以身份優(yōu)先的安全策略支持中國(guó)數(shù)字業(yè)務(wù)發(fā)展
關(guān)于身份與訪問(wèn)管理(IAM),中國(guó)的企業(yè)機(jī)構(gòu)廣泛采用的是4A(賬戶、認(rèn)證、授權(quán)、審計(jì))概念和平臺(tái)。但傳統(tǒng)的4A主要由內(nèi)部控制和審計(jì)而非業(yè)務(wù)需求所驅(qū)動(dòng)。因此,它無(wú)法完全解決因快速擴(kuò)張的數(shù)字業(yè)務(wù)和嚴(yán)格的監(jiān)管環(huán)境而出現(xiàn)的新興使用場(chǎng)景。
本文引用地址:http://butianyuan.cn/article/202302/443137.htm隨著圍繞身份的安全威脅和攻擊不斷升級(jí),這些挑戰(zhàn)變得更為嚴(yán)峻。企業(yè)機(jī)構(gòu)應(yīng)演進(jìn)為“身份優(yōu)先”的安全策略,通過(guò)擴(kuò)展IAM支持的業(yè)務(wù)范圍,形成通用的安全控制面(見(jiàn)圖1)。然后,企業(yè)機(jī)構(gòu)應(yīng)優(yōu)先考慮國(guó)內(nèi)支持標(biāo)準(zhǔn)協(xié)議及具有良好互操作性的工具和廠商,從而構(gòu)建可組裝的、敏捷的IAM架構(gòu)。
圖1 身與訪問(wèn)管理概覽
明確IAM核心功能,梳理IAM技術(shù)需求
IAM項(xiàng)目可幫助正確的人員、機(jī)器和設(shè)備基于合理的原因,在正確的時(shí)間訪問(wèn)正確的資產(chǎn),同時(shí)防止未經(jīng)授權(quán)的訪問(wèn)。
IAM范圍及核心功能包括:
● 身份治理與管理(IGA):IGA工具將整個(gè)IT環(huán)境中不同的身份和訪問(wèn)權(quán)限數(shù)據(jù)聚合并關(guān)聯(lián)起來(lái),提供管理時(shí)間內(nèi)的用戶訪問(wèn)控制。
● 訪問(wèn)管理(AM):AM是負(fù)責(zé)建立和協(xié)調(diào)目標(biāo)應(yīng)用程序和服務(wù)的運(yùn)行時(shí)訪問(wèn)決策。
● 用戶認(rèn)證:用戶認(rèn)證是指以隱含或名義上的信心或信任,對(duì)已創(chuàng)建的身份請(qǐng)求進(jìn)行實(shí)時(shí)驗(yàn)證,使其能夠訪問(wèn)數(shù)字資產(chǎn)。用戶認(rèn)證的本質(zhì)是幫助識(shí)別已知用戶,驗(yàn)證被請(qǐng)求的身份是否屬于發(fā)出請(qǐng)求的用戶。
● 特權(quán)訪問(wèn)管理(PAM):當(dāng)一個(gè)實(shí)體(人或機(jī)器)使用管理員賬戶或具有較高權(quán)限的憑證,在IT或數(shù)字系統(tǒng)中進(jìn)行技術(shù)維護(hù)、更改或處理緊急故障(特權(quán)操作)時(shí),就會(huì)發(fā)生特權(quán)訪問(wèn)。PAM控制可以確保對(duì)所有相關(guān)用例中已授權(quán)目標(biāo)系統(tǒng)的使用權(quán)限都是經(jīng)過(guò)授權(quán)的,包括任何機(jī)制——如特權(quán)賬戶或憑證。
IAM與中國(guó)本土概念和周邊技術(shù)的關(guān)聯(lián)
4A和安全運(yùn)維堡壘機(jī)(SMBH)是在中國(guó)廣泛采用的IAM概念和產(chǎn)品。
中國(guó)的企業(yè)機(jī)構(gòu)一般采用4A概念,使用為符合企業(yè)風(fēng)險(xiǎn)和內(nèi)部控制要求而設(shè)計(jì)的IAM產(chǎn)品。4A產(chǎn)品提供的集中式平臺(tái),結(jié)合了IGA、AM和用戶認(rèn)證的功能。
