什么是适应性访问管理？

自适应访问管理根据访问时的风险评估调整访问安全级别。成熟的访问管理基础设施提供的服务具有身份验证和授权的安全性，而自适应访问管理则会根据当前的风险调整这些保障措施。这些调整的决策标准包括背景信息，如用户是否正在访问高度敏感的信息：

• 使用已知设备，甚至是托管设备
• 使用前所未见的设备
• 在安全设施内
• 从指定范围或区域内的远程位置出发
• 来自遥远或意外的远程（IP 范围、地理定位、地理围栏）

从上述每种情况中都可以推断出不同程度的风险。有人在遥远和意想不到的地方通过从未见过的未知设备访问敏感信息，这与在安全设施内访问同样的信息截然不同。即使是从遥远但熟悉或预期的地点访问，其风险也要小得多，尤其是从受管理的设备访问。

熟悉程度可不仅仅局限于上下文。不寻常的信息访问可能表明，实际请求者并非认证时声称的那个人。行为分析的机器学习可用于识别请求者（个人或流程）是按照预期进行交互还是出现偏差。根据计算出的风险，被请求者可能会被打断，以响应另一种身份验证类型，从而加强其声称的身份。

与几年前流行的传统基于风险的身份验证控制相比，今天的自适应访问管理基础架构的决定性区别在于，请求者的上下文和行为信息是在整个会话过程中收集的，而不仅仅是在最初提出请求时收集的。一直以来，基于风险的访问都是根据请求时所测量的上下文来设定身份验证和授权要求的。持续验证和授权是指在整个会话期间衡量风险并在整个会话期间调用操作的能力。例如，请求者可能会在会话后期访问比最初更敏感的信息。或者，行为分析引擎可能会根据交互和请求计算出请求者身份的低置信度。任何一种情况都会调用访问管理基础设施来适应计算出的风险。

为什么企业要转向自适应访问管理基础设施？

越来越多的 IT 安全团队意识到，防火墙和静态访问策略等传统防御手段对当今的高级威胁并不十分有效。尽管在安全解决方案上投入了数百亿美元，但今天的入侵率与十年前相同。由于入侵率居高不下，每次入侵的成本都在持续上升。除了入侵成本上升之外，企业还在继续使用更多基于云的服务，这使得防火墙的作用变得微不足道。在云技术发展的最初几年，当企业购买基础设施服务（IaaS）解决方案以卸载系统管理时，通常会通过防火墙向其传输通信。换句话说，IaaS 是企业内网的延伸。如今，随着企业不断将内部服务转型为 SaaS 服务，这种方法已不常见。取而代之的是，管理员使用联盟技术为支持他们的云服务扩展身份和权限库。从本质上讲，这意味着身份的确是新的边界。

虽然有些组织将其最敏感的信息保存在内部，但如今更常见的是通过基于 SaaS 的服务来消费这些信息。面临的挑战是，如果没有防火墙的额外保护，静态访问管理策略就会失效。虽然可以通过访问策略将数字环境锁定在高安全状态，但这会带来破坏性的损害。限制性政策会让用户感到沮丧，并降低他们的工作效率。对于 B2C/B2B/G2C 服务，限制性政策很快就会成为消费者的抑制因素，迫使他们转向竞争产品。相反，太容易移动和消费的环境通常会给坏人提供可乘之机。更好的方法是动态访问控制，使企业能够在风险较低时减少摩擦，同时以更高的安全性应对即时威胁。除了信息创建和消费方式的巨大变化，需要保护的敏感信息量也变得巨大。过去十年的数字化转型扩大了数字化和联网信息的类型，包括受监管信息。自适应访问管理允许这些信息保持连接和安全。