身份和訪問管理(IAM)是成熟的安全領(lǐng)域,但這并不意味著它是靜態(tài)的。雖然IAM通常與安全關(guān)聯(lián),事實上,它是整體安全計劃的重要組成部分,很多人開始了解它代表的業(yè)務(wù)流程。事實可能是:它模糊了安全和運(yùn)營之間的界線。
這個領(lǐng)域的最新趨勢表明IAM逐漸成為企業(yè)主流。在未來這一趨勢仍將繼續(xù)發(fā)展,下面5個方面表明IAM的重要性:
1、首席營銷官和首席運(yùn)營官要求獲取IAM數(shù)據(jù)
谷歌、Facebook、Twitter和其他企業(yè)最重視什么?答案是他們用戶群的信息。他們知道我們是誰、我們何時活躍以及所有我們的瀏覽習(xí)慣。他們使用這些信息來創(chuàng)建有針對性的廣告,并從中獲利。
并非所有公司對通過基于用戶行為的廣告獲利感興趣,但大多數(shù)公司都可從更好地了解用戶中受益。盡管IAM解決方案無法提供所有這些優(yōu)勢,但它可提供最基本的數(shù)據(jù)點(diǎn):用戶是誰——他們的身份。
最近我們開始看到首席營銷官和首席運(yùn)營官要求獲取有關(guān)用戶的信息。在用戶目錄中有基本人口統(tǒng)計信息,這是很好的開始,但他們想要更多信息。他們想要會話和網(wǎng)站訪問信息。為了了解用戶是誰(姓名、電子郵件、電話號碼)以及追蹤他們登錄行為,需要獲取用戶目錄和網(wǎng)站訪問管理解決方案的數(shù)據(jù)。他們還想要通過用戶行為分析系統(tǒng)分析這些信息來了解用戶具體使用模式。
例如,對于汽車零部件零售商來說,數(shù)據(jù)可以顯示,大丹佛地區(qū)大約有50家汽車維修點(diǎn)經(jīng)常在瀏覽其網(wǎng)站的制動液后放棄其購物車。這一趨勢可能是因為競爭對手提供更低的價格或者更多選擇。如果沒有這種水平的分析,不知道用戶是誰以及他們的位置,不可能得出這種類型的結(jié)論。
安全機(jī)會:這似乎是尚未達(dá)到臨界值的新需求。這給CISO提供了機(jī)會,因為CMO和COO可能有資金用于IAM計劃,并可影響董事會或其他高管考慮將IAM作為優(yōu)先事項。這種情況還可能讓CISO有機(jī)會讓公司高管了解IAM的其他優(yōu)勢,即提高安全性和運(yùn)營效率。
2、內(nèi)部威脅可被識別和阻止
大數(shù)據(jù)正開始被IAM團(tuán)隊利用。通過對服務(wù)器、網(wǎng)絡(luò)設(shè)備、中間件、IDS/IPS、漏洞管理解決方案及應(yīng)用的訪問日志和事件進(jìn)行整理,企業(yè)可關(guān)聯(lián)這些活動并發(fā)現(xiàn)趨勢。而這可能需要大數(shù)據(jù)解決方案和安全專用工具。
這對于外部威脅非常有效,當(dāng)有人入侵網(wǎng)絡(luò)或者部署惡意軟件時,大數(shù)據(jù)被證明很有效?,F(xiàn)在CISO擁有可視性,并可在幾分鐘之內(nèi)響應(yīng)?,F(xiàn)在攻擊者意識到內(nèi)部用戶(特別是內(nèi)部特權(quán)用戶)更有價值,那么,我們?nèi)绾卫眠@些數(shù)據(jù)來發(fā)現(xiàn)和應(yīng)對內(nèi)部威脅?
