Beyond IAM:
Enable Identity-First Security
2023年3月,Gartner在伦敦、得克萨斯州举办了身份与访问管理峰会,讨论关身份治理和管理、安全和隐私的最新见解。Gartner IAM 峰会通常汇集了从业者、决策者、供应商和专家的独特组合。与过去几年相比,这次活动感觉更加亲密,并且更加关注主要趋势和可操作的计划见解。
Gartner有一张很好的闭幕主题幻灯片,上面写着
“是时候学习、忘掉和重新学习 IAM 了!”
我鼓励所有网络安全领导者恳求这种心态来应对未来的威胁。
当Gartner说这句话的时候,想起一本书名《你以为,你以为的就是你以为的吗?》
或许我们应该精明地削减没有价值的成本,并重新关注创新和增长领域。我们应该在这些瞬息万变的不确定时期不断学习,并快速成长。
身份是新的网络边界。在由云计算驱动的世界中,每个人和机器的身份,无论是在本地还是在云端,都需要受到保护以防止泄露。然而,在德克萨斯州格雷普韦恩召开的 Gartner IAM 峰会强调,大多数组织还有很长的路要走。
本次大会的主要议题是:
(1)身份治理和管理
(2)特权访问管理
(3)访问管理
(4)用户身份验证和身份证明
(5)网络安全、领导力和战略
(6)IAM 项目管理
采用身份优先的安全思维方式意味着将基于身份的控制置于组织保护架构的核心,并扩展围绕威胁检测和响应的能力。Gartner身份与访问管理峰会2023帮助IAM和安全领导者做出正确的决定,包括优先考虑哪些身份优先安全计划、如何使现有人员配置模型现代化以及是否投资新工具以将其组织的安全态势纳入身份优先时代。
Gartner高级总监分析师Rebecca Archambault的“2023年IAM项目管理现状”演讲表明,企业的IAM成熟度平均得分为2.4,满分为5。Rebecca Archambault还建议,到2026年,除非组织采用连续且一致的基于上下文的访问策略,否则70%的身份优先安全策略将失败。在高层次上,组织需要通过应用三种策略来纠正方向:
1.使用中心化策略来控制对去中心化数字资产的访问。
2.使用上下文数据定义身份和资产的访问控制。
3.在整个用户会话中应用自适应控制,而不仅仅是在登录时。
转变正在发生。身份安全是一项业务支持活动,一个席位代表着授权和信誉。关键利益相关者需要一起参与其中,从高级管理人员、安全领导、业务负责人、人力资源、合规/审计到产品负责人。成功的身份战略的一个关键组成部分是能够让利益相关者了解身份的价值以及它如何使组织能够提供商业价值。业务价值的一致性至关重要。必须将身份与业务成果联系起来并跟踪指标。身份提供的基础不仅可以提供安全性,还可以让业务领导者实现其战略计划。参与讨论将增加可信度和透明度,使您能够交付和完善您的IAM计划。
Gartner VP Homan Farahmand 在他的闭幕主题演讲中总结了身份和访问管理的前景,他说:“运行时授权是启用身份优先安全性的关键。”。鉴于其在许多演示和讨论中的突出地位,运行时授权显然将成为具有领先安全实践的公司的身份策略的新标准。
先看几个口号
到2025年,
超过40%的组织将使用来自身份治理和管理工具的分析和见解作为更广泛的身份结构的一部分,以降低其身份和访问管理资产的安全风险。
超过50%的员工和超过20%的客户身份验证交易将是无密码(passwordless)的,而目前这一比例还不到10%。
便携式去中心化身份的全球标准将出现在市场上,以解决商业、个人、社会、社会和身份不可见的用例。
70%的新访问管理、治理、管理和特权访问部署将是融合身份和访问管理平台。
超过25%的使用令牌的多因素身份验证交易将基于Fast IDentity Online(FIDO)身份验证协议,高于目前的不到5%。
一些要点
汇集SGNL首席技术官Atul Tulshibagwale等专家的总结,从本次峰会中得出的要点如下:
- 身份在安全方面占有一席之地:换句话说,以身份为中心的安全时代已经来临。随着企业继续进行数字化转型,越来越多地基于云并采用零信任架构,安全团队面临着越来越大的威胁环境。高级团队正在迅速转向通过身份而不是通过防火墙和IP限制来保护访问的解决方案。正如一位专家所说,“无论公司是否意识到,每项业务都是身份业务。”
