身份和通路管理(iam)是成熟的安全領域,但這并不意味着它是靜态的。雖然iam通常與安全關聯,事實上,它是整體安全計劃的重要組成部分,很多人開始了解它代表的業務流程。事實可能是:它模糊了安全和營運之間的界線。
這個領域的最新趨勢表明iam逐漸成為企業主流。在未來這一趨勢仍将繼續發展,下面5個方面表明iam的重要性:
1、首席營銷官和首席營運官要求擷取iam資料
谷歌、facebook、twitter和其他企業最重視什麼?答案是他們使用者群的資訊。他們知道我們是誰、我們何時活躍以及所有我們的浏覽習慣。他們使用這些資訊來建立有針對性的廣告,并從中獲利。
并非所有公司對通過基于使用者行為的廣告獲利感興趣,但大多數公司都可從更好地了解使用者中受益。盡管iam解決方案無法提供所有這些優勢,但它可提供最基本的資料點:使用者是誰——他們的身份。
最近我們開始看到首席營銷官和首席營運官要求擷取有關使用者的資訊。在使用者目錄中有基本人口統計資訊,這是很好的開始,但他們想要更多資訊。他們想要會話和網站通路資訊。為了了解使用者是誰(姓名、電子郵件、電話号碼)以及追蹤他們登入行為,需要擷取使用者目錄和網站通路管了解決方案的資料。他們還想要通過使用者行為分析系統分析這些資訊來了解使用者具體使用模式。
例如,對于汽車零部件零售商來說,資料可以顯示,大丹佛地區大約有50家汽車維修點經常在浏覽其網站的制動液後放棄其購物車。這一趨勢可能是因為競争對手提供更低的價格或者更多選擇。如果沒有這種水準的分析,不知道使用者是誰以及他們的位置,不可能得出這種類型的結論。
安全機會:這似乎是尚未達到臨界值的新需求。這給ciso提供了機會,因為cmo和coo可能有資金用于iam計劃,并可影響董事會或其他高管考慮将iam作為優先事項。這種情況還可能讓ciso有機會讓公司高管了解iam的其他優勢,即提高安全性和營運效率。
2、内部威脅可被識别和阻止
大資料正開始被iam團隊利用。通過對伺服器、網絡裝置、中間件、ids/ips、漏洞管了解決方案及應用的通路日志和事件進行整理,企業可關聯這些活動并發現趨勢。而這可能需要大資料解決方案和安全專用工具。
這對于外部威脅非常有效,當有人入侵網絡或者部署惡意軟體時,大資料被證明很有效。現在ciso擁有可視性,并可在幾分鐘之内響應。現在攻擊者意識到内部使用者(特别是内部特權使用者)更有價值,那麼,我們如何利用這些資料來發現和應對内部威脅?
安全機會:這個方面的安全可通過四個基本活動來實作,技術上來看,我們已經有可用的工具,現在是時候利用這些工具。
1). 确定你最有價值的資産(例如資料、應用程式)
2). 發現并整合特權使用者存儲庫以了解這些使用者是誰
3). 在中央安全情報和事件管理(siem)解決方案中收集關鍵基礎設施活動
4). 确定每個使用者類型的預期活動,并建立運作用例以應對不符合預期的活動
3、基于雲的iam解決方案已經達到成熟臨界值
在過去幾年,我們看到多種解決方案被釋出,初創公司進入這個行業,大型公司試圖将其解決方案引入到雲計算,并且,其中很多企業未能實作宣稱的功能。不僅是因為該技術還沒有準備好,而且因為公司并不感興趣。我們很少看到業務需求和技術解決方案并行發展的情況。
實際上,企業仍需要根據80/20的原則來部署一套标準功能。幸運的是,在市場上司者的推動下,這些标準功能的數量和靈活性都已經提高。産品供應商看到這一趨勢,産品投資資金都明顯轉移到雲計算。
需要注意的是,有些基于雲的iam供應商有重點領域。很少供應商會涵蓋所有iam方面,是以他們會有一些局限性。企業有必要了解iam的四個子域:身份資料、身份管理、通路管理以及通路執行。有些供應商專注于聯盟和身份驗證,有些則更擅長目錄複制,還有些專門負責配置和取消配置。
現在,基于雲的iam解決方案中動态和直覺的基于web的工具已經取代管理界面,内部部署解決方案中都是這些複雜、胖用戶端或指令行工具。基于雲的解決方案具有點選式配置和向導,它們允許客戶管理者使用者執行所有方面的管理工作。