安全機(jī)會:這個方面的安全可通過四個基本活動來實現(xiàn),技術(shù)上來看,我們已經(jīng)有可用的工具,現(xiàn)在是時候利用這些工具。
1). 確定你最有價值的資產(chǎn)(例如數(shù)據(jù)、應(yīng)用程序)
2). 發(fā)現(xiàn)并整合特權(quán)用戶存儲庫以了解這些用戶是誰
3). 在中央安全情報和事件管理(SIEM)解決方案中收集關(guān)鍵基礎(chǔ)設(shè)施活動
4). 確定每個用戶類型的預(yù)期活動,并創(chuàng)建運(yùn)行用例以應(yīng)對不符合預(yù)期的活動
3、基于云的IAM解決方案已經(jīng)達(dá)到成熟臨界值
在過去幾年,我們看到多種解決方案被發(fā)布,初創(chuàng)公司進(jìn)入這個行業(yè),大型公司試圖將其解決方案引入到云計算,并且,其中很多企業(yè)未能實現(xiàn)宣稱的功能。不僅是因為該技術(shù)還沒有準(zhǔn)備好,而且因為公司并不感興趣。我們很少看到業(yè)務(wù)需求和技術(shù)解決方案并行發(fā)展的情況。
實際上,企業(yè)仍需要根據(jù)80/20的原則來部署一套標(biāo)準(zhǔn)功能。幸運(yùn)的是,在市場領(lǐng)導(dǎo)者的推動下,這些標(biāo)準(zhǔn)功能的數(shù)量和靈活性都已經(jīng)提高。產(chǎn)品供應(yīng)商看到這一趨勢,產(chǎn)品投資資金都明顯轉(zhuǎn)移到云計算。
需要注意的是,有些基于云的IAM供應(yīng)商有重點(diǎn)領(lǐng)域。很少供應(yīng)商會涵蓋所有IAM方面,因此他們會有一些局限性。企業(yè)有必要了解IAM的四個子域:身份數(shù)據(jù)、身份管理、訪問管理以及訪問執(zhí)行。有些供應(yīng)商專注于聯(lián)盟和身份驗證,有些則更擅長目錄復(fù)制,還有些專門負(fù)責(zé)配置和取消配置。
現(xiàn)在,基于云的IAM解決方案中動態(tài)和直觀的基于web的工具已經(jīng)取代管理界面,內(nèi)部部署解決方案中都是這些復(fù)雜、胖客戶端或命令行工具?;谠频慕鉀Q方案具有點(diǎn)擊式配置和向?qū)?,它們允許客戶管理員用戶執(zhí)行所有方面的管理工作。
與可用用例同樣重要的是集成功能。內(nèi)部部署IAM解決方案的優(yōu)勢包括安裝連接器、廣泛的網(wǎng)絡(luò)協(xié)議、自定義代碼功能和幾乎無限帶寬。領(lǐng)先的基于云的IAM供應(yīng)商正在試圖解決這一問題--通過采用專用網(wǎng)絡(luò)連接超越LDAPS/JDBC協(xié)議,以及利用應(yīng)用編程接口(API)進(jìn)行整合。軟件即服務(wù)(SaaS)操作服務(wù)也得到擴(kuò)展,讓尚未由基于web工具管理的功能可通過提交變更請求單到SaaS操作團(tuán)隊來配置。
也許部署基于云IAM解決方案的最重要原因是穩(wěn)定性、靈活的容量和運(yùn)營成本降低。這些不再是SaaS供應(yīng)商之間的區(qū)分因素;它們通常比內(nèi)部部署解決方案更加穩(wěn)定,更加可擴(kuò)展。然而,成本優(yōu)勢對于每個公司都各有不同,很多因素會影響到這個計算。根據(jù)筆者的經(jīng)驗,還沒有看到基于云的IAM解決方案成本高于內(nèi)部部署解決方案。
安全機(jī)會:部署基于云的IAM解決方案不是輕而易舉的事情,特別是對內(nèi)部許可證、基礎(chǔ)設(shè)施和運(yùn)營方面已經(jīng)有很大投資時。如果存在這些投資,下一次升級或擴(kuò)展周期才是考慮轉(zhuǎn)移到基于云的IAM的時候。這樣做可讓企業(yè)部署標(biāo)準(zhǔn)化解決方案、簡化操作以及降低運(yùn)營成本,同時利用前沿技術(shù)。
4、監(jiān)管合規(guī)和審計不再是主要因素
基于IAM目前的成熟度水平,大多數(shù)企業(yè)的自動化IAM計劃和手動流程已經(jīng)逐漸滿足監(jiān)管和合規(guī)要求。在過去15年中,合規(guī)性一直是重要因素,企業(yè)做了大量公工作才可實現(xiàn)合規(guī)性。而現(xiàn)在,對技術(shù)和流程變化的需求已經(jīng)下降,但這并不意味著,這個工作已經(jīng)完成或者每個人都很開心。
