身份结构免疫，一种弥补IAM缺陷的有力措施

IFI 首先是对企业软件环境及其与安全关系的一种思考方式。它与零信任架构一脉相承，因为它提供了一个方向，在现代软件的复杂性中起到指引作用。

IFI 指出：建立一个覆盖整个企业的共享分布式安全层。在这一层中加入监控和治理功能。让应用程序和服务依赖该层进行授权和验证。

身份结构的一个核心思想就是“融合身份”，将身份提取到一个抽象层中。该层以额外的前期规划和配置为代价，从而减少攻击机会，改善缓解和响应，简化身份和访问控制，即使在最复杂的情况下也是如此。

IFI 发展的背景是，现有的身份访问管理（IAM）解决方案是不够的。IAM 是基于保护云应用程序安全的需要而发展起来的，它作为另一种云服务而存在，其他服务依靠它来获取授权和身份验证信息。

这种模式在一定程度上运行良好，但当数字企业跨越多个云提供商和/或在公共、私有和内部部署之间架起桥梁时，这种模式就会开始崩溃。现实情况是，多云和混合云部署已经成为主要趋势。

混合基础架构（其中一些组件由内部部署托管，另一些组件由云提供商托管）尤其需要改进安全模式。这是因为跨越的边界越多，交互组件就越多，攻击的机会也就越多，敏感信息或服务被泄露的可能性就越大。

当身份结构值得采用时，它就会成为一种有吸引力的选择，但在真正需要之前就采用它，可能会增加不必要的复杂性。因此，如何判断使用身份结构的时机就非常重要。

如果它能以最小的摩擦完成工作，那么一个简单的身份提供商框架就足够了。Cayosoft 首席产品官 Dmitry Sotnikov 表示，现在的应用程序高度分布，用户、合作伙伴和客户无论身在何处都能登录系统，这使得安全团队没有一个易于定义的网络和物理边界来进行保护。当基础设施的复杂性开始在企业内部造成严重阻碍时，IFI 所描述的安全抽象层就提供了一条出路。

身份解决方案不足的迹象包括难以管理用户访问、账户供应以及应对真实和模拟的安全事件。管理者会发现，很难从全局角度了解企业的安全处置情况，而且采取影响整体安全的行动会非常麻烦或极具挑战性。

当系统的组成部分是同质和分散的时候，也就是身份无序扩展时，IFI 提供了一种抽象身份的方法。从CISO到最终用户，每个人都知道身份蔓延的问题。对用户来说可能是一个很普遍的问题，但对CISO来说，这是一个重要的、危险的问题。安全要素越分散，就越难对其形成完整的映像、对其进行管理、识别和修复漏洞以及对事件做出响应。

IFI 中的免疫指的是系统结构中固有的抵抗力。集成安全层为实施一致的政策、持续监控和集中变更管理创造了条件。换句话说，这一结构提供了应用安全原则的统一环境。

身份结构旨在提供一个其他组件可以依赖的层。该层以基础架构的多样性为前提，使具有不同配置文件的组件尽可能简单地参与其中。

如果没有像 IFI 这样的整体方法，CISO及其团队就永远只能在漏洞和攻击者面前打地鼠。IFI 的主要优势在于它能将安全领域整合为一个有凝聚力、可处理的整体，为组织开展身份安全防护工作时引入了整体观。

Strata.io 产品营销高级总监 Mark Callahan表示，IFI不能与传统的 IAM 相提并论，相反，它描述了一个组织通过使用不同的 IAM 方法和最佳可用身份服务来构建一个有凝聚力的身份结构所能达到的理想状态。IFI不是一种产品，而是实施身份协调软件的结果，该软件允许企业创建一个身份结构，将现有的不兼容的 IAM 解决方案和产品整合在一起。

IFI的部署和实施同其他安全技术一样，需要循序渐进。因此，在企业需要部署IFI时，可以逐步纳入以下关键角色：

IdP（身份提供者）：为IFI各种功能提供认证服务时，必须有一个中央记录目录。它可以是一个数据存储库，如轻量级目录访问协议（LDAP）或云 IAM。在转向 IFI 时，一些凭证需要从独立数据存储迁移过来。

