第3章　身份管理與訪問控制（IAM）

零信任的本質是以身份為基石，堅持“最小授權”原則，通過在業務系統或其他信息系統資源的訪問過程中，持續地進行信任評估和動態安全訪問控制，即對默認不可信的所有訪問請求進行加密、認證和授權，并且匯聚關聯各種數據源進行信任評估，從而根據信任的程度動態對權限進行調整，最終在訪問主體和訪問客體之間建立一種動態的信任關系。

零信任安全架構下，被訪問資源是作為核心來保護的，因此需要針對被保護的資源架構正交的控制平面和數據平面作為保護面。資源包括一切可被操作的實體，包括終端設備、服務器、數據庫、應用程序接口（Application Programming Interface，API）等。訪問的身份主體包括人員、設備、應用、系統等，通過策略引擎進行動態訪問控制評估，根據信任評估和鑒權結果決定是否對訪問請求放行或執行附加校驗。

由此可見，細粒度的身份認證和授權控制是零信任落地的關鍵。而現代化身份管理與訪問控制（Modern IAM）正是助力企事業單位安全從粗粒度訪問控制升級到多層次、細粒度動態訪問控制的關鍵組件。可以說零信任模型需要基于Modern IAM方案構建。如果沒有Modern IAM，零信任也將是無根之木、無源之水。對于大多數企事業單位來說，有效保護數據資產，防止數據泄露，做好Modern IAM建設則是基本功。

Modern IAM與傳統IAM不同，如表3-1所示，Modern IAM的主體對象和客體對象更為全面，對主體的身份認證的安全性和便捷性也都有很大提升，對于訪問授權更為細粒度和動態調整，對用戶行為審計也更為詳細且進行持續風險評估。

表3-1　Modern IAM與傳統IAM對比表

（續表）