信息來源：安全牛

安全是企業(yè)數(shù)字化轉(zhuǎn)型策略面臨的最大困境。根據(jù)Ponemon Institute的數(shù)據(jù)，數(shù)據(jù)泄露的數(shù)量和損失持續(xù)增長，如今網(wǎng)絡(luò)犯罪導(dǎo)致的數(shù)據(jù)泄露給企業(yè)帶來的平均損失超過386萬美元。下面這組數(shù)據(jù)可以幫我們快速了解與身份數(shù)據(jù)泄露相關(guān)的企業(yè)安全威脅現(xiàn)狀：

• 去年年初，互聯(lián)網(wǎng)上泄露了7.73億個(gè)用戶名和密碼的海量緩存，幾乎可以肯定，黑客正在利用這些泄露數(shù)據(jù)實(shí)施犯罪活動。
• 暗網(wǎng)上出售的與《財(cái)富》500強(qiáng)公司相關(guān)的賬戶憑證超過2100萬（其中許多憑證在過去12個(gè)月內(nèi)被泄露）。
• 憑據(jù)填充攻擊已急劇增加，Akamai在18個(gè)月內(nèi)記錄了610億次嘗試攻擊。

面對數(shù)據(jù)泄露的“潰壩”，加之企業(yè)試圖保護(hù)越來越多的云應(yīng)用程序、數(shù)據(jù)和服務(wù)，IT安全性支出的預(yù)算占比也在不斷增長。實(shí)際上，Gartner預(yù)測，今年全球在信息安全方面的支出將超過1240億美元。

那么，隨著數(shù)據(jù)泄露威脅和損失成本持續(xù)增長，企業(yè)安全數(shù)字化轉(zhuǎn)型的最佳實(shí)踐方法是什么？

很多人認(rèn)為是“零信任”，沒錯，零信任是未來10年企業(yè)最重要的安全架構(gòu)，同時(shí)也是當(dāng)下最為火爆的安全市場營銷關(guān)鍵詞。但是，對于大多數(shù)企業(yè)來說，在跳上零信任的花車之前，首先要練好IAM（身份訪問與管理）的基本功，IAM是實(shí)現(xiàn)零信任的基礎(chǔ)和前提。

Gartner在日前發(fā)布《2020年規(guī)劃指南：身份和訪問管理》中也提出關(guān)鍵論點(diǎn)：IT必須推進(jìn)IAM（身份和訪問管理）計(jì)劃。IAM安全技術(shù)專家應(yīng)關(guān)注無口令認(rèn)證、價(jià)值驅(qū)動的IGA（身份治理和管理）、增強(qiáng)的消費(fèi)者隱私要求、混合/多云環(huán)境的趨勢。

在安全牛2020年第七版網(wǎng)絡(luò)安全全景圖中，IAM作為一級分類被放到了與數(shù)據(jù)安全密切關(guān)聯(lián)的，更為顯著的位置：

以下，在討論IAM的趨勢之前，我們先簡要介紹一下IAM的優(yōu)點(diǎn)及其與零信任之間的關(guān)系：

IAM的好處是什么？

IAM可以通過為用戶設(shè)備添加指紋并部署多因素身份驗(yàn)證（MFA）來檢測和拒絕來自無法識別平臺的登錄嘗試，從而防止憑據(jù)填充攻擊。IAM解決方案還限制了每個(gè)用戶登錄后能夠訪問的應(yīng)用程序和服務(wù)范圍。

因此，即使惡意行為者獲得了有效的憑據(jù)并可以繞過MFA，IAM解決方案也將嚴(yán)格限制攻擊面和減少“橫向移動”，做到“可防可控”。

IAM還是軟件定義邊界（SDP）的重要推動者。SDP創(chuàng)建了“一個(gè)虛擬網(wǎng)絡(luò)”，其中用戶無權(quán)訪問的軟件和其他資源是不可見的。IAM通過管理和執(zhí)行細(xì)粒度訪問管理來安全啟用虛擬網(wǎng)絡(luò)。