與可用用例同樣重要的是內建功能。内部部署iam解決方案的優勢包括安裝連接配接器、廣泛的網絡協定、自定義代碼功能和幾乎無限帶寬。領先的基于雲的iam供應商正在試圖解決這一問題--通過采用專用網絡連接配接超越ldaps/jdbc協定,以及利用應用程式設計接口(api)進行整合。軟體即服務(saas)操作服務也得到擴充,讓尚未由基于web工具管理的功能可通過送出變更請求單到saas操作團隊來配置。
也許部署基于雲iam解決方案的最重要原因是穩定性、靈活的容量和營運成本降低。這些不再是saas供應商之間的區分因素;它們通常比内部部署解決方案更加穩定,更加可擴充。然而,成本優勢對于每個公司都各有不同,很多因素會影響到這個計算。根據筆者的經驗,還沒有看到基于雲的iam解決方案成本高于内部部署解決方案。
安全機會:部署基于雲的iam解決方案不是輕而易舉的事情,特别是對内部許可證、基礎設施和營運方面已經有很大投資時。如果存在這些投資,下一次更新或擴充周期才是考慮轉移到基于雲的iam的時候。這樣做可讓企業部署标準化解決方案、簡化操作以及降低營運成本,同時利用前沿技術。
4、監管合規和審計不再是主要因素
基于iam目前的成熟度水準,大多數企業的自動化iam計劃和手動流程已經逐漸滿足監管和合規要求。在過去15年中,合規性一直是重要因素,企業做了大量公工作才可實作合規性。而現在,對技術和流程變化的需求已經下降,但這并不意味着,這個工作已經完成或者每個人都很開心。
大多數公司在審計和監管合規方面的投資已經發展到回報遞減的地步,或者他們根本沒有資金可用。有些公司在意識到成本和複雜性後,正從複雜的rbac模式以及自動化職責分離(sod)政策撤回。還有些公司發現手動流程足以滿足審計目的,而且更便宜,特别是使用離岸團隊。
不過,還是有公司在購買iam,他們購買解決方案并支付年度維護費用,但在目前業務環境中,部署、整合和營運成本太高。這也是iam影響it和大多數背景業務流程每個領域的根本事實,這使得全面部署成本高昂且耗時。并且,盡管出現基于雲的iam,但這個根本事實沒有改變。
對此的重要警告是《一般資料保護條例(gdpr)》,雖然目前很少有公司在采取行動,也不清楚iam的含義是什麼,但顯然,我們都需要看看我們如何讓使用者根據該條例來管理其身份資訊。預計在未來6個月到一年時間内,這種情況會出現明顯的不同。
安全機會:盡管sox、hippa、glba和其他監管計劃沒有消失(可能會改變,而不是被淘汰),但它們不再是iam計劃資金的推動因素。這并不是說沒有人問或者新規定不會釋出。事實上,内部審計團隊和應用程式所有者仍然需要承擔繁重的通路重新認證流程。此外,其他需求也正在填補這個需求的減少,是以我們仍然看到iam投資呈上升趨勢。ciso仍然可依靠内部審計和業務部門利益相關者來推動和幫助iam項目籌資。
5、聯合的爆炸式發展
聯盟和聯合單點登入(sso)現在是在應用領域提供sso的标準機制。這些年以來,聯合是最迅速采用的标準之一。而最近它發展到新的水準:它成為企業和應用程式的預設身份驗證機制。這是因為sso工具的普及和成熟、大型軟體包中對saml的本地支援以及saas應用的部署。
同樣重要的是要記住,聯盟合作關系已經成為非常簡單的配置。在大多數sso工具中,可通過類似向導的頁面在幾分鐘内添加。通過少量的投資和測試,就可輕松地添加和更改這些連接配接。甚至有些公司允許企業使用者在沒有安全團隊參與的情況下管理其應用的聯合。
對于很多公司來說,聯盟合作夥伴關系的數量和關鍵性變得不友善。五年前,一家公司可能有兩個或者四個聯盟合作關系,但現在有數百個,在相同端點有相同合作夥伴的副本,由不同業務部門使用。管理數百個配置非常具有挑戰,是以,筆者一直建議公司在處理聯盟合作關系時,與其他關鍵任務系統采用相同的管理控制。
安全機會:當一項技術達到這種部署水準和成熟度時,則可有機會取代較舊技術,并将聯盟作為技術部署的sso标準,以及管理sso整合的變更控制流程。如果安全團隊可實作這些目标,則可利用外包資源來管理這些配置。這可讓核心安全團隊更加關注更緊迫和複雜的問題。
雖然安全領域的很多變化讓我們的生活變得更加困難,但iam可幫助我們提高業務水準、改善使用者體驗和提高營運效率。
作者:佚名
來源:51cto