沒人會(huì)在多家公司都擁有身份,身份技術(shù)人才也一直處于短缺狀態(tài)。替代解決方案中,這些問題可對(duì)IoT形成阻礙,并引發(fā)安全漏洞。
臨近11月末,各條戰(zhàn)線上的兄弟姐妹們都忙于撰寫各自的 2018 IT及安全預(yù)測(cè)。用腳趾頭都能想到:明年網(wǎng)絡(luò)上必將出現(xiàn)互聯(lián)網(wǎng)(IoT)設(shè)備的大幅激增。其中一些會(huì)是通用設(shè)備,比如網(wǎng)絡(luò)攝像頭、智能恒溫器、智能電表等等,但還有其他很多是行業(yè)專用的傳感器、致動(dòng)器和數(shù)據(jù)收集器。
管理所有這些設(shè)備的部署、操作和安全,將是巨大的挑戰(zhàn)。必須有人解決網(wǎng)絡(luò)訪問控制、連接、分隔、基線行為、網(wǎng)絡(luò)性能影響等等問題。
這就是身份入場(chǎng)展身手的地方了。每個(gè)設(shè)備都應(yīng)具備自己的身份和屬性,用以管理連接、策略和信任。已有博客帖子介紹過身份互聯(lián)網(wǎng)(Internet of Identities)的概念,此處將就身份互聯(lián)網(wǎng)的大量變化加以進(jìn)一步說明。
身份互聯(lián)網(wǎng)正快速涌來,但企業(yè)戰(zhàn)略集團(tuán)(ESG)的研究表明,很多企業(yè)并未準(zhǔn)備好迎接這波突襲。
沒人擁有真正的IAM
隨著企業(yè)部署應(yīng)用程序、基礎(chǔ)設(shè)施和安全工具,IAM(身份及訪問管理)在過去20年中一直在有機(jī)增長(zhǎng)?;顒?dòng)目錄(AD)隨Windows服務(wù)器而引入,VPN和VLAN則由思科帶來,RSA SecureID之類身份驗(yàn)證工具被安全團(tuán)隊(duì)廣為采納并管理……因此,每家企業(yè)都有某種IAM,但沒人在整個(gè)企業(yè)范圍內(nèi)應(yīng)用之。
ESG研究顯示,IT基礎(chǔ)設(shè)施運(yùn)營(49%)是IAM責(zé)任的主體,但安全(31%)、應(yīng)用管理(10%)、應(yīng)用部署(5%)和移動(dòng)應(yīng)用管理(4%)團(tuán)隊(duì),也依賴IAM活動(dòng)。沒錯(cuò),涉及IAM,很多企業(yè)都是萬事皆通一事不精狀態(tài)。
IAM受制于網(wǎng)絡(luò)安全人才短缺
安全團(tuán)隊(duì)將負(fù)責(zé)身份互聯(lián)網(wǎng)的策略實(shí)施、控制和端到端監(jiān)視,但這一監(jiān)管可能受到全球網(wǎng)絡(luò)安全人才短缺的影響。研究揭示,27%的受訪者覺得自己的IAM知識(shí)不足,31%的受訪者感到信息安全團(tuán)隊(duì)中負(fù)責(zé)IAM的人手太少。隨著IoT設(shè)備在未來幾年的倍增,安全團(tuán)隊(duì)會(huì)忙到焦頭爛額,應(yīng)接不暇。
如果公司企業(yè)不解決這些問題,會(huì)怎樣?身份互聯(lián)網(wǎng)應(yīng)用會(huì)被隨意部署,網(wǎng)絡(luò)流量模式會(huì)走偏,生產(chǎn)力和正常運(yùn)行時(shí)間會(huì)受影響,安全團(tuán)隊(duì)不得不疲于奔命。
解決IoT設(shè)備IAM挑戰(zhàn)的3個(gè)策略
于是,我們需要什么呢?下面3條策略可供參考:
1. 評(píng)估企業(yè)IAM策略
公司企業(yè)必須找到斷裂點(diǎn)、擴(kuò)展性問題、過程重疊和所有權(quán)結(jié)構(gòu),然后制定出3年計(jì)劃來集成整合整套IAM策略。
2. 指定IAM委員會(huì)和所有者
應(yīng)用開發(fā)人員、IT運(yùn)營和安全人員確實(shí)需要攜手共營IAM,但必須有人負(fù)起掌舵的責(zé)任。CIO、CISO和業(yè)務(wù)經(jīng)理得找到一位具備正確的業(yè)務(wù)過程、IT和安全知識(shí)的高級(jí)人員,負(fù)責(zé)驅(qū)動(dòng)IAM/身份互聯(lián)網(wǎng)策略,推動(dòng)業(yè)務(wù)、提升運(yùn)營效率和安全效能。
3. 采納以身份為中心的業(yè)務(wù)策略方法
隨著公司企業(yè)邁向新的業(yè)務(wù)計(jì)劃,IT和安全決策也必須基于新計(jì)劃涉及的人員、他們所使用的設(shè)備、工作的地點(diǎn),還有所需的應(yīng)用和數(shù)據(jù)而定。所有這一切,其實(shí)就是讓正確的人連接到正確的工具,而將無關(guān)人員統(tǒng)統(tǒng)屏蔽。