2023年3月,Gartner在伦敦、得克萨斯州举办了身份与访问管理峰会,主题为《Enable Identity-First Security》。
Gartner 副总裁分析师Mary Ruddy将身份优先安全定义为“一种使基于身份的控制成为组织网络安全架构的基本要素的方法”。他甚至将身份优先安全描述为“最终目标”。
身份优先的安全方法不再是一种美好的东西,它现在是一种必需品,通过采用身份优先的思维方式,安全领导者可以在解决实际业务挑战的同时推动更好的安全成果。
Gartner 2022年发表《Gartner Build an Identity-First Security Approach to Empower Digital Business in China》,报告从中外视角阐述了身份和访问管理体系及对国内技术的关联分析,是一篇非常优秀的报告。本文顺着报告对其进行对照式解读,试图通过一些扩展知识阐述一些问题,引出一些思考,可能存在不足之处,请大家多多指教。
感谢繁星创投Bruce ZHANG 提供相关资讯。
主要的发现
1.身份和访问管理 (IAM) 很复杂,并且经常与中国的许多本地化安全概念和相邻市场或软件定义边界相混淆。因此,安全和风险管理(SRM)领导者正在努力选择适合组织身份和访问需求的解决方案。
解读:无数人(不管是内部还是外部组织)存在一个疑问,即4A,堡垒机,PAM,IAM是什么关系?怎么还和软件定义边界相混淆?本章不展开说,放在第四章节阐述。
2.IAM需要持续投资来构建和完善其功能。SRM领导者通常无法展示业务价值并捍卫预算,因为他们通常将IAM作为孤立的IT项目实施,而没有来自业务、法律和合规性的相关利益相关者的参与。
解读:本质是IAM常常被当作安全解决方案来售卖,甚至一锤子买卖,当然无法展示其业务价值,我想原因是多方面的吧,一方面IAM供应商没有很好的制定体现业务价值的策略,一方面IAM在国内大众认知还是没有达成共识或者相对标准化。
3.中国的大多数组织都有现有的IAM架构和工具,这些架构和工具被设计为针对内部员工用例的集中式和定制化平台。对于在中国数字经济驱动的混合云环境中出现的外部用户(客户和合作伙伴)和机器(容器、微服务和物联网设备)的新兴用例,这些还不够灵活。
解读:事实上IAM不是一个具像的产品,而是一个业务流程、策略和技术的框架,但具备与业务相关的能力并可形成某种安全范式,可促进数字身份的管理,以确保用户只有在拥有适当的凭据时才能访问数据。联想起美联邦机构发现自己需要管理数十个拼凑在一起的IAM平台,由于存在各种威胁点、防御漏洞以及与身份攻击相关的风险,各机构将开始将身份视为关键基础设施,将身份视为一种安全措施,同时也是一种提供访问的方式,将各种平台简化为一个有凝聚力且安全的服务交付模型,这样可以简化流程并为未来的成功做好准备。
对SRM的建议
通过清楚地了解IAM的核心功能以及IAM如何与其他安全计划和技术(例如零信任网络访问(ZTNA))交互或支持其他安全计划和技术来完成您的IAM技术要求。
解读:值得注意的是这篇报告最初提及身份是零信任架构的基础,已成为当今分布式和无边界数字世界中的新控制平面。这里会引出一个问题,ZTNA与IAM的关系,Gartner在《7个有效的零信任实施步骤》中指出,ZTNA作为一种为用户提供最低业务应用权限的方式,取代传统的VPN,一些最终用户报告指出,在实施过程中遇到策略制定方面的挑战。ZTNA在很大程度上依赖身份访问管理,需要多个管理时和运行时提供支持,包括IGA及AM,由AM工具提供服务,用于执行身份验证和授权。ZTNA技术依赖于在执行时AM所传递的信息(帐号权限,用户行为和风险)。
说明ZTNA的身份和认证管理来自于IAM,一篇微信文章《零信任有效落地的思考与分享》在针对应用的SSO方面与IAM对接,不建议将SDP作为面向业务的SSO系统。
