在当今以无边界组织为特征的环境中，身份和访问管理（IAM）团队正在应对日益增长的复杂性。 IAM团队必须解决的一个常见用例是在不影响安全性的情况下进行Wi-Fi和VPN网络身份验证。大多数员工每人至少有两台设备，通常是一台公司发行的电脑和一部个人智能手机。IAM 团队如何大规模安全地验证这些用户和设备？在一个正在迅速转变为混合工作模式且全球员工都在远程办公的环境中？

作为一项附加要求，他们希望以一种无缝的方式为所有这些员工和所有这些设备提供随时可用的访问权限——换句话说，一种表明没有任何问题的用户体验。就像 Kareem Abdul-Jabbar 投出天钩一样。或者 Eddie Van Halen 独奏吉他。

祝你好运，你在想。至少卡里姆只需要一个篮球和几个防守队员。埃迪 (Eddie) 最初发展自己的标志性风格时，不必与数百万粉丝打交道。 IAM 团队没有同样的奢侈。 2023 年企业网络的复杂性可能没有宇宙那么令人惊叹——但它正在迎头赶上。正如 DigiCert 首席执行官 Amit Sinha 在最近宣布推出 DigiCert® Trust Lifecycle Manager 的网络研讨会上所说，IAM 团队面临着如此复杂的问题，因为“保护企业用户、资产和数据所需的身份验证数量和方法增长如此之快。”

我们从客户那里知道这一点。例如，IBM首席架构师兼战略负责人袁伟博在同一次网络研讨会上表示，IBM在每个时区都有超过30万名员工。“太阳永远不会落在我们的员工身上，我们有超过一百万台设备需要连接。在这种混合中，各种设备都在使用Windows、macOS、Linux、iOS和Android。

然而，IBM和其他DigiCert客户已经成功地实现了安全身份验证和无缝访问的神奇结合，或者正如袁所说，“我们将公钥基础设施变成了不可见的公钥。”我们都知道，让事情变得简单从来都不容易。那么，IBM和其他DigiCert客户是如何实现我们所说的隐形身份验证的呢？

他们遵循了三个基本步骤。

步骤1：免除最终用户的身份验证责任

如今，大多数企业仍然依靠基于密码的身份验证来提供对VPN和Wi-Fi的访问。DigiCert业务发展高级总监Dean Coclin探讨了为什么使用密码不是一个好的策略：

随着近年来威胁的不断演变，密码不得不变得越来越长、越来越复杂。不幸的是，它们也更难记住，对用户来说压力更大。复杂的密码并不能创造最佳的用户体验，它们仍然很容易被泄露，而且成本高昂。

正如Coclin在他的博客文章中提到的那样，92%的IT专业人士认为组织需要转向无密码系统。最明显的方法是使用数字证书，使IAM团队能够设置安全参数。然而，仅仅利用数字证书进行VPN和Wi-Fi访问是不够的，尤其是如果你希望终端用户安装它们。一位DigiCert客户发现，当安装数字证书的要求是可选的时候，员工采用数字证书的人数很少。

这并不奇怪。尽管员工可能关心安全性，但他们可能不具备理解和管理安全身份验证所需证书的IT技能。这并不能带来良好的用户体验。

相反，您需要减轻您的员工管理其设备上的数字证书的责任，并将其交给专注于这些问题的专业人员。从基于密码的身份验证转变为基于证书的身份验证是第一步。那么，如何做到无缝衔接呢？我们来看第2步。

步骤2：自动化证书设置和撤销

现在让我们明确一点：任何组织，无论规模大小，都无法负担手动管理数字证书的费用。安全风险加上人为失误的可能性实在太大了。我们在Equifax数据泄露等事件中看到了证书生命周期管理（CLM）不力的结果。

如果您管理的只是 IBM 处理的数百万客户证书中的一小部分，您就会知道自动化是必要的步骤。毫不奇怪，自动化在 NIST SP 1800-16 框架中扮演着重要角色。 NIST 指出：

