IT一直在不斷發(fā)展,企業(yè)運作和交互方式也正以前所未有的速度發(fā)生變化?,F(xiàn)在,是時候對你的身份和訪問管理策略進行評估并邁向現(xiàn)代化了。
現(xiàn)在通過不同應用和API連接到企業(yè)網(wǎng)絡的用戶數(shù)量和設備日益增長,同時,隨著物聯(lián)網(wǎng)的發(fā)展,設備類型也正在呈爆炸式增長。
這讓安全團隊一直處于不利地位,他們艱難地控制著誰以及什么設備可訪問網(wǎng)絡資源,而攻擊者卻可以輕松繞過其他安全控制--因為他們擁有竊取的有效身份和登錄憑證。這使得身份成為關鍵數(shù)字資產(chǎn),身份安全則成為多層防御戰(zhàn)略的核心。很多企業(yè)已經(jīng)嘗試使用現(xiàn)有的身份和訪問管理(IAM)系統(tǒng)來應對這些變化,但這導致身份信息擴散以及安全控制被弱化,造成無托管身份的混亂環(huán)境。這是因為很多身份和訪問管理策略已經(jīng)過時,因此,企業(yè)應該作出調整,開發(fā)更長期的解決方案。
IAM的基本作用是將環(huán)境中所有活動與特定用戶或設備相關聯(lián),并對這些活動進行報告?,F(xiàn)在的現(xiàn)實是,如果企業(yè)想要保持競爭力,現(xiàn)有的身份和訪問管理已經(jīng)不夠;IAM還必須處理身份聯(lián)合和單點登錄(SSO),以便可輕松管理和配置大量用戶及設備。而目前很多身份和訪問管理策略仍然是圍繞內部系統(tǒng),這無法應對移動應用和面向客戶的服務,用戶需要隨時隨地快速方便地訪問任何設備。即使安全團隊認識到身份是新的安全邊界,他們仍然難以平衡用戶需求和安全要求。
如果企業(yè)選擇整合額外的身份和訪問管理產(chǎn)品到現(xiàn)有內部部署工具,這也很難確保效率或者安全性。現(xiàn)在的設備、應用和網(wǎng)絡都支持不同的協(xié)議,這種方法會導致內部身份管理解決方案“分裂”,沒有對身份的集中控制。主要的問題是它需要對訪問進行手動和耗時配置和取消配置,這里出現(xiàn)錯誤和遺漏的話,可能會讓用戶感到沮喪、生產(chǎn)效率降低以及數(shù)據(jù)泄露等。
身份控制層要點
數(shù)字化轉型成功的關鍵是向員工、合作伙伴和客戶提供快速方便地聯(lián)合身份服務。這意味著現(xiàn)代身份和訪問管理戰(zhàn)略需要SSO(在一個域名中的實體身份可用于另一個域名對相同實體的身份驗證)、集中配置和取消配置。同時,它還必須建立在開放標準之上,為數(shù)百萬用戶和設備提供多因素和情境感知身份驗證、可自助服務且具有可擴展性。
目前企業(yè)需要管理多種IT資源,當涉及身份管理時,企業(yè)需要使用多種身份驗證協(xié)議。這種做法的目的是限制處理不同設備和協(xié)議類型所需組件數(shù)量。這可減少所需不同工具和專家的數(shù)量,還可減少不同供應商控制不足夠重疊導致出現(xiàn)缺口的情況。
多年來涌現(xiàn)出很多IAM相關標準和協(xié)議。桌面應用通常使用輕量目錄訪問協(xié)議(LDAP),而基于Web的應用通常使用安全斷言標記語言(SAML)或者開放式身份驗證(OAuth),Windows應用通常使用Kerberos。其他標準包括Central Authentication Service、OZ協(xié)議、CoSign協(xié)議、WS-Fed、JSON Web Token和OpenID Connect(OIDC)。盡管部署SSO有很多選擇,但可幫助卡法人員在應用和身份提供商之間實現(xiàn)安全無縫集成并不是很多。SAML、OAuth和OIDC正在獲得開發(fā)人員的追捧--Ping Identity公司報告顯示49%的受訪公司使用OIDC,但移動和物聯(lián)網(wǎng)(IoT)要求更難以部署,這主要因為資源和通信限制以及缺乏有關如何安全地在特定身份提供商平臺進行身份驗證的權威指南。
IoT對身份和訪問管理策略意味著什么
SSO是人類需要的基本功能,因為它可避免密碼的很多缺點。IoT設備并不一定需要SSO帶來的便利,但設備之間的關系非常重要。那些用于多個域名中的設備需要身份及關系管理,因此,只能支持一個域名的IAM無法確保IoT設備的全面身份管理。而通用自啟動架構和身份管理系統(tǒng)等用于處理IoT的技術可幫助減少在設備生命周期內維護身份和關系的復雜性。云安全聯(lián)盟在其《物聯(lián)網(wǎng)身份和訪問管理》報告中甚至提到,企業(yè)應該評估新的身份關系管理技術來替換傳統(tǒng)IAM。
在可預見的未來,CISO將需要在其身份和訪問管理策略中涵蓋多協(xié)議環(huán)境,因此,最好的辦法是確定必須支持哪些協(xié)議,并采用支持這些協(xié)議的單一身份管理解決方案。這將確保安全性和一致性,提高用戶生產(chǎn)效率,并節(jié)省成本。
然而,構建這種IAM基礎設施超出大多數(shù)企業(yè)能力范圍,并需要對硬件和人員的巨大投資,這在大多數(shù)情況下是非核心活動。在很多情況下,最好的選擇是外包身份管理到專門的提供商。這就是為什么很多CISO轉向身份即服務(IDaaS)來升級其IAM功能。微軟和甲骨文等知名IT供應商以及Ping Identity等新供應商都在推廣基于云的服務和平臺,為客戶跨多個應用提供共享身份,同時提供單一集成視圖。請注意,有些供應商通過云計算提供身份聯(lián)合和SSO,但他們并不提供真正集成的全面的企業(yè)級IAM解決方案。
基于云的IAM
對于很多企業(yè)而言,基于云的IAM的吸引力不僅在于它允許企業(yè)快速推出新功能,而且它還可以消除尋找和雇傭安全人員來支持內部IAM產(chǎn)品的麻煩。