信息來(lái)源：安全牛

安全是企業(yè)數(shù)字化轉(zhuǎn)型策略面臨的最大困境。根據(jù)Ponemon Institute的數(shù)據(jù)，數(shù)據(jù)泄露的數(shù)量和損失持續(xù)增長(zhǎng)，如今網(wǎng)絡(luò)犯罪導(dǎo)致的數(shù)據(jù)泄露給企業(yè)帶來(lái)的平均損失超過(guò)386萬(wàn)美元。下面這組數(shù)據(jù)可以幫我們快速了解與身份數(shù)據(jù)泄露相關(guān)的企業(yè)安全威脅現(xiàn)狀：

• 去年年初，互聯(lián)網(wǎng)上泄露了7.73億個(gè)用戶(hù)名和密碼的海量緩存，幾乎可以肯定，黑客正在利用這些泄露數(shù)據(jù)實(shí)施犯罪活動(dòng)。
• 暗網(wǎng)上出售的與《財(cái)富》500強(qiáng)公司相關(guān)的賬戶(hù)憑證超過(guò)2100萬(wàn)（其中許多憑證在過(guò)去12個(gè)月內(nèi)被泄露）。
• 憑據(jù)填充攻擊已急劇增加，Akamai在18個(gè)月內(nèi)記錄了610億次嘗試攻擊。

面對(duì)數(shù)據(jù)泄露的“潰壩”，加之企業(yè)試圖保護(hù)越來(lái)越多的云應(yīng)用程序、數(shù)據(jù)和服務(wù)，IT安全性支出的預(yù)算占比也在不斷增長(zhǎng)。實(shí)際上，Gartner預(yù)測(cè)，今年全球在信息安全方面的支出將超過(guò)1240億美元。

那么，隨著數(shù)據(jù)泄露威脅和損失成本持續(xù)增長(zhǎng)，企業(yè)安全數(shù)字化轉(zhuǎn)型的最佳實(shí)踐方法是什么？

很多人認(rèn)為是“零信任”，沒(méi)錯(cuò)，零信任是未來(lái)10年企業(yè)最重要的安全架構(gòu)，同時(shí)也是當(dāng)下最為火爆的安全市場(chǎng)營(yíng)銷(xiāo)關(guān)鍵詞。但是，對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，在跳上零信任的花車(chē)之前，首先要練好IAM（身份訪問(wèn)與管理）的基本功，IAM是實(shí)現(xiàn)零信任的基礎(chǔ)和前提。

Gartner在日前發(fā)布《2020年規(guī)劃指南：身份和訪問(wèn)管理》中也提出關(guān)鍵論點(diǎn)：IT必須推進(jìn)IAM（身份和訪問(wèn)管理）計(jì)劃。IAM安全技術(shù)專(zhuān)家應(yīng)關(guān)注無(wú)口令認(rèn)證、價(jià)值驅(qū)動(dòng)的IGA（身份治理和管理）、增強(qiáng)的消費(fèi)者隱私要求、混合/多云環(huán)境的趨勢(shì)。

在安全牛2020年第七版網(wǎng)絡(luò)安全全景圖中，IAM作為一級(jí)分類(lèi)被放到了與數(shù)據(jù)安全密切關(guān)聯(lián)的，更為顯著的位置：

以下，在討論IAM的趨勢(shì)之前，我們先簡(jiǎn)要介紹一下IAM的優(yōu)點(diǎn)及其與零信任之間的關(guān)系：

IAM的好處是什么？

IAM可以通過(guò)為用戶(hù)設(shè)備添加指紋并部署多因素身份驗(yàn)證（MFA）來(lái)檢測(cè)和拒絕來(lái)自無(wú)法識(shí)別平臺(tái)的登錄嘗試，從而防止憑據(jù)填充攻擊。IAM解決方案還限制了每個(gè)用戶(hù)登錄后能夠訪問(wèn)的應(yīng)用程序和服務(wù)范圍。

因此，即使惡意行為者獲得了有效的憑據(jù)并可以繞過(guò)MFA，IAM解決方案也將嚴(yán)格限制攻擊面和減少“橫向移動(dòng)”，做到“可防可控”。

IAM還是軟件定義邊界（SDP）的重要推動(dòng)者。SDP創(chuàng)建了“一個(gè)虛擬網(wǎng)絡(luò)”，其中用戶(hù)無(wú)權(quán)訪問(wèn)的軟件和其他資源是不可見(jiàn)的。IAM通過(guò)管理和執(zhí)行細(xì)粒度訪問(wèn)管理來(lái)安全啟用虛擬網(wǎng)絡(luò)。