憑證填充攻擊的日益增長是許多公司采用IAM進(jìn)行自我保護(hù)的原因之一。IAM自身正在迅速發(fā)展，以滿足更多公司的需求，并且變得更加安全，集成且易于使用。

IAM在零信任中的地位

零信任模型需要圍繞強(qiáng)大的身份和訪問管理（IAM）方案構(gòu)建，因此，如果沒有這些IAM工具，零信任就是無根之木。允許用戶進(jìn)入網(wǎng)絡(luò)之前建立用戶身份是實(shí)現(xiàn)零信任模型的核心。安全團(tuán)隊(duì)正在使用諸如多因素身份驗(yàn)證（MFA）、單點(diǎn)登錄（SSO）和其他核心IAM類功能來確保每個(gè)用戶使用安全的設(shè)備、訪問適當(dāng)?shù)奈募愋?、建立安全會話（Session）。

隨著時(shí)間的推移，無論信息位于其網(wǎng)絡(luò)中的何處，公司都需要確保對所有敏感信息的訪問進(jìn)行驗(yàn)證。IAM將成為組織零信任策略最重要的支柱，在許多不同的場景中發(fā)揮作用，包括：

• 為了幫助安全團(tuán)隊(duì)將數(shù)據(jù)資產(chǎn)和信息包鏈接在一起，以選擇業(yè)務(wù)網(wǎng)絡(luò)上的用戶，未來的IAM技術(shù)將進(jìn)一步集成，將身份數(shù)據(jù)植入到數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)取證系統(tǒng)中。
• 隨著安全專業(yè)人員采用更多IAM解決方案，他們將能夠維護(hù)身份記錄并將其綁定到員工訪問權(quán)限。在采取此步驟之前，安全專業(yè)人員應(yīng)為工作人員分配數(shù)據(jù)訪問權(quán)限，并將數(shù)據(jù)屬性包括在所有訪問驗(yàn)證活動中。
• 客戶必須安裝每一項(xiàng)技術(shù)的日子即將結(jié)束，代之以基于API的微服務(wù)。后者正在對安全性產(chǎn)生影響，預(yù)計(jì)安全提供商們將采用它。結(jié)果，對于那些遵循零信任理念和方法的企業(yè)安全團(tuán)隊(duì)來說，應(yīng)用IAM工具的負(fù)擔(dān)將大幅減輕。

對于組織而言，眼下是實(shí)現(xiàn)零信任架構(gòu)理想時(shí)機(jī)，因?yàn)樯矸菪孤对斐傻臄?shù)據(jù)泄露威脅正與日俱增。而IAM“武器庫”的建設(shè)，正是企業(yè)邁向零信任的第一步。

2020年，IAM的三大趨勢

趨勢一：身份和訪問管理即服務(wù)

管理一組應(yīng)用程序和文件的訪問可能很棘手，且要求很高。盡管IAM早已遷移到云中（即使Microsoft的古老Active Directory軟件也跳到了Azure），但對應(yīng)用程序進(jìn)行精細(xì)維護(hù)的責(zé)任仍然在于管理員。

借助IAM即服務(wù)（IAMaaS），許多IAM功能被轉(zhuǎn)移到云中并實(shí)現(xiàn)了自動化。遠(yuǎn)程用戶可以輕松而輕松地訪問其工具：他們只需使用一次登錄（SSO）即可訪問所需的所有資源和解決方案。

借助IAMaaS，用戶可以輕松、自動化地連接安全和防欺詐保護(hù)系統(tǒng)，提高應(yīng)用程序和文件的安全性，而無需付出額外的努力。此外，自動化工具將大大減少管理員的工作負(fù)擔(dān)。

