2020身份與訪問管理的三大趨勢
責編:gltian |2020-04-28 10:11:11安全是企業數字化轉型策略面臨的最大困境。根據Ponemon Institute的數據,數據泄露的數量和損失持續增長,如今網絡犯罪導致的數據泄露給企業帶來的平均損失超過386萬美元。下面這組數據可以幫我們快速了解與身份數據泄露相關的企業安全威脅現狀:
- 去年年初,互聯網上泄露了7.73億個用戶名和密碼的海量緩存,幾乎可以肯定,黑客正在利用這些泄露數據實施犯罪活動。
- 暗網上出售的與《財富》500強公司相關的賬戶憑證超過2100萬(其中許多憑證在過去12個月內被泄露)。
- 憑據填充攻擊已急劇增加,Akamai在18個月內記錄了610億次嘗試攻擊。
面對數據泄露的“潰壩”,加之企業試圖保護越來越多的云應用程序、數據和服務,IT安全性支出的預算占比也在不斷增長。實際上,Gartner預測,今年全球在信息安全方面的支出將超過1240億美元。
那么,隨著數據泄露威脅和損失成本持續增長,企業安全數字化轉型的最佳實踐方法是什么?
很多人認為是“零信任”,沒錯,零信任是未來10年企業最重要的安全架構,同時也是當下最為火爆的安全市場營銷關鍵詞。但是,對于大多數企業來說,在跳上零信任的花車之前,首先要練好IAM(身份訪問與管理)的基本功,IAM是實現零信任的基礎和前提。
Gartner在日前發布《2020年規劃指南:身份和訪問管理》中也提出關鍵論點:IT必須推進IAM(身份和訪問管理)計劃。IAM安全技術專家應關注無口令認證、價值驅動的IGA(身份治理和管理)、增強的消費者隱私要求、混合/多云環境的趨勢。
在安全牛2020年第七版網絡安全全景圖中,IAM作為一級分類被放到了與數據安全密切關聯的,更為顯著的位置:
以下,在討論IAM的趨勢之前,我們先簡要介紹一下IAM的優點及其與零信任之間的關系:
IAM的好處是什么?
IAM可以通過為用戶設備添加指紋并部署多因素身份驗證(MFA)來檢測和拒絕來自無法識別平臺的登錄嘗試,從而防止憑據填充攻擊。IAM解決方案還限制了每個用戶登錄后能夠訪問的應用程序和服務范圍。
因此,即使惡意行為者獲得了有效的憑據并可以繞過MFA,IAM解決方案也將嚴格限制攻擊面和減少“橫向移動”,做到“可防可控”。
IAM還是軟件定義邊界(SDP)的重要推動者。SDP創建了“一個虛擬網絡”,其中用戶無權訪問的軟件和其他資源是不可見的。IAM通過管理和執行細粒度訪問管理來安全啟用虛擬網絡。
憑證填充攻擊的日益增長是許多公司采用IAM進行自我保護的原因之一。IAM自身正在迅速發展,以滿足更多公司的需求,并且變得更加安全,集成且易于使用。
IAM在零信任中的地位
零信任模型需要圍繞強大的身份和訪問管理(IAM)方案構建,因此,如果沒有這些IAM工具,零信任就是無根之木。允許用戶進入網絡之前建立用戶身份是實現零信任模型的核心。安全團隊正在使用諸如多因素身份驗證(MFA)、單點登錄(SSO)和其他核心IAM類功能來確保每個用戶使用安全的設備、訪問適當的文件類型、建立安全會話(Session)。
隨著時間的推移,無論信息位于其網絡中的何處,公司都需要確保對所有敏感信息的訪問進行驗證。IAM將成為組織零信任策略最重要的支柱,在許多不同的場景中發揮作用,包括:
- 為了幫助安全團隊將數據資產和信息包鏈接在一起,以選擇業務網絡上的用戶,未來的IAM技術將進一步集成,將身份數據植入到數據保護和網絡取證系統中。
- 隨著安全專業人員采用更多IAM解決方案,他們將能夠維護身份記錄并將其綁定到員工訪問權限。在采取此步驟之前,安全專業人員應為工作人員分配數據訪問權限,并將數據屬性包括在所有訪問驗證活動中。
