物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

身份互聯(lián)網(wǎng)(IoI)時(shí)代已經(jīng)到來(lái) 你準(zhǔn)備好了嗎?

作者:本站收錄
來(lái)源:安全牛
日期:2017-12-01 09:05:40
摘要:沒人會(huì)在多家公司都擁有身份,身份技術(shù)人才也一直處于短缺狀態(tài)。替代解決方案中,這些問(wèn)題可對(duì)IoT形成阻礙,并引發(fā)安全漏洞。

  沒人會(huì)在多家公司都擁有身份,身份技術(shù)人才也一直處于短缺狀態(tài)。替代解決方案中,這些問(wèn)題可對(duì)IoT形成阻礙,并引發(fā)安全漏洞。

  臨近11月末,各條戰(zhàn)線上的兄弟姐妹們都忙于撰寫各自的 2018 IT及安全預(yù)測(cè)。用腳趾頭都能想到:明年網(wǎng)絡(luò)上必將出現(xiàn)互聯(lián)網(wǎng)(IoT)設(shè)備的大幅激增。其中一些會(huì)是通用設(shè)備,比如網(wǎng)絡(luò)攝像頭、智能恒溫器、智能電表等等,但還有其他很多是行業(yè)專用的傳感器、致動(dòng)器和數(shù)據(jù)收集器。

  管理所有這些設(shè)備的部署、操作和安全,將是巨大的挑戰(zhàn)。必須有人解決網(wǎng)絡(luò)訪問(wèn)控制、連接、分隔、基線行為、網(wǎng)絡(luò)性能影響等等問(wèn)題。

  這就是身份入場(chǎng)展身手的地方了。每個(gè)設(shè)備都應(yīng)具備自己的身份和屬性,用以管理連接、策略和信任。已有博客帖子介紹過(guò)身份互聯(lián)網(wǎng)(Internet of Identities)的概念,此處將就身份互聯(lián)網(wǎng)的大量變化加以進(jìn)一步說(shuō)明。

  身份互聯(lián)網(wǎng)正快速涌來(lái),但企業(yè)戰(zhàn)略集團(tuán)(ESG)的研究表明,很多企業(yè)并未準(zhǔn)備好迎接這波突襲。

  沒人擁有真正的IAM

  隨著企業(yè)部署應(yīng)用程序、基礎(chǔ)設(shè)施和安全工具,IAM(身份及訪問(wèn)管理)在過(guò)去20年中一直在有機(jī)增長(zhǎng)?;顒?dòng)目錄(AD)隨Windows服務(wù)器而引入,VPN和VLAN則由思科帶來(lái),RSA SecureID之類身份驗(yàn)證工具被安全團(tuán)隊(duì)廣為采納并管理……因此,每家企業(yè)都有某種IAM,但沒人在整個(gè)企業(yè)范圍內(nèi)應(yīng)用之。

  ESG研究顯示,IT基礎(chǔ)設(shè)施運(yùn)營(yíng)(49%)是IAM責(zé)任的主體,但安全(31%)、應(yīng)用管理(10%)、應(yīng)用部署(5%)和移動(dòng)應(yīng)用管理(4%)團(tuán)隊(duì),也依賴IAM活動(dòng)。沒錯(cuò),涉及IAM,很多企業(yè)都是萬(wàn)事皆通一事不精狀態(tài)。

  IAM受制于網(wǎng)絡(luò)安全人才短缺

  安全團(tuán)隊(duì)將負(fù)責(zé)身份互聯(lián)網(wǎng)的策略實(shí)施、控制和端到端監(jiān)視,但這一監(jiān)管可能受到全球網(wǎng)絡(luò)安全人才短缺的影響。研究揭示,27%的受訪者覺得自己的IAM知識(shí)不足,31%的受訪者感到信息安全團(tuán)隊(duì)中負(fù)責(zé)IAM的人手太少。隨著IoT設(shè)備在未來(lái)幾年的倍增,安全團(tuán)隊(duì)會(huì)忙到焦頭爛額,應(yīng)接不暇。

  如果公司企業(yè)不解決這些問(wèn)題,會(huì)怎樣?身份互聯(lián)網(wǎng)應(yīng)用會(huì)被隨意部署,網(wǎng)絡(luò)流量模式會(huì)走偏,生產(chǎn)力和正常運(yùn)行時(shí)間會(huì)受影響,安全團(tuán)隊(duì)不得不疲于奔命。

  解決IoT設(shè)備IAM挑戰(zhàn)的3個(gè)策略

  于是,我們需要什么呢?下面3條策略可供參考:

  1. 評(píng)估企業(yè)IAM策略

  公司企業(yè)必須找到斷裂點(diǎn)、擴(kuò)展性問(wèn)題、過(guò)程重疊和所有權(quán)結(jié)構(gòu),然后制定出3年計(jì)劃來(lái)集成整合整套IAM策略。

  2. 指定IAM委員會(huì)和所有者

  應(yīng)用開發(fā)人員、IT運(yùn)營(yíng)和安全人員確實(shí)需要攜手共營(yíng)IAM,但必須有人負(fù)起掌舵的責(zé)任。CIO、CISO和業(yè)務(wù)經(jīng)理得找到一位具備正確的業(yè)務(wù)過(guò)程、IT和安全知識(shí)的高級(jí)人員,負(fù)責(zé)驅(qū)動(dòng)IAM/身份互聯(lián)網(wǎng)策略,推動(dòng)業(yè)務(wù)、提升運(yùn)營(yíng)效率和安全效能。

  3. 采納以身份為中心的業(yè)務(wù)策略方法

  隨著公司企業(yè)邁向新的業(yè)務(wù)計(jì)劃,IT和安全決策也必須基于新計(jì)劃涉及的人員、他們所使用的設(shè)備、工作的地點(diǎn),還有所需的應(yīng)用和數(shù)據(jù)而定。所有這一切,其實(shí)就是讓正確的人連接到正確的工具,而將無(wú)關(guān)人員統(tǒng)統(tǒng)屏蔽。

人物訪談