2023年IDSA身份管理日,最后一个主题演讲《Identity As a Key Enabler of Zero Trust ,身份作为零信任的关键推动者》(图1)CISA 网络安全技术总监格兰特讨论通过对身份管理的投资来开发可防御的安全基础,以及这如何适合我们更广泛地推动更安全的设计技术结构,提出:
(1)当我们谈论身份作为零信任架构的一部分时,有时这不仅仅意味着部署一套复杂的身份,条件访问或上下文策略功能,这意味着你需从根本上思考我们如何在我们的安全架构的根源上建立一个值得信赖的身份系统,这到底意味着什么?我们怎样才能使它尽可能的简单和可扩展适用于尽可能多的组织,这不是一项简单的任务。
(2)云是一个有趣的例子,一般来说访问和适用于一般,所以说你知道 ,当你移动到越来越多,更高水平的堆栈从代码角度来看,如何消费组织的责任转移到如此,例如:从物理安全,数据应用,身份管理,你知道你用通行证转移了一些基础设施你把更多的基础设施转移给了供应商,不,身份本身就是一种共同的责任。
(3)随着今天的网络架构随着远程工作的发展,随着混合的发展,随着云计算的发展,这条线开始崩溃,我们需要一个新的组织模式来解释这些事情,几年来我们开始看到零信任架构和相关技术的发展,这不是什么新鲜事,但是我们还在经历这种转变,在这个背景下,工作服务在我的网络中更加分散意味着什么?现在他们需要身份需要相互认证,身份服务需要具备什么功能来支持这一点,如当我不能在不同的防火墙子网上分割数据和基础设施时,我如何使用身份作为一种管理访问数据和基础设施的方式………..所以身份不再是你知道的一种独立的专业领域,对一些人来说身份甚至不是安全的一部分,而变成了一个基础部分。
所以我们应该正确理解下面常见的一张图,identity作为基础设施,不是字面上的“基础”,而且一种可操作性,弹性架构思维的必要设施。
定义身份优先的安全策略和路线图,通过评估当前状态的IAM并将IAM计划与业务和合规性优先级以及实现价值的时间保持一致,确定优先级并缩短实现业务价值的时间。
通过优先考虑互操作性和利用开放标准,改进您的IAM架构和工具,使其更具可组合性和敏捷性。通过这种方式,IAM可以解决在更分布式的环境中涉及多个用户选区的新兴用例。
解读:
互操作性是指不同功能单元(例如,系统、数据库、设备或应用程序)以某种方式进行通信、执行程序或传输数据的能力,而不是要求用户对这些功能单元知之甚少或一无所知,一般包括:
(1)在ID子系统(组件/设备)之间,如扫描仪设备捕获的指纹与重复数据删除引擎之间的互操作性、智能卡与读卡器之间的互操作性、注册期间捕获的生物特征格式与身份验证期间捕获的生物特征格式的互操作性、不同供应商设备捕获的图像之间的互操作性等。
(2)与其他系统(例如作为系统依赖方的服务提供商)互操作,以便交换数据或促进查询,如通过各种互操作层、Web服务和API或直接连接来提供与其他系统的通信。
(3)相互承认的区域框架,如欧盟的电子身份识别和信任服务内部市场电子交易 (eIDAS) 法规。
开放标准方面,如近期《通过设计和默认保护的技术指南》报告呈现的默认安全,除了采用“按设计安全”的开发实践外,建议软件制造商在其产品中优先考虑”默认安全”的配置。除了采用”按设计进行安全开发”的做法外,编写机构还建议软件制造商在其产品中优先考虑“按默认进行安全配置”的做法。这些厂商应努力更新产品,以便在产品更新时符合这些惯例。如SSO:IT应用应通过现代开放标准实施单点登录技术。现代开放标准,例如包括SAML或OpenID连接,这种能力应该在默认情况下提供,无需额外费用。我想这就是为了更好进行与IAM互操作性而准备的规划。
介绍
中国组织广泛采用4A(帐号、认证、授权、审计)概念和IAM平台。但传统的4A主要是由内部控制而非业务需求驱动的。因此,它无法完全解决由中国快速扩张的数字业务和严格的监管环境驱动的新兴用例。
主要的驱动因素是:
