IoT、移動性和緊迫的安全需求,意味著每個節點都必須有可信身份和連接網絡服務的安全通道。
現在每個人都在談論IoT,理由充分:已有數十億設備接入全球互聯網,有些研究人員預測到2020年聯網設備數量將達500億。僅此一項,就讓CISO的工作更難開展了,但安全高管還要面臨其它相關挑戰,包括:
員工移動辦公,傾向于利用各種設備訪問公司應用;
應用、工作負載和容器存在于私有或公共云,甚至在二者之間轉換;
更多設備、云應用和移動用戶的增加,大幅擴大了攻擊界面;
CISO被迫以人手不足兼技能不夠的網絡安全團隊,保護這不斷增長的IT資產。
傳統安全過程、控制措施和技術手段,無法擴展滿足當今IoT移動世界的安全挑戰。
這正是身份(例如:設備身份、用戶身份、資產身份等等)大展拳腳的地方。源和目的之間,必須通過2/3層協議和用戶名及口令連接。更進一步,互聯網上所有東西都必須有個可信身份,這些可信身份將用于引導并監視安全連接。
這一趨勢被稱為“身份互聯網(IoI)”,符合我們目前跟蹤的多個安全趨勢。比如說,可信身份,就處于微分隔和軟件定義邊界(SDP)之類聯網趨勢的中心。
只要知道設備或人的身份,以及該設備或人想連接的應用或服務的身份,就可以驗證各實體,檢查策略引擎以確保這是授權連接;分隔并加密源和目的之間的流量,并維護對連接甚至倆節點間所有數據包的審計日志。
基本上,整個全球互聯網被固定功能網絡和個人虛擬網絡分隔成大大小小數十億個網絡——全都由管道兩端的身份驅動。
因為需要用身份、軟件定義網絡技術和大