Gartner對(duì)MIM機(jī)器身份管理發(fā)展的6個(gè)觀點(diǎn)

“機(jī)器”的定義已變得相當(dāng)廣泛,不僅包括筆記本電腦和服務(wù)器等設(shè)備,還包括API組件、應(yīng)用程序、云基礎(chǔ)架構(gòu)和容器等等。機(jī)器身份的數(shù)量目前與人類身份平均比例為10:1,并且還在繼續(xù)增長(zhǎng)。雖然確立數(shù)字身份的工具已相當(dāng)成熟,但管理這些身份帶來(lái)了相當(dāng)大的挑戰(zhàn),手動(dòng)管理時(shí)尤其困難重重。

本文來(lái)自安全牛。

Gartner日前為數(shù)字身份管理繪制了最新版成熟度曲線(Hype Cycle),通過(guò)研究該曲線上相關(guān)的趨勢(shì)預(yù)測(cè),可以更好地了解身份訪問(wèn)管理(IAM)領(lǐng)域的未來(lái)技術(shù)發(fā)展。報(bào)告研究認(rèn)為,由于網(wǎng)絡(luò)威脅形勢(shì)和隱私保護(hù)要求,企業(yè)安全領(lǐng)導(dǎo)人在確保數(shù)據(jù)得到保護(hù)的同時(shí),必須盡快實(shí)現(xiàn)數(shù)字化時(shí)代的企業(yè)身份綜合管理,而機(jī)器身份管理和物聯(lián)網(wǎng)身份驗(yàn)證已經(jīng)成為組織數(shù)字身份管理的新挑戰(zhàn)。

QQ截圖20220104093506.png

圖:Gartner 2022版數(shù)字身份成熟度曲線

本次報(bào)告重點(diǎn)強(qiáng)調(diào)了數(shù)字身份治理中的機(jī)器身份管理和物聯(lián)網(wǎng)身份驗(yàn)證。機(jī)器身份是指確立數(shù)字設(shè)備訪問(wèn)及交易活動(dòng)有效性的數(shù)字密鑰、權(quán)證和證書等。機(jī)器身份管理(MIM)在2020年Gartner身份訪問(wèn)管理成熟度曲線中首次被提及,此后作為一項(xiàng)網(wǎng)絡(luò)安全計(jì)劃備受關(guān)注。

在本次發(fā)布的成熟度曲線中,研究人員認(rèn)為機(jī)器身份管理技術(shù)仍處于概念炒作的泡沫期,雖然企業(yè)組織長(zhǎng)期以來(lái)一直注重保護(hù)訪問(wèn)系統(tǒng)的人類用戶的身份,但目前整體還缺乏在整個(gè)企業(yè)中實(shí)現(xiàn)機(jī)器身份管控的有效策略和技術(shù)手段:

01

機(jī)器身份威脅正在快速增長(zhǎng)

“機(jī)器”的定義已變得相當(dāng)廣泛,不僅包括筆記本電腦和服務(wù)器等設(shè)備,還包括API組件、應(yīng)用程序、云基礎(chǔ)架構(gòu)和容器等等。機(jī)器身份的數(shù)量目前與人類身份平均比例為10:1,并且還在繼續(xù)增長(zhǎng)。雖然確立數(shù)字身份的工具已相當(dāng)成熟,但管理這些身份帶來(lái)了相當(dāng)大的挑戰(zhàn),手動(dòng)管理時(shí)尤其困難重重。

02

機(jī)器身份需差異化管理

攻擊者已經(jīng)充分了解機(jī)器身份是企業(yè)中安全防護(hù)中的一大短板,這使得機(jī)器身份成為經(jīng)常被利用的漏洞。針對(duì)機(jī)器身份漏洞的新惡意軟件與日俱增,針對(duì)證書的惡意軟件攻擊數(shù)量也在不斷增加。從2017年到2021年,這類攻擊數(shù)量增長(zhǎng)幅度超過(guò)400%;2020年,50%的云安全事件是由于機(jī)器身份和權(quán)限管理不善所引發(fā)的。Gartner在報(bào)告中表示,機(jī)器身份和傳統(tǒng)人類身份在可觀測(cè)性、所有權(quán)和自動(dòng)化分配等方面存在明顯差異。組織必須要盡快了解并認(rèn)知這些差異,使用新型的身份識(shí)別技術(shù)手段,才能有效地實(shí)施機(jī)器身份管理戰(zhàn)略。

03

物聯(lián)網(wǎng)應(yīng)用是機(jī)器身份管理的重要挑戰(zhàn)

物聯(lián)網(wǎng)產(chǎn)品為機(jī)器身份管理帶來(lái)了全新的需求和挑戰(zhàn),將數(shù)字化基礎(chǔ)設(shè)施建設(shè)模式引入到物聯(lián)網(wǎng)應(yīng)用流程中,可以生成實(shí)時(shí)生產(chǎn)數(shù)據(jù),提醒操作員注意隨時(shí)產(chǎn)生的維護(hù)需求,并持續(xù)性跟蹤資產(chǎn)運(yùn)營(yíng)狀態(tài)等。Gartner研究認(rèn)為,物聯(lián)網(wǎng)設(shè)備的廣泛應(yīng)用正帶來(lái)新的威脅途徑??煽康臋C(jī)器身份管理策略則是防止物聯(lián)網(wǎng)安全事件發(fā)生的基礎(chǔ)性措施。這將有助于防止針對(duì)重要工業(yè)設(shè)備的攻擊,避免災(zāi)難性事件及后果。