1.采用混合云环境的增长趋势打破了传统的网络边界,身份正在成为这个新的无边界世界中的关键控制平面。组织需要转变以确保其身份边界是可管理和可防御的。
2.由于COVID-19大流行,在家远程工作成为新常态。组织正在将其传统VPN转变为零信任网络访问(ZTNA),以实现对资源的细粒度访问控制。IAM工具是为ZTNA工具提供身份上下文的基础。
3.客户身份和访问管理 (CIAM) 对于通过融合用户体验、安全性和隐私来提供与客户的高保证交互至关重要。微信和支付宝等在中国拥有庞大客户群的组织提供的社会身份需要整合。中国个人信息保护法(PIPL)的隐私立法和更好的用户体验正在推动去中心化身份(DCI)。采用使用户能够更好地控制其数据的身份钱包也提供了更高程度的信任、安全和隐私。
4.机器身份呈现出相当大的攻击面,尤其是由于它们在任何组织中的数量都很大。新引入的IT方法——例如 DevOps、容器化和无服务器计算,以及物联网、IT 和 OT 融合——进一步加剧了这个问题。未能解决这个问题已经对全世界的组织产生了严重影响。
5.IAM已成为监管机构和攻击者关注的焦点,存在违反法规和数据泄露的高风险。这是由于它作为关键基础设施的作用,可以保护对保存敏感数据的关键业务系统的访问。
为此报告绘制了一副概述图,非常有内涵。
解读:从上图中心显示人,机器和资产,个人理解是是围绕企业身份建立起身份与访问控制三要素,即IGA(身份治理与管理),AM(访问管理)和PAM(特权访问管理),图最外围一边是加强安全,一边是加强业务,这就重申了身份安全的特殊属性–脚踏两只船,业务和安全都占有,如何通过了解业务结合安全,并且还实现可靠的访问控制,是个挑战。报告阐述组织应通过将IAM的业务范围扩展为通用安全控制面,从而发展为“身份优先”的安全策略,而不是纯粹的专有方法,来构建一个可组合的、敏捷的IAM架构,这对IAM体系化架构层面提出了很高的要求。
上文提到的一个业务驱动因素,提及了一个概念CIAM,这个名词往往被忽略,传统供应商一提到To C往往避而不谈,因为我们常常谈论的、擅长的是内部安全管理,或许是因为基因或者销售模式。一开始笔者也是比较懵,咨询过朋友,然后看了下国外供应商的资讯,对CIAM总结如下:
1.Customer IAM或Consumer IAM,两者均缩写为CIAM,CIAM 确实有一些独特的要求,但这并不意味着必须使用只专注于CIAM的产品,需提供广泛的IAM云服务,该服务具有支持CIAM功能的强大基础平台。必须能够适应不断增长的客户群,并根据需要无缝集成新技术和应用程序,因为你面临的不是几万的用户群,而是几十万-上百万的用户群,SaaS化是最佳选择。
2.32%的客户愿意在一次糟糕的体验后放弃喜爱的品牌,用户需要:无缝、一致、便捷的体验,如果CIAM解决方案笨拙、烦人、中断或不一致,他们可能会质疑您的安全性和流畅性,所以用户体验在CIAM尤为重要。CIAM 关注客户的需求,并且应该提供专为客户使用而设计的专门功能,所以自定义功能的需求是标准。
3.CIAM关键能力之一是打通组织内部无数个“身份孤岛”,建立一致性的身份数据(下章节讲述其重要性),统一为组织的营销APP提供统一,安全的认证服务。IAM和CIAM的底层技术可能相似,但两者的区别在于构建在这些基本构建块之上的功能差异,相反,如果一开始基于内部管理的IAM技术架构不足以支撑未来的CIAM业务,可能会很麻烦。
分析
IAM范围和核心功能是帮助正确的人、机器和设备在正确的时间出于正确的原因访问正确的资产,同时阻止未经授权的访问。
解释:用美DOD ICAM的方式解释为Enabling the right consumer to access the right information, at the right time, for the right reasons,即关注身份,凭据及访问管理的有效组织。
—–数据来源:安全红蓝紫 微信公众号