解决。例如，人工智能可以帮助更好地区分无害的异常与实际威胁。它还可以为IAM带来更多的背景信息，帮助组织更动态地调整权限、规划策略和定义规则。