身份作为新的安全边界

身份作为新的安全边界
作者: 乔恩·R.G. Shende MSc., FBCS ctp, CISM与Gagan Satyaketu
发表日期: 2023年5月24日

在过去的十年里,我们看到了技术使用的快速变化. 在全球向数字化转变的背景下,市场上的新技术改变了我们与技术的接触和使用方式. 数字化旨在为利益相关者带来快速和即时的满足, 从澳门赌场官方下载雇主到消费者, 有了这个, 身份已经成为所提供服务的关键和核心角色.

服务可以随时使用, 无论何时何地,都要关注目标澳门赌场官方下载, 利用越来越多的连接设备和基于云的应用程序. 这些, 反过来, 给人们带来固有的风险, 在过去的传统安全边界之外的东西和系统.

身份和访问管理的历史

身份和访问管理(IAM)可以追溯到20世纪60年代 IBM 为他们的大型机系统开发了资源访问控制设施(RACF).

RACF背后的意图是为大型机资源提供集中的身份验证和访问控制机制. RACF将允许管理员管理用户帐户,并根据定义的策略和包含的功能(如密码管理)控制对不同资源的访问, 用户身份验证和审计.

随着技术的进步,我们在20世纪80年代看到了分布式计算和网络的兴起. 分布式计算, 反过来, 导致了对可以跨多个系统和平台管理身份和访问的IAM系统的需求, 导致轻量级目录访问协议(LDAP)和其他目录服务的发展.

20世纪90年代见证了基于网络的应用程序的出现,互联网成为主流, 它导致了身份联合标准的发展,如安全断言标记语言(SAML)和开放授权(OAuth). SAML和OAuth允许管理员管理跨不同域和系统的访问, 并允许用户对访问web应用程序进行身份验证和授权.

进入21世纪, 我们看到了云计算的出现和对移动设备的更多依赖, 这给IAM管理员在非本地资源的访问管理方面带来了新的挑战. 这导致了基于云的IAM解决方案的引入, 在过去的几年里,随着云计算和数字化转型成为主流,哪一个发展得更快.

新安全边界的身份

组织, 我们都知道, 是否不断开发和采用新的数字技术来满足业务目标和客户满意度指标. 这, 再加上远程工作或混合工作模式的兴起, 我们所知道的传统安全边界的贡献正在变得不那么有效.

传统的基于边界的安全模型, 我们都知道, 保护组织的IT基础设施并依赖于物理位置和网络边界内的安全性的物理和逻辑边界是否存在. 这些模型多年来一直作为澳门赌场官方下载安全的基础,直到出现和采用 云服务就像我们在大流行期间大量经历的那样,包括移动设备和远程工作.

由于这种传统模型在有效保护组织免受不断发展和动态变化的安全威胁方面已经过时, 身份将引导现代组织制定有效的安全策略.

不断移动的用户, 谁可以利用多种模式连接到互联网, 关注用户身份和访问控制的安全模型将是保护组织免受用户威胁的更灵活的方法, 只会增长的事物和系统. 用这个 作为安全防线的新身份, 身份是所有与位置无关的接入点的公分母, 设备, 和网络, 使组织能够进行整体身份验证, 授权, 管理用户, 的事情, 和系统.

然后,随着我们不断完善这个周长, 基于身份的安全模型 嵌入式机器学习和人工智能可以增强对身份威胁的洞察力,从而更快地进行补救. 这些对组织的身份威胁对任何恶意行为者来说都是数字黄金.

回到“周界”这个词的概念上来, 我们正在寻找一个数字边界,并建立一个由无国界的数字和虚拟环境所限制的身份信任模型. 这样的模型必须将用户身份和行为视为创建身份信任模型的指标, 正如MyVayda身份风险和信任平台团队所做的工作一样.

身份信任会考虑以下因素:

  1. 的兴起 内部威胁的一项研究表明,无论是恶意的还是偶然的 波耐蒙研究所 该研究发现,自2020年以来,内部威胁增加了34%. 此外, 2022年波耐蒙研究所内部威胁成本报告如下:

“控制内部威胁的时间从77天增加到85天.”
“那些需要90天以上才能控制住的事件平均会给澳门赌场官方下载造成17美元的损失.1900万年.”