应尽可能使用自动化来注册、安装、监控和更换证书，或者应提供理由继续使用可能导致操作安全风险的手动方法。

如果没有自动化，IAM团队就无法管理，更不用说扩展了，用于验证VPN和Wi-Fi访问的设备证书数量迅速增加。想想员工的生命周期，它包括：

• 置备

• 更新

• 位置变化（这通常意味着访问权限的变化）

• 终止

通过自动化这些流程，您可以获得100%的采用率，并提供更好的用户体验。您不再需要担心新的远程员工是否在访问您的VPN时遇到问题，因为管理访问的证书会随他们的设备自动提供。如果员工信誉良好，该证书将在到期日前自动续订。员工离开公司的那一刻，同样的证书会立即被撤销，阻止他们访问你的网络。

自动化还使IAM团队能够确保用于Wi-Fi和VPN访问的数字证书遵守严格的公司政策，如果一个证书或一组证书被泄露，它们几乎可以立即被替换。自动化不仅减轻了IT支持的负担，而且还提高了安全状况和补救的容易程度。

步骤3：与IAM工具集成

有效的自动化策略还取决于与公司IAM工具和系统的集成。使用UEM或MDM工具连接到网络的个人智能手机呢？还是与员工使用的应用程序进行最后一英里集成？

换句话说，提供不可见的Wi-Fi和VPN访问更多地依赖于证书管理。为了正常工作，系统需要与以下各项集成：

目录服务（如Active Directory）。这可确保员工更改自动触发供应、续订或撤销事件。

MDM解决方案（如Microsoft Intune、JAMF和BigFix）。这确保了可以向组织内的设备和更广泛的端点提供证书。

ITSM解决方案（如ServiceNow）。这使公司能够使用自己的IT服务工作流和窗口来处理和管理更改请求。

许多传统的证书生命周期管理（CLM）解决方案声称提供多个集成，但它们通常需要额外的成本，需要专业服务来部署，或者依赖第三方来保持最新。更重要的是，这些遗留解决方案不适合IAM用例，因为它们不与IAM平台集成，也不适合用户证书的证书生命周期。

DigiCert 解决方案

实现大规模提供隐形身份验证所需的自动化和集成并不是一项自己动手的任务。这就是DigiCert Trust Lifecycle Manager发挥作用的地方。Trust Lifecycle Manager提供了：

与IAM和IT系统进行必要的深度集成，使用预定义的证书模板，可以轻松地将证书生命周期与MDM、ITSM、目录服务和其他技术集成。

证书生命周期的自动化，使客户能够实现即时供应、续订和吊销的目标。DigiCert基于OCSP的基础设施可确保证书检查不会出现基于CRL的解决方案可能出现的延迟。

IBM的Yuan描述了他们与DigiCert合作所带来的好处：

我们希望为用户提供一流的服务，使他们能够高效工作，现在Wi-Fi和VPN服务将无缝提供给您，并将数字证书作为基础。它非常受欢迎，给了我们很大的生产力。现在我们开玩笑说，我们已经将PKI从公钥基础设施变成了“不可见公钥”，因为您永远不会担心无法续订证书和失去访问公司网络的能力。

简化 Wi-Fi 和 VPN 访问可能不像 Kareem 和 Eddie 在他们的鼎盛时期那样有趣，但在提高安全性的同时让员工轻松访问您的网络带来了特殊的幸福。

DigiCert Trust Lifecycle Manager是一个全栈数字信任解决方案，它将CA不可知的证书生命周期管理、私有PKI服务和公共信任发布结合在一起，实现无缝的数字信任基础设施，集中对整个证书环境的可见性和控制，降低因停机、人为错误、和非托管加密资产，并通过支持广泛IAM用例的自动化和集成来保护身份和访问。

本文由 聚力诚信 根据 Digicert 博客

IAM TEAMS: THREE STEPS TO ACHIEVING INVISIBLE AUTHENTICATION AT SCALE 编译整理，转载请注明出处。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。