憑證填充攻擊的日益增長(zhǎng)是許多公司采用IAM進(jìn)行自我保護(hù)的原因之一。IAM自身正在迅速發(fā)展，以滿(mǎn)足更多公司的需求，并且變得更加安全，集成且易于使用。

IAM在零信任中的地位

零信任模型需要圍繞強(qiáng)大的身份和訪問(wèn)管理（IAM）方案構(gòu)建，因此，如果沒(méi)有這些IAM工具，零信任就是無(wú)根之木。允許用戶(hù)進(jìn)入網(wǎng)絡(luò)之前建立用戶(hù)身份是實(shí)現(xiàn)零信任模型的核心。安全團(tuán)隊(duì)正在使用諸如多因素身份驗(yàn)證（MFA）、單點(diǎn)登錄（SSO）和其他核心IAM類(lèi)功能來(lái)確保每個(gè)用戶(hù)使用安全的設(shè)備、訪問(wèn)適當(dāng)?shù)奈募?lèi)型、建立安全會(huì)話(huà)（Session）。

隨著時(shí)間的推移，無(wú)論信息位于其網(wǎng)絡(luò)中的何處，公司都需要確保對(duì)所有敏感信息的訪問(wèn)進(jìn)行驗(yàn)證。IAM將成為組織零信任策略最重要的支柱，在許多不同的場(chǎng)景中發(fā)揮作用，包括：

• 為了幫助安全團(tuán)隊(duì)將數(shù)據(jù)資產(chǎn)和信息包鏈接在一起，以選擇業(yè)務(wù)網(wǎng)絡(luò)上的用戶(hù)，未來(lái)的IAM技術(shù)將進(jìn)一步集成，將身份數(shù)據(jù)植入到數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)取證系統(tǒng)中。
• 隨著安全專(zhuān)業(yè)人員采用更多IAM解決方案，他們將能夠維護(hù)身份記錄并將其綁定到員工訪問(wèn)權(quán)限。在采取此步驟之前，安全專(zhuān)業(yè)人員應(yīng)為工作人員分配數(shù)據(jù)訪問(wèn)權(quán)限，并將數(shù)據(jù)屬性包括在所有訪問(wèn)驗(yàn)證活動(dòng)中。
• 客戶(hù)必須安裝每一項(xiàng)技術(shù)的日子即將結(jié)束，代之以基于API的微服務(wù)。后者正在對(duì)安全性產(chǎn)生影響，預(yù)計(jì)安全提供商們將采用它。結(jié)果，對(duì)于那些遵循零信任理念和方法的企業(yè)安全團(tuán)隊(duì)來(lái)說(shuō)，應(yīng)用IAM工具的負(fù)擔(dān)將大幅減輕。

對(duì)于組織而言，眼下是實(shí)現(xiàn)零信任架構(gòu)理想時(shí)機(jī)，因?yàn)樯矸菪孤对斐傻臄?shù)據(jù)泄露威脅正與日俱增。而IAM“武器庫(kù)”的建設(shè)，正是企業(yè)邁向零信任的第一步。

2020年，IAM的三大趨勢(shì)

趨勢(shì)一：身份和訪問(wèn)管理即服務(wù)

管理一組應(yīng)用程序和文件的訪問(wèn)可能很棘手，且要求很高。盡管IAM早已遷移到云中（即使Microsoft的古老Active Directory軟件也跳到了Azure），但對(duì)應(yīng)用程序進(jìn)行精細(xì)維護(hù)的責(zé)任仍然在于管理員。

借助IAM即服務(wù)（IAMaaS），許多IAM功能被轉(zhuǎn)移到云中并實(shí)現(xiàn)了自動(dòng)化。遠(yuǎn)程用戶(hù)可以輕松而輕松地訪問(wèn)其工具：他們只需使用一次登錄（SSO）即可訪問(wèn)所需的所有資源和解決方案。

借助IAMaaS，用戶(hù)可以輕松、自動(dòng)化地連接安全和防欺詐保護(hù)系統(tǒng)，提高應(yīng)用程序和文件的安全性，而無(wú)需付出額外的努力。此外，自動(dòng)化工具將大大減少管理員的工作負(fù)擔(dān)。