- 客戶必須安裝每一項技術的日子即將結束,代之以基于API的微服務。后者正在對安全性產生影響,預計安全提供商們將采用它。結果,對于那些遵循零信任理念和方法的企業安全團隊來說,應用IAM工具的負擔將大幅減輕。
對于組織而言,眼下是實現零信任架構理想時機,因為身份泄露造成的數據泄露威脅正與日俱增。而IAM“武器庫”的建設,正是企業邁向零信任的第一步。
2020年,IAM的三大趨勢
趨勢一:身份和訪問管理即服務
管理一組應用程序和文件的訪問可能很棘手,且要求很高。盡管IAM早已遷移到云中(即使Microsoft的古老Active Directory軟件也跳到了Azure),但對應用程序進行精細維護的責任仍然在于管理員。
借助IAM即服務(IAMaaS),許多IAM功能被轉移到云中并實現了自動化。遠程用戶可以輕松而輕松地訪問其工具:他們只需使用一次登錄(SSO)即可訪問所需的所有資源和解決方案。
借助IAMaaS,用戶可以輕松、自動化地連接安全和防欺詐保護系統,提高應用程序和文件的安全性,而無需付出額外的努力。此外,自動化工具將大大減少管理員的工作負擔。
趨勢二:微服務的身份和訪問管理
微服務已經席卷了IT世界。開發人員使用鏈接的容器化小程序而不是單個整體應用程序來執行以前由單個集成應用程序完成的功能。即使一個組件失敗,整個應用程序也不會崩潰。
取而代之的是,自動化系統啟動了故障組件的副本,使用戶的停機時間降至零。
從傳統的IAM的角度來看,這是有問題的。現在,應用程序的各個組件可以通過網絡進行通信,這意味著攻擊者有可能竊聽或偽造這些通信。有時,這些服務使用公共互聯網在多個數據中心之間進行通信,這使得加密和安全性變得更加重要。
因此,IAM解決方案開始與微服務集成。在一個這樣的解決方案中,微服務之間的每個通信還包括一個唯一的令牌,該令牌在收到后便會得到驗證。應用程序僅在收到有效令牌后才執行請求的功能。
這對應用程序造成的性能影響很小,但卻可以防止不良行為者假冒微服務或竊聽您的應用程序。
趨勢三:自主身份
用戶所擁有的身份數據,需重復證明,也不屬于自己,這是一件怪誕但現實的事情,這不僅僅帶來不便,而且是數據泄露的萬惡之源。
自主主權身份是搭建在區塊鏈上的數字身份,也是用戶對數字身份掌控度最高的形式,此類數字身份因為結合了區塊鏈的去中心化、分布式、共識機制、哈希加密等特性,因此在自主、安全、可控層面更上一層樓。
在物理世界中,用戶可以通過多種方式來驗證其身份,而無需用戶名或密碼。他們可能會出示駕照、護照、社會保險卡或其他身份證。
過去,顯示完整賬號的信用卡收據使身份盜竊變得容易。而所謂的自主身份,指的是當個人使用這些實體來驗證其身份時,沒有第三方(發行機構除外)維護副本,因此被盜的風險較小。
簡而言之,自我主權身份使用戶在網上也能夠以“親自證明”相同的方式對自己進行身份驗證。用戶可以存儲自己的個人識別數據,而不必將其提交到某個公司管理的集中化數據庫中,因為如果這些公司被黑客入侵,數據泄露將不可避免。
自我主權身份的問題在于,目前還沒有一種普遍認同的媒介可以用來存儲自己的身份并對其進行驗證。現在,許多自我主權身份的支持者認為,區塊鏈是一種加密的去中心化個人信息數據庫,代表了個人可以輕松地在線驗證其身份的理想機制。
因此,整合區塊鏈有可能在很大程度上改變IAM。根據您的居住地、您的用戶名和密碼可能會替換為政府頒發的數字身份。這已經在瑞士的楚格(Zug)市發生,您的城鎮可能是下一個。
總之,可以預見的是,隨著全球主要公司和政府努力“消滅密碼”,在線身份識別和管理方式也正面臨一場巨變。