SMBH——在中國(guó)也叫做安全運(yùn)維管理平臺(tái)——是IT或數(shù)字系統(tǒng)運(yùn)維的安全入口。對(duì)于在中國(guó)運(yùn)營(yíng)的企業(yè)機(jī)構(gòu)來(lái)說(shuō),SMBH是一個(gè)常用的工具,可以幫助企業(yè)機(jī)構(gòu)更好地遵守安全等級(jí)保護(hù)制度(MLPS)2.0中規(guī)定的特權(quán)賬戶訪問(wèn)管理和審計(jì)要求。
零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)
安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者應(yīng)了解IAM和ZTNA之間的依存關(guān)系,明確二者中哪一項(xiàng),抑或是同時(shí)采用能更好地滿足用戶訪問(wèn)應(yīng)用的需求。ZTNA通常的定位是代替VPN。擁有可以提供可靠身份和身份驗(yàn)證上下文的IAM工具是成功實(shí)施ZTNA的先決條件。SRM領(lǐng)導(dǎo)者應(yīng)該優(yōu)先考慮IAM,以提供身份認(rèn)證上下文,特別是在具有眾多SaaS應(yīng)用和機(jī)器身份的現(xiàn)代環(huán)境中。
制定“身份優(yōu)先”的安全戰(zhàn)略及路線,以支持?jǐn)?shù)字業(yè)務(wù)轉(zhuǎn)型
IAM戰(zhàn)略應(yīng)被納入IAM項(xiàng)目群。IAM的定位應(yīng)該是數(shù)字業(yè)務(wù)的推動(dòng)者,而不僅是一個(gè)安全技術(shù)項(xiàng)目。它需要持續(xù)和長(zhǎng)期的投資,而不能作為一次性項(xiàng)目來(lái)對(duì)待。負(fù)責(zé)IAM的SRM領(lǐng)導(dǎo)者應(yīng)該讓利益相關(guān)者(包括IT部門以外的利益相關(guān)者)也參與進(jìn)來(lái),在符合業(yè)務(wù)優(yōu)先事項(xiàng)和成果的前提下,定義“身份優(yōu)先”的安全戰(zhàn)略和路線。圖二概述了IAM戰(zhàn)略規(guī)劃的基本步驟。
圖二 IAM戰(zhàn)略規(guī)劃流程
在當(dāng)今分布式IT環(huán)境下構(gòu)建敏捷的可組裝式IAM架構(gòu)
中國(guó)的混合云采用趨勢(shì),以及新的IT方法(如DevOps、容器化、無(wú)服務(wù)器計(jì)算和微服務(wù)架構(gòu))的盛行,為IAM帶來(lái)了新的挑戰(zhàn)。傳統(tǒng)的IAM架構(gòu)和工具不夠靈活,無(wú)法支持不斷涌現(xiàn)的新興使用場(chǎng)景。中國(guó)的SRM領(lǐng)導(dǎo)者應(yīng)該轉(zhuǎn)向一種可組裝的、敏捷的IAM架構(gòu),并重新調(diào)整IAM工具選擇的策略。以下兩個(gè)問(wèn)題尤其值得重視:
● IAM工具應(yīng)該部署在本地還是在云端?
● 如何選擇IAM工具來(lái)支持敏捷的可組裝式IAM架構(gòu)
如果企業(yè)機(jī)構(gòu)在IAM系統(tǒng)中用大量的定制化代碼支持復(fù)雜的IT環(huán)境,那么由于成本和遷移的復(fù)雜度,他們很難將所有現(xiàn)有的IAM基礎(chǔ)設(shè)施都換成現(xiàn)代化的基礎(chǔ)設(shè)施。相反,他們需要利用現(xiàn)有的IAM投資,同時(shí)在新用例的驅(qū)動(dòng)下增加新的、更智能的、更敏捷的能力。重要的是要意識(shí)到,IAM系統(tǒng)正在發(fā)生重大變化。它們需要更好的可配置性和可組裝性能力,它們的設(shè)計(jì)要能跟上快速地變化和新的擴(kuò)展,從而助力組織機(jī)構(gòu)實(shí)現(xiàn)其數(shù)字化轉(zhuǎn)型。
評(píng)論