- 需要更多的标准化:虽然OCSF、CAEP和OPA等一些标准得到认可,但由 Gartner主持的会议通常包括呼吁供应商和客户就更多的实践和术语标准达成一致,以使网络安全网状架构成为现实。如果没有跨生态系统的标准化,零信任架构就无法始终如一地提供预期的结果。鉴于身份管理计划的复杂性,客户不可能仅由一个供应商或一组使用彼此API的供应商来满足他们的整个程序要求。随着标准化的改进,整个身份生态系统将能够达到新的和改进的成熟度水平,这将有利于客户和业务成果。
- 务实对待零信任,可以称为零隐性信任:经过供应商多年的巨大关注和过度使用,很高兴听到Gartner副总裁John Watts指出对零信任架构的理解已经变得多么有缺陷。我们喜欢演示文稿中的那句话,“零信任实际上是零隐性信任。这是一种安全范式,用持续评估的上下文信任取代隐式信任。” 因此,为了采用零信任,公司不应该仅仅因为产品声称可以解决这个过度使用的术语而购买产品,而是团队应该将他们的安全思维转变为实时和基于上下文的信任。为实现这一点,他们应该定义一个策略来实施这种以数据为依据的方法,然后采取举措来实现这一愿景。
- 运行时授权对于身份优先安全至关重要:在整个会议期间,出现了一个主题,即完全依赖现有的基于组的访问控制的局限性,其重点是在管理时间向应用程序传播权利,并让这些应用程序自己做出运行时决策。Gartner 副总裁 Homan Farahmand 在他关于身份访问管理展望的闭幕主题演讲中确定了三个主要趋势,包括运行时授权是访问管理方法的未来这一观察。运行时授权使应用程序成为策略执行点 (PEP),它可以与独立的策略决策点 (PDP) 对话,然后在运行时引用来自记录系统的关键业务数据作为上下文,以处理复杂的策略并提供关于运行时个人数据访问的答案,这种方法是连续的。
- 身份优先的安全性应该指导IAM策略:虽然基于身份的攻击、社会工程和网络钓鱼诈骗的冲击似乎令人生畏,但企业可以通过将保护身份边界作为整个组织的优先事项来应对它们。Gartner 副总裁分析师 Mary Ruddy 表示:“身份优先的方法是指导您进行身份和访问管理之旅的北极星,”她的演讲呼吁组织将 IAM 部署得更有凝聚力,作为一种弹性身份结构。实际上,这意味着组织应该使用身份数据“在安全和身份工具之间共享更多上下文;将零信任原则应用于您的决策;请记住,成熟的 IAM 结构是一个进化过程。使用用例方法一步一步来,”Ruddy 说。PS:美空军首席信息官Lauren Knausenberger于2022年8月表示,零信任是允许空军简化其作战环境的框架,已经开始在新临时战略草案中定义其未来六年的零信任愿景,旨在实施零信任架构,根据该策略“以一种有凝聚力的方式保护跨多个分类级别的数据”,包括基于敏感性管理用户、凭据和访问风险的基础身份 (ICAM) 元素受保护的资源。本质上是以IAM技术为核心指导。
- 想要构建安全身份结构的组织将不可避免地需要依赖 CIEM(Cloud Infrastructure Entitlement Management,云基础设施权利管理) 等技术。”大多数组织的身份基础设施太脆弱,无法在有针对性的攻击中幸存下来,”Texeira 说。”在过去 12 个月中,超过 80% 的组织遭受了与身份相关的违规行为。”这种脆弱性在很大程度上与身份结构中的不完整、配置错误或易受攻击的元素有关。身份结构免疫将数字免疫系统的概念应用于身份基础设施,以最大限度地减少缺陷和故障,”Texeira 说。因此,CIEM 使组织能够实施访问控制并持续评估整个云环境的风险,以大规模识别漏洞。值得深思的有趣统计数据:99%的云安全故障都是客户的错。95%的身份使用AWS中2%(或更少)的权限。权利呈爆炸式增长,CIEM功能正在迅速增长,以管理IaaS中的权利安全状况。CIEM允许组织将身份安全扩展到他们的云基础设施。然而,无论环境如何,强大的安全态势和良好的身份卫生都是重点预防身份威胁的必要起点。