趨勢(shì)二：微服務(wù)的身份和訪問(wèn)管理

微服務(wù)已經(jīng)席卷了IT世界。開(kāi)發(fā)人員使用鏈接的容器化小程序而不是單個(gè)整體應(yīng)用程序來(lái)執(zhí)行以前由單個(gè)集成應(yīng)用程序完成的功能。即使一個(gè)組件失敗，整個(gè)應(yīng)用程序也不會(huì)崩潰。

取而代之的是，自動(dòng)化系統(tǒng)啟動(dòng)了故障組件的副本，使用戶(hù)的停機(jī)時(shí)間降至零。

從傳統(tǒng)的IAM的角度來(lái)看，這是有問(wèn)題的?，F(xiàn)在，應(yīng)用程序的各個(gè)組件可以通過(guò)網(wǎng)絡(luò)進(jìn)行通信，這意味著攻擊者有可能竊聽(tīng)或偽造這些通信。有時(shí)，這些服務(wù)使用公共互聯(lián)網(wǎng)在多個(gè)數(shù)據(jù)中心之間進(jìn)行通信，這使得加密和安全性變得更加重要。

因此，IAM解決方案開(kāi)始與微服務(wù)集成。在一個(gè)這樣的解決方案中，微服務(wù)之間的每個(gè)通信還包括一個(gè)唯一的令牌，該令牌在收到后便會(huì)得到驗(yàn)證。應(yīng)用程序僅在收到有效令牌后才執(zhí)行請(qǐng)求的功能。

這對(duì)應(yīng)用程序造成的性能影響很小，但卻可以防止不良行為者假冒微服務(wù)或竊聽(tīng)您的應(yīng)用程序。

趨勢(shì)三：自主身份

用戶(hù)所擁有的身份數(shù)據(jù)，需重復(fù)證明，也不屬于自己，這是一件怪誕但現(xiàn)實(shí)的事情，這不僅僅帶來(lái)不便，而且是數(shù)據(jù)泄露的萬(wàn)惡之源。

自主主權(quán)身份是搭建在區(qū)塊鏈上的數(shù)字身份，也是用戶(hù)對(duì)數(shù)字身份掌控度最高的形式，此類(lèi)數(shù)字身份因?yàn)榻Y(jié)合了區(qū)塊鏈的去中心化、分布式、共識(shí)機(jī)制、哈希加密等特性，因此在自主、安全、可控層面更上一層樓。

在物理世界中，用戶(hù)可以通過(guò)多種方式來(lái)驗(yàn)證其身份，而無(wú)需用戶(hù)名或密碼。他們可能會(huì)出示駕照、護(hù)照、社會(huì)保險(xiǎn)卡或其他身份證。

過(guò)去，顯示完整賬號(hào)的信用卡收據(jù)使身份盜竊變得容易。而所謂的自主身份，指的是當(dāng)個(gè)人使用這些實(shí)體來(lái)驗(yàn)證其身份時(shí)，沒(méi)有第三方（發(fā)行機(jī)構(gòu)除外）維護(hù)副本，因此被盜的風(fēng)險(xiǎn)較小。

簡(jiǎn)而言之，自我主權(quán)身份使用戶(hù)在網(wǎng)上也能夠以“親自證明”相同的方式對(duì)自己進(jìn)行身份驗(yàn)證。用戶(hù)可以存儲(chǔ)自己的個(gè)人識(shí)別數(shù)據(jù)，而不必將其提交到某個(gè)公司管理的集中化數(shù)據(jù)庫(kù)中，因?yàn)槿绻@些公司被黑客入侵，數(shù)據(jù)泄露將不可避免。

自我主權(quán)身份的問(wèn)題在于，目前還沒(méi)有一種普遍認(rèn)同的媒介可以用來(lái)存儲(chǔ)自己的身份并對(duì)其進(jìn)行驗(yàn)證?，F(xiàn)在，許多自我主權(quán)身份的支持者認(rèn)為，區(qū)塊鏈?zhǔn)且环N加密的去中心化個(gè)人信息數(shù)據(jù)庫(kù)，代表了個(gè)人可以輕松地在線驗(yàn)證其身份的理想機(jī)制。

因此，整合區(qū)塊鏈有可能在很大程度上改變IAM。根據(jù)您的居住地、您的用戶(hù)名和密碼可能會(huì)替換為政府頒發(fā)的數(shù)字身份。這已經(jīng)在瑞士的楚格（Zug）市發(fā)生，您的城鎮(zhèn)可能是下一個(gè)。

總之，可以預(yù)見(jiàn)的是，隨著全球主要公司和政府努力“消滅密碼”，在線身份識(shí)別和管理方式也正面臨一場(chǎng)巨變。