API 网关：该组件可促进应用程序与身份结构之间的安全通信。它是为各种应用程序和服务提供协调和安全中心点的网络路由层。

身份代理（IB）：一种组件，使客户端组件更容易进行身份验证协商。它是一个专门用于促进身份使用者和提供者之间初始身份验证交互的组件。

策略引擎：该组件根据用户角色、属性和上下文（如位置、设备）定义授权规则。它与 ID 代理一起，提供了一个高级抽象概念以消除基础设施的不规则性。

总的来说，IFI 致力于为以下问题提供一致的、可集中管理的答案：应用程序如何进行身份验证和授权？如何配置应用程序接口并与之交互？如何创建和撤销凭证？

将这些问题的答案纳入一个统一的框架意味着减少攻击面，减少系统中令人担忧的复杂性。企业规模越大，将这些问题整合到一起的难度就越大，因此采用分阶段或成熟度模型来考虑问题是非常有用的。

在传统身份管理模式中，构成业务运营的各种应用程序和服务直接依赖特定的数据存储来获取凭证。支持这些应用和服务的交互和网络通常是根据当时开发中应用的特定需求而产生的一次性解决方案。

而现实情况是，它通常包括传统服务和现代云服务以及两者之间的所有服务。有时，这可能会被看作是传统的业务流程，除了在管理和集成其安全流程方面存在困难外，其他方面都运行良好。

有时，出于合规性或其他考虑，需要进行内部部署、私有云部署或跨提供商部署。重点是这种基础架构和流程的复杂性将继续存在，而安全要求的统一性和控制也同样重要。

Callahan认为，CISO在为云计算更新应用和身份的同时，也在为遗留的IAM技术债务而苦苦挣扎，他们应该考虑构建一个身份结构。当公司在多个云和混合云（内部部署 IDP 和基于云的 IDP）中努力管理多个身份供应商的身份时，就是实施 IFI 的一个关键标志性指标。

为帮助直观理解这一概念，可参考以下场景：有一个后端（可以是 Java、NET、NodeJS等），它公开 API 并实现业务逻辑。它与某个数据存储对话，从安全角度接收凭证（可能是用户名/密码）并验证它们。

一旦验证成功，就会在用户会话中添加某种标记。标记可以通过多种方式处理，例如通过 cookie 或请求领导。后端组件需要类似下面的设置才能进入 IFI 设置：

环境中的每个安全组件都可以归入该结构，但是，企业的某些元素更难管理，原因超出了所需技术的范围，例如构建工具、持续集成等开发流程，以及虚拟机、PaaS 和无服务器的托管访问。

虽然 IFI 旨在直接解决终端用户（使用这些工具的员工、合作伙伴和客户）的访问问题，但开发人员自己使用的幕后访问可能会因为其独特的工具和对敏捷性的需求而变得更加棘手。

Sotnikov 表示，在采取任何行动之前，CISO必须向公司领导层提出申请，说明对 IFI 的投资是业务的推动力，也是控制业务风险的关键途径。

乐信信息安全中心总监刘志诚表示，身份和账户这个事可能大家都已经认为引起了足够的重视，但目前似乎又有一定的热点。数据安全中跟身份相关的安全并不仅仅是企业安全范畴的零信任iam和特权账号pam，在合作伙伴，外包领域的跨组织账号生命周期管理和监控方面，薄弱环节颇多。对于员工在第三方的以组织名义开具的账号监管，安全也多属缺失。

某安全从业者表示，对企业组织而言，以身份（Identity）为主的安全建设趋势正在变得非常重要，特别是分布式的、去中心化的、模块化的发展下，以往的以边界安全的场景逐渐向以最小单位——数据为边界，那么第一步就是识别数据使用相关的身份信息。

在安全攻击事件发生时，攻击者会试图获得合法身份信息从而提权。目前，和身份相关的发展不再局限于验证，而是由被动地使用变为主动地检测和响应。可见，与身份相关的产品方案（如IAM，PAM，零信任等）会逐渐成为行业新热点。

知乎用户别针表示，数字化时代需要更加重视对于身份的管理，所以信息安全是企业的核心。集团部署基于云的身份管理与访问控制系统（IDaaS）。IDaaS 提供身份验证、授权、访问注册的统一身份中台，能够同时管理企业内部应用和 SaaS 应用，通过打通云上与本地系统的身份体系以及 OneID 能力，实现对集团内部员工和下游子公司员工、外部合作伙伴等角色的身份、权限、数据进行统一管控。