什麼是自適應訪問管理？

自適應訪問管理根據訪問時評估的風險調整訪問安全級別。雖然成熟的訪問管理基礎架構提供具有身份驗證和授權安全性的服務交付，但自適應訪問管理會調整這些保護措施以匹配手頭的風險。這些調整的決策標準包括上下文資訊，例如使用者是否正在訪問高度敏感的資訊：

• 使用已知設備甚至託管設備
• 使用前所未見的設備
• 在安全設施內
• 從指定範圍或區域內的遠端位置
• 來自遙遠或意外的遙控器（IP 範圍、地理位置、地理圍欄）

從上面列出的每種情況中可以推斷出不同的風險水準。有人從遙遠且意想不到的位置從從未見過的未知設備訪問敏感資訊，這與從安全設施內訪問相同的資訊有很大不同。即使從遙遠但熟悉或預期的位置進行訪問，風險也要小得多，尤其是從託管設備訪問。

熟悉度可以擴展到上下文之外。信息的異常訪問可能表明實際請求者不是在身份驗證時聲稱的請求者。行為分析的機器學習可用於識別請求者（人員或進程）何時按預期進行交互或出現分歧。根據計算的風險，請求可能會被中斷以回應另一種身份驗證類型，以加強其聲明的身份。

與幾年前流行的基於風險的傳統身份驗證控制相比，當今的自適應訪問管理基礎架構之間的決定性區別在於，請求者的上下文和行為資訊是在整個會話中收集的，而不僅僅是在發出初始請求時收集。從歷史上看，基於風險的訪問根據請求點測量的上下文設置身份驗證和授權要求。持續身份驗證和授權是在整個會話中測量風險並在整個會話中調用操作的能力。例如，請求者可能會在會話後期訪問比最初更高的敏感資訊。或者，行為分析引擎可能會根據交互和請求計算請求者身份的低置信度評級。其中任何一個都可以調用訪問管理基礎結構來適應計算的風險。

為什麼組織要遷移到自適應訪問管理基礎架構？

越來越多的IT安全團隊意識到，他們的傳統防禦措施（如防火牆和靜態訪問策略）對當今的高級威脅並不十分有效。儘管在安全解決方案上投入了數百億美元，但今天的違規率與十年前相同。由於這些違規率仍然居高不下，因此每個數據洩露的成本都在不斷上升。除了不斷上升的違規成本之外，組織繼續使用更多基於雲的服務，使其防火牆的作用變得微不足道。在雲計算的早期，當組織購買基礎架構服務 （IaaS） 解決方案以卸載系統管理時，他們通常會通過防火牆將通信通道傳遞給他們。換言之，IaaS 是其 Intranet 的擴展。如今，隨著組織繼續將其內部服務過渡到 SaaS 服務，這種方法已經不那麼常見了。相反，管理員使用聯合技術來擴展其身份和授權存儲庫，以便支援它們的雲服務。從本質上講，這意味著身份確實是新的邊界。

雖然一些組織將其最敏感的資訊保存在內部，但如今它們更常見的是從基於 SaaS 的服務中使用的。挑戰在於，如果沒有防火牆的額外保護，靜態訪問管理策略就會達不到要求。雖然訪問策略可以將數字環境鎖定為高安全性狀態，但它會帶來破壞性的妥協。限制性策略使用戶感到沮喪並降低他們的工作效率。對於 B2C/B2B/G2C 服務，限制策略迅速成為消費者的抑制因素，將它們推向競爭產品。相反，太容易移動和消耗的環境通常會為不良行為者提供利用的機會。更好的方法是動態訪問控制，它使組織能夠在風險較低時減少摩擦，同時以更高的安全性回應當前的威脅。除了資訊創建和使用方式的巨大變化之外，需要保護的敏感資訊量也變得巨大。過去十年的數位化轉型擴大了資訊類型，包括受監管的資訊，既是數位化的，又是互聯的。自適應訪問管理使這些資訊能夠保持連接和安全。