数字身份发展趋势前瞻：零信任

零信任安全需要基于持续不断地用户身份验证活动，以加强安全管控措施。在零信任安全架构下，IAM 系统需要通过根据用户特征和权限管理审查访问请求，在用户体验和网络安全之间取得了微妙的平衡。采用零信任安全模型的 IAM 系统，可以帮助组织培养主动的安全文化，以减轻未经授权的破坏风险，并加强其整体安全态势。

零信任代表了网络安全防护的理念转变，体现了“永不信任，永远验证”的原则。随着数字经济时代下 IT 基础架构变化、边界安全体系瓦解、特征对抗防御失效，零信任提倡的默认一切参与因素不受信、最小权限原则、持续信任评估、动态访问控制的原则，逐渐受到了众多企业的青睐，市场进入发展的快车道。

零信任安全需要 IAM 作为身份基础。零信任作为一种网络安全基础，其信任关系来自于所有参与对象的身份验证。在零信任端到端的基于会话的精细化权限管理要求下，需要一个强大的 IAM 系统予以支撑。如果企业仅仅知道用户是谁，并不意味着用户对其所有资源有自由支配权。

IAM 为零信任提供身份持续有效性验证。身份认证系统要根据交易的风险提供自适应的认证技术，系统要保持身份认证的持续性，关注用户行为和场景变化，让企业可以随时掌握用户真实访问记录。采用场景认证的机制，如地理位置和时间因素等计算风险，使企业对用户访问场景收集数据，对用户的行为实时进行认证。

IAM 支持零信任实施最小权限策略。IAM 要采用“最小特权”和“即时权利”的原则，通过使用单个控制层来确定每个应用程序和子应用的访问策略，只允许每个用户访问他们所需的最基本的资源。

IAM 支持零信任实施动态实时访问控制。在零信任环境中，管理资源、用户和访问权限方面存在复杂性，他们之间的关系的排列组合是非常复杂的。因此，IAM 系统需要在管理用户、用户的访问权限和访问策略方面发挥关键作用，并消除各种系统因信息不流通造成的孤岛问题。

IAM 支持零信任实现应用的便捷高效访问。零信任架构最终是打通资源访问路径，在 IAM 单点登录技术 SSO 的支持下，可以得到很好的用户体验。一次性鉴别登录，即可获得访问单点登录系统中其他关联系统和应用软件的权限。

IAM 帮助零信任实现有效身份治理。通过用户 ID 统一、全域用户画像建设、全面身份治理体系建设，涵盖内外部用户，实现身份集中化管理，通过零信任架构实现自动化全生命周期管理，同时建设内部完整的、标准的、可持续的企业化管理规范体系。

零信任将网络中的所有用户、设备、应用、API 等数字身份化，通过统一身份管理技术确认信任关系，为其提供零信任虚拟网络准入及应用、数据访问权限。零信任的精细化权限管理要求，需要一个稳定、强大的 IAM 系统予以支撑，通过定义客体资源、主体用户，以及客户到主体的访问方式来保护客体资源。IAM 为零信任构筑身份基础，提供身份有效性验证，实现身份有效治理。IAM 支持零信任架构实施动态和实时的访问控制，IAM 通过单点登录技术帮助零信任打通资源访问路径，提升用户体验。

身份与访问管理是零信任安全的首要任务之一，任何一个身份从入职入网到离职离网，在身份的创建、活动、转移、销毁的整个生命周期都会呈现出不同的行为轨迹与状态，一切的网络访问行为，可以看作是人（who）在终端（where）上通过应用程序（Application）用账户（Account）访问目标资产。“身份”即是入口，对其认证是确定一个用户或设备是否有权连接到特定资源或系统的过程，它确保只有合法用户可以访问敏感数据或系统。身份确认后，需要按需匹配他们在网络中拥有的权限范围，它涉及到确定用户或设备可以访问哪些资源、执行哪些操作以及访问这些资源或执行这些操作的条件。

在 Gartner 发布的《2024 年及未来中国网络安全重要趋势》报告中，“零信任采用”被列为中国网络安全的重要趋势。

全面身份化是零信任架构的基石，零信任所需的 IAM 技术通过围绕身份、权限、环境等信息进行有效管控与治理，从而保证正确的身份在正确的访问环境下，基于正当理由访问正确的资源。只有将 IAM 纳入企业零信任安全策略，才能推动 IT 现代化演进构建统一的零信任动态授权平台，确保零信任身份安全的整体能力在各种数字化业务场景中被有效调用，为数字化业务保驾护航。