物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

身份互聯(lián)網(wǎng)(IoI)來了 IAM將大放異彩

作者:本站收錄
來源:安全牛
日期:2017-07-20 16:01:55
摘要:IoT、移動(dòng)性和緊迫的安全需求,意味著每個(gè)節(jié)點(diǎn)都必須有可信身份和連接網(wǎng)絡(luò)服務(wù)的安全通道。

  現(xiàn)在每個(gè)人都在談?wù)揑oT,理由充分:已有數(shù)十億設(shè)備接入全球互聯(lián)網(wǎng),有些研究人員預(yù)測(cè)到2020年聯(lián)網(wǎng)設(shè)備數(shù)量將達(dá)500億。僅此一項(xiàng),就讓CISO的工作更難開展了,但安全高管還要面臨其它相關(guān)挑戰(zhàn),包括:

  員工移動(dòng)辦公,傾向于利用各種設(shè)備訪問公司應(yīng)用;

  應(yīng)用、工作負(fù)載和容器存在于私有或公共云,甚至在二者之間轉(zhuǎn)換;

  更多設(shè)備、云應(yīng)用和移動(dòng)用戶的增加,大幅擴(kuò)大了攻擊界面;

  CISO被迫以人手不足兼技能不夠的網(wǎng)絡(luò)安全團(tuán)隊(duì),保護(hù)這不斷增長(zhǎng)的IT資產(chǎn)。

  傳統(tǒng)安全過程、控制措施和技術(shù)手段,無法擴(kuò)展?jié)M足當(dāng)今IoT移動(dòng)世界的安全挑戰(zhàn)。

  這正是身份(例如:設(shè)備身份、用戶身份、資產(chǎn)身份等等)大展拳腳的地方。源和目的之間,必須通過2/3層協(xié)議和用戶名及口令連接。更進(jìn)一步,互聯(lián)網(wǎng)上所有東西都必須有個(gè)可信身份,這些可信身份將用于引導(dǎo)并監(jiān)視安全連接。

  這一趨勢(shì)被稱為“身份互聯(lián)網(wǎng)(IoI)”,符合我們目前跟蹤的多個(gè)安全趨勢(shì)。比如說,可信身份,就處于微分隔和軟件定義邊界(SDP)之類聯(lián)網(wǎng)趨勢(shì)的中心。

  只要知道設(shè)備或人的身份,以及該設(shè)備或人想連接的應(yīng)用或服務(wù)的身份,就可以驗(yàn)證各實(shí)體,檢查策略引擎以確保這是授權(quán)連接;分隔并加密源和目的之間的流量,并維護(hù)對(duì)連接甚至倆節(jié)點(diǎn)間所有數(shù)據(jù)包的審計(jì)日志。

  基本上,整個(gè)全球互聯(lián)網(wǎng)被固定功能網(wǎng)絡(luò)和個(gè)人虛擬網(wǎng)絡(luò)分隔成大大小小數(shù)十億個(gè)網(wǎng)絡(luò)——全都由管道兩端的身份驅(qū)動(dòng)。

  因?yàn)樾枰蒙矸?、軟件定義網(wǎng)絡(luò)技術(shù)和大數(shù)據(jù)分析,來減小網(wǎng)絡(luò)攻擊界面并監(jiān)視這數(shù)十億節(jié)點(diǎn)情況,IoI的理論是完全正確的。商業(yè)方面,IoI可幫助公司企業(yè)向關(guān)鍵網(wǎng)絡(luò)流量和高價(jià)值客戶提供高性能服務(wù)。

  雖然IoI聽起來很符合邏輯,其未來幾年的成功取決于很多因素,包括:

  1. 對(duì)IoT設(shè)備的強(qiáng)身份驗(yàn)證

  每個(gè)IoT設(shè)備都必須擁有強(qiáng)壯而唯一的身份,可基于生物特征識(shí)別技術(shù)、指紋技術(shù)或經(jīng)驗(yàn)證的X.509數(shù)字證書。

  2. 標(biāo)準(zhǔn)和固有技術(shù)的廣泛采用

  或許可以對(duì)FIDO、OAuth、OpenID、SAML等標(biāo)準(zhǔn)進(jìn)行某種形式的合理化,同時(shí)增加手機(jī)指紋讀取器等常見生物特征識(shí)別的使用。

  3. 身份的云監(jiān)管

  Facebook、谷歌和微軟已將身份擴(kuò)展至云端,也正努力進(jìn)行身份控制,但I(xiàn)oI必須進(jìn)化至一種協(xié)作生態(tài)系統(tǒng)。國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)的可信身份組和NSTIC,曾提出過類似模型。業(yè)界大佬必須認(rèn)同此類身份生態(tài)系統(tǒng),并共同努力實(shí)現(xiàn)。

  4. 軟件定義網(wǎng)絡(luò)技術(shù)的更多運(yùn)用

  更多使用微分隔和VPN向軟件定義邊界的遷移,可基于用戶、身份、位置、風(fēng)險(xiǎn)和嚴(yán)格的業(yè)務(wù)驅(qū)動(dòng)策略,提供任意端對(duì)端網(wǎng)絡(luò)訪問。

  5. 成熟用戶和實(shí)體行為分析(UEBA)工具

  時(shí)時(shí)刻刻發(fā)生的事件太多,安全分析師無法跟蹤所有連接或發(fā)現(xiàn)異常行為?;跈C(jī)器學(xué)習(xí)和人工智能的成熟行為安全分析工具,必須持續(xù)進(jìn)化以不足這方面差距。

  大企業(yè)可用多種方式為IoI做打算:

  從戰(zhàn)術(shù)性身份管理轉(zhuǎn)向全面的IAM策略;

  給CISO更多的IAM監(jiān)管權(quán)限,同時(shí)讓業(yè)務(wù)經(jīng)理更多參與到策略定義和風(fēng)險(xiǎn)管理中來;

  促進(jìn)安全、IT和運(yùn)營(yíng)技術(shù)團(tuán)隊(duì)間的協(xié)作。

人物訪談