大多數(shù)公司在審計和監(jiān)管合規(guī)方面的投資已經(jīng)發(fā)展到回報遞減的地步,或者他們根本沒有資金可用。有些公司在意識到成本和復(fù)雜性后,正從復(fù)雜的RBAC模式以及自動化職責(zé)分離(SoD)政策撤回。還有些公司發(fā)現(xiàn)手動流程足以滿足審計目的,而且更便宜,特別是使用離岸團(tuán)隊。
不過,還是有公司在購買IAM,他們購買解決方案并支付年度維護(hù)費(fèi)用,但在當(dāng)前業(yè)務(wù)環(huán)境中,部署、整合和運(yùn)營成本太高。這也是IAM影響IT和大多數(shù)后臺業(yè)務(wù)流程每個領(lǐng)域的根本事實,這使得全面部署成本高昂且耗時。并且,盡管出現(xiàn)基于云的IAM,但這個根本事實沒有改變。
對此的重要警告是《一般數(shù)據(jù)保護(hù)條例(GDPR)》,雖然目前很少有公司在采取行動,也不清楚IAM的含義是什么,但顯然,我們都需要看看我們?nèi)绾巫層脩舾鶕?jù)該條例來管理其身份信息。預(yù)計在未來6個月到一年時間內(nèi),這種情況會出現(xiàn)明顯的不同。
安全機(jī)會:盡管SOX、HIPPA、GLBA和其他監(jiān)管計劃沒有消失(可能會改變,而不是被淘汰),但它們不再是IAM計劃資金的推動因素。這并不是說沒有人問或者新規(guī)定不會發(fā)布。事實上,內(nèi)部審計團(tuán)隊和應(yīng)用程序所有者仍然需要承擔(dān)繁重的訪問重新認(rèn)證流程。此外,其他需求也正在填補(bǔ)這個需求的減少,因此我們?nèi)匀豢吹絀AM投資呈上升趨勢。CISO仍然可依靠內(nèi)部審計和業(yè)務(wù)部門利益相關(guān)者來推動和幫助IAM項目籌資。
5、聯(lián)合的爆炸式發(fā)展
聯(lián)盟和聯(lián)合單點(diǎn)登錄(SSO)現(xiàn)在是在應(yīng)用領(lǐng)域提供SSO的標(biāo)準(zhǔn)機(jī)制。這些年以來,聯(lián)合是最迅速采用的標(biāo)準(zhǔn)之一。而最近它發(fā)展到新的水平:它成為企業(yè)和應(yīng)用程序的默認(rèn)身份驗證機(jī)制。這是因為SSO工具的普及和成熟、大型軟件包中對SAML的本地支持以及SaaS應(yīng)用的部署。
同樣重要的是要記住,聯(lián)盟合作關(guān)系已經(jīng)成為非常簡單的配置。在大多數(shù)SSO工具中,可通過類似向?qū)У捻撁嬖趲追昼妰?nèi)添加。通過少量的投資和測試,就可輕松地添加和更改這些連接。甚至有些公司允許企業(yè)用戶在沒有安全團(tuán)隊參與的情況下管理其應(yīng)用的聯(lián)合。
對于很多公司來說,聯(lián)盟合作伙伴關(guān)系的數(shù)量和關(guān)鍵性變得不方便。五年前,一家公司可能有兩個或者四個聯(lián)盟合作關(guān)系,但現(xiàn)在有數(shù)百個,在相同端點(diǎn)有相同合作伙伴的副本,由不同業(yè)務(wù)部門使用。管理數(shù)百個配置非常具有挑戰(zhàn),因此,筆者一直建議公司在處理聯(lián)盟合作關(guān)系時,與其他關(guān)鍵任務(wù)系統(tǒng)采用相同的管理控制。
安全機(jī)會:當(dāng)一項技術(shù)達(dá)到這種部署水平和成熟度時,則可有機(jī)會取代較舊技術(shù),并將聯(lián)盟作為技術(shù)部署的SSO標(biāo)準(zhǔn),以及管理SSO整合的變更控制流程。如果安全團(tuán)隊可實現(xiàn)這些目標(biāo),則可利用外包資源來管理這些配置。這可讓核心安全團(tuán)隊更加關(guān)注更緊迫和復(fù)雜的問題。
雖然安全領(lǐng)域的很多變化讓我們的生活變得更加困難,但I(xiàn)AM可幫助我們提高業(yè)務(wù)水平、改善用戶體驗和提高運(yùn)營效率。