  1. 数字化的迅速采用, 云服务和远程工作, 身份管理在哪些地方至关重要, 确保只有授权用户才能访问特定的系统和资源. 这就要求, 不管他们在哪里,也不管他们使用什么设备, 每个授权分配特权和权利, 和政策,并定期审计.
  2. 法规遵从性,e.g.、SOX 404、GDPR、CCPA等., 在数据存储在多个位置和管辖区的分布式环境中是否具有挑战性.
  3. 应用程序、系统和物联网(IoT)的复杂性,需要身份可扩展性.
  4. 减少和整合碎片化的身份数据,以减少安全漏洞, 访问控制管理的成本和错误.
  5. 在安全性和用户体验之间取得适当的平衡,以减少可能影响生产力和用户满意度的用户摩擦.

解决身份管理挑战的技术和策略

解决跨多个云服务管理和保护数字身份的复杂性等挑战, 设备, 和网络, 内部威胁, 以及法规遵从性要求, 以下几点对确保成功至关重要.

在建立身份作为新的安全边界时,我们必须包括单点登录(SSO), 多因素身份验证, 持续监控和IAM平台,提供集中式解决方案来管理用户身份, 访问控制和身份验证策略. 我们还必须有一个健壮的策略和流程来定义可审计的基于风险的访问控制.

基于风险的访问控制流程不仅可以根据用户的行为动态调整组织所需的身份验证和授权级别, 设备, 地点和其他环境因素, 但是作为一个模型, 当用户使用应用程序时,它将提高用户满意度和操作体验, 系统和物联网(IoT)在日常功能中的应用.

当然, 必须对新过程进行测量和测试以进行改进, 成熟, 和有效性. 记住这一点, 我们需要衡量和定量评估的一些事情是衡量我们的新身份安全边界的成功:

  1. 身份作为安全边界如何保护数字资产免受未经授权的访问并降低数据泄露的风险?
  2. SSO和MFA是如何通过简化应用程序访问来改善用户体验的?
  3. 这个新的安全边界如何使组织能够更有效地扩展其安全措施, 确保员工可以从任何位置访问所需的资源, 设备或网络?
  4. 组织如何利用IAM平台来确保可审计和健壮 身份生命周期管理 从入职到离职, 发放和取消发放访问权限, 更新用户信息并监控可疑活动?
  5. 组织如何集成身份治理以提供组织内所有用户身份和访问权限的集中视图, 制定政策, 执行合规, 并通过识别和解决安全威胁来降低风险?
  6. 他们如何使用IAM平台来管理用户角色, 组, 以及基于业务需求的权限?
  7. 基于组织的审批工作流程, 如何将用户请求自动路由到适当的审批者?
  8. 他们是如何在多个系统之间自动化密码管理和密码同步的?
  9. 他们是如何利用杠杆的 特权访问管理 在他们的组织内部,以及他们如何使用 联合身份验证,这将简化跨多个云服务和应用程序的访问管理?

随着新的安全防线的不断发展, AI和ML等技术, 区块链, 生物识别技术, 无密码认证, 和“零信任将大大加强身份安全. 我们大多数人都知道组成术语“零信任体系结构(ZTA)”的概念或构建块已经存在一段时间了.

构成ZTA模型的许多核心安全原则和技术已经发展了几十年.零信任的概念可以追溯到“需要知道”原则, 在20世纪60年代由美国国防部(DoD)开发,作为其机密信息安全政策的一部分.

其他机构后来也采用了这种做法,包括美国国家标准与技术研究所(NIST),它发展了“最小权限”访问控制的概念.

驾驭日益增长的安全边界

在当今互联的世界中,安全边界从传统到基于身份的演变对于保护组织的数字资产至关重要. 随着技术的发展,网络安全形势变得越来越复杂, 身份作为新的安全边界的重要性只会继续增长.

结果是, 这种由物理边界和事件响应机制约束的定义良好的安全边界的传统概念不再是理想的选择.

通过采用基于身份的纵深防御策略, 组织不仅可以改进对外部和内部威胁的保护,还可以通过集成获得更多的洞察力和集成的可审核性 我的平台. 这将确保他们的数据和系统的安全,为未来更加复杂和相互关联的数字生态系统做好准备.

这, 再加上对整个组织应用程序的身份风险和生活身份运动的理解, 系统和物联网,正如MyVayda团队和其他人所展示的那样, 作为一个新的安全边界,身份是否对成功至关重要.