- Journey-time IAM编排提供更好的用户体验:创建简化的用户体验说起来容易做起来难。当组织希望通过针对不同应用程序和服务的全面身份验证流程来加强防御时,尤其如此。对于 Gartner 副总裁分析师 Akif Khan 来说,组织需要找到一种方法来协调用户旅程,将身份证明、身份验证、访问管理和欺诈检测结合到一个有凝聚力的整体中。“编排解决方案管理供应商集成并提供统一的控制层。开发旅程时间编排解决方案以提供定制的、基于风险的动态用户体验,并利用您的解决方案通过 A/B 测试和提供故障转移路径来推动改进”Khan 说。借助 IAM 编排,安全团队可以提高身份验证的透明度,同时最大限度地减少最终用户的摩擦。但是,Khan警告说:“要取得成功,请注意所涉及的风险,并确保您拥有实施解决方案的专业知识。”
- API访问控制成为焦点:现在大多数与在线服务的通信都使用 API。Gartner 主管 Erik Wahlström 关于 API 访问控制的会议清楚地表明需要做多少工作来保护 API,因为当前的 API 安全状态非常基础(47% 的 API 使用硬编码密码!)。使问题更加复杂的是,像 GraphQL 这样的流行新工具没有内置安全性,而云原生应用程序构建的功能也不一致,例如令牌交换。
说到这里,多说几句,提出这个焦点的专家可能对API情有独钟,或许来自这场演讲。
Gartner在其报告:API Security: What You Need to Do to Protect Your APIs介绍如下,可能代表国外视角,以此说明IAM 2023峰会会有这么一个议题,并不代表国内的“混乱思维”,或许时间可证明。
API在开放数据访问和应用程序功能方面带来的好处自然也会带来安全问题。此外,API 安全性很复杂,因为许多组织没有他们提供的 API 或他们使用的API的清单。
许多API泄露事件都有一个共同点:被泄露的组织直到事件发生才知道他们的API不安全。这就是为什么API安全的第一步是发现您的组织正在交付或从第三方使用的 API。不幸的是,没有任何工具可以自动发现您的所有API,除非在狭窄的情况下,例如在Kubernetes容器环境中构建的API或在某些云平台(例如,Data Theorem 的 API Discover)上构建的API。
API安全可分为两大方面:API威胁防护和API访问控制。API威胁防护是指检测并阻断对API的攻击,而API访问控制是指控制哪些应用程序和用户可以访问API。结合身份基础设施使用API管理(包括网关)和Web应用程序防火墙的组合来保护API。
1.API 管理。API 管理产品包括API网关和可定制的 API 开发人员门户。通过“全生命周期API管理的关键能力”比较API管理产品的API保护和API访问控制能力。
2.Web 应用程序防火墙。Web 应用程序防火墙包括一些 API 威胁保护,形式为针对 OAS(以前称为 Swagger)模式的内容威胁检测和消息验证。
基于边界的“API 网关和 WAF”防御策略不足以保护API,API 的云交付,尤其是当使用 AWS Lambda和Microsoft Azure Functions 等服务构建 API 时,意味着 API 安全性还必须保护这些云服务。服务网格进一步引入了服务网格内微服务(“东西”)以及API网关层(“南北”)之间的安全要求。服务网格使用入口控制器对传入的 API 请求进行负载平衡,“sidecar”代理可用于细粒度授权,以及微服务实例之间的相互TLS。Istio 特别用于此目的,一些API管理供应商现在提供其API网关与管理入口控制器和使用的Istio控制平面之间的集成。这可能包括一个Istio “Mixer” 插件,用于在服务网格中提供身份验证和授权。
3.访问管理。其中包括本地访问管理软件和基于云的 IDaaS(身份即服务)。此类别中的一些供应商提供 API 访问控制。
4.应用内保护。这些产品保护移动应用程序免受攻击,包括“API 抓取”,即恶意使用 API。
5.专业的API安全工具。出现了各种 API 安全工具。这些工具提供了多种解决方案,从发现和安全测试到安全配置和威胁缓解,包括充当网关或代理。
——-数据来源:安全红蓝紫 微信公众号