物聯(lián)網(wǎng)領(lǐng)域在合規(guī)和審計(jì)方面都有著獨(dú)特的需求和挑戰(zhàn)。雖然目前公共事業(yè)管理部門在定義物聯(lián)網(wǎng)身份驗(yàn)證方法方面取得了一定進(jìn)展,但仍有大量工作要做。報(bào)告研究發(fā)現(xiàn),大多數(shù)工業(yè)物聯(lián)網(wǎng)(IIoT)系統(tǒng)都是獨(dú)立的,通過(guò)使用原生方式進(jìn)行身份驗(yàn)證。此外,由于某些物聯(lián)網(wǎng)設(shè)備在資源或功能方面受限,計(jì)算能力低、安全存儲(chǔ)容量有限,因此很多目前常見(jiàn)的身份驗(yàn)證方法不是很適合。Gartner建議,應(yīng)盡快評(píng)估和制定支持物聯(lián)網(wǎng)領(lǐng)域中各類設(shè)備的身份驗(yàn)證的新標(biāo)準(zhǔn)和技術(shù)框架。

04

機(jī)器身份管理需要支持性基礎(chǔ)設(shè)施提供保障

不僅是種類和數(shù)量方面的挑戰(zhàn),不同組織和業(yè)務(wù)部門對(duì)智能機(jī)器設(shè)施也有著多樣化的應(yīng)用場(chǎng)景。這種廣泛的使用模式需要一套集中的管理標(biāo)準(zhǔn),讓機(jī)器身份管理工作在整個(gè)組織范圍內(nèi)能夠保持一致,同時(shí)允許部門以適合方式靈活地實(shí)施機(jī)器身份管理。在成熟度曲線報(bào)告中,提到了“先有雞還是先有蛋”的問(wèn)題,即“用戶在觀望相關(guān)機(jī)器身份管理標(biāo)準(zhǔn)是否會(huì)成為主流方式,而身份管理服務(wù)商卻在觀望用戶的物聯(lián)網(wǎng)系統(tǒng)是否會(huì)得到廣泛地應(yīng)用”。

報(bào)告建議,應(yīng)該先確立身份發(fā)現(xiàn)流程,從而確定機(jī)器身份的整體相互依賴關(guān)系。一些新的機(jī)器身份管理平臺(tái)和服務(wù)模型使組織更容易管理機(jī)器身份和公鑰基礎(chǔ)設(shè)施。這些集中式平臺(tái)為整個(gè)企業(yè)的機(jī)身身份管理活動(dòng)提供了一個(gè)決策中心,并為自動(dòng)化管理奠定了基礎(chǔ)。借助創(chuàng)新的技術(shù)工具,可以快速提升組織開(kāi)展機(jī)器身份管理工作的效率。在過(guò)去,每個(gè)管理機(jī)器身份的業(yè)務(wù)部門都需要自己的證書頒發(fā)機(jī)構(gòu)(CA),并設(shè)置專用的服務(wù)器。而現(xiàn)代機(jī)器身份管理平臺(tái)可以在一臺(tái)服務(wù)器上托管多個(gè)CA。這些產(chǎn)品預(yù)裝了數(shù)據(jù)庫(kù)和集成,讓用戶可以避免供應(yīng)商膨脹(vendor bloat)。PKI服務(wù)產(chǎn)品讓組織可以借助高效的SaaS訂閱模型,完全外包機(jī)器身份管理工作。

05

為建設(shè)零信任安全奠定基礎(chǔ)

開(kāi)展零信任架構(gòu)建設(shè)是企業(yè)安全領(lǐng)域的最新趨勢(shì)。零信任是一種策略,而不是一種工具。為了在不阻礙業(yè)務(wù)流程的情況下啟用這項(xiàng)策略,組織必須要部署有效地管理機(jī)器身份的架構(gòu)和框架。因?yàn)樵谝陨矸轂橹行牡陌踩P蜆?gòu)建中,人員和機(jī)器身份將是安全策略創(chuàng)建的核心,具有基于分配屬性的訪問(wèn)控制和策略。在這種情況下,訪問(wèn)企業(yè)數(shù)據(jù)和資源的前提就是持續(xù)性驗(yàn)證請(qǐng)求用戶或機(jī)器的身份及訪問(wèn)權(quán)限。

06

將機(jī)器身份管理“左移”

敏捷開(kāi)發(fā)和DevOps流程正在大量使用,從安全的角度來(lái)看,這意味著更快的數(shù)字請(qǐng)求和應(yīng)用速度,它們必須得到保護(hù),又不能成為瓶頸。在早期階段就讓安全、測(cè)試和合規(guī)等方面的負(fù)責(zé)人參與系統(tǒng)設(shè)計(jì)項(xiàng)目,這種方法被稱為DevSecOps。借助適當(dāng)?shù)墓ぞ?/p>

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論