趨勢二：微服務(wù)的身份和訪問管理

微服務(wù)已經(jīng)席卷了IT世界。開發(fā)人員使用鏈接的容器化小程序而不是單個(gè)整體應(yīng)用程序來執(zhí)行以前由單個(gè)集成應(yīng)用程序完成的功能。即使一個(gè)組件失敗，整個(gè)應(yīng)用程序也不會崩潰。

取而代之的是，自動化系統(tǒng)啟動了故障組件的副本，使用戶的停機(jī)時(shí)間降至零。

從傳統(tǒng)的IAM的角度來看，這是有問題的?，F(xiàn)在，應(yīng)用程序的各個(gè)組件可以通過網(wǎng)絡(luò)進(jìn)行通信，這意味著攻擊者有可能竊聽或偽造這些通信。有時(shí)，這些服務(wù)使用公共互聯(lián)網(wǎng)在多個(gè)數(shù)據(jù)中心之間進(jìn)行通信，這使得加密和安全性變得更加重要。

因此，IAM解決方案開始與微服務(wù)集成。在一個(gè)這樣的解決方案中，微服務(wù)之間的每個(gè)通信還包括一個(gè)唯一的令牌，該令牌在收到后便會得到驗(yàn)證。應(yīng)用程序僅在收到有效令牌后才執(zhí)行請求的功能。

這對應(yīng)用程序造成的性能影響很小，但卻可以防止不良行為者假冒微服務(wù)或竊聽您的應(yīng)用程序。

趨勢三：自主身份

用戶所擁有的身份數(shù)據(jù)，需重復(fù)證明，也不屬于自己，這是一件怪誕但現(xiàn)實(shí)的事情，這不僅僅帶來不便，而且是數(shù)據(jù)泄露的萬惡之源。

自主主權(quán)身份是搭建在區(qū)塊鏈上的數(shù)字身份，也是用戶對數(shù)字身份掌控度最高的形式，此類數(shù)字身份因?yàn)榻Y(jié)合了區(qū)塊鏈的去中心化、分布式、共識機(jī)制、哈希加密等特性，因此在自主、安全、可控層面更上一層樓。

在物理世界中，用戶可以通過多種方式來驗(yàn)證其身份，而無需用戶名或密碼。他們可能會出示駕照、護(hù)照、社會保險(xiǎn)卡或其他身份證。

過去，顯示完整賬號的信用卡收據(jù)使身份盜竊變得容易。而所謂的自主身份，指的是當(dāng)個(gè)人使用這些實(shí)體來驗(yàn)證其身份時(shí)，沒有第三方（發(fā)行機(jī)構(gòu)除外）維護(hù)副本，因此被盜的風(fēng)險(xiǎn)較小。

簡而言之，自我主權(quán)身份使用戶在網(wǎng)上也能夠以“親自證明”相同的方式對自己進(jìn)行身份驗(yàn)證。用戶可以存儲自己的個(gè)人識別數(shù)據(jù)，而不必將其提交到某個(gè)公司管理的集中化數(shù)據(jù)庫中，因?yàn)槿绻@些公司被黑客入侵，數(shù)據(jù)泄露將不可避免。

自我主權(quán)身份的問題在于，目前還沒有一種普遍認(rèn)同的媒介可以用來存儲自己的身份并對其進(jìn)行驗(yàn)證。現(xiàn)在，許多自我主權(quán)身份的支持者認(rèn)為，區(qū)塊鏈?zhǔn)且环N加密的去中心化個(gè)人信息數(shù)據(jù)庫，代表了個(gè)人可以輕松地在線驗(yàn)證其身份的理想機(jī)制。

因此，整合區(qū)塊鏈有可能在很大程度上改變IAM。根據(jù)您的居住地、您的用戶名和密碼可能會替換為政府頒發(fā)的數(shù)字身份。這已經(jīng)在瑞士的楚格（Zug）市發(fā)生，您的城鎮(zhèn)可能是下一個(gè)。

總之，可以預(yù)見的是，隨著全球主要公司和政府努力“消滅密碼”，在線身份識別和管理方式也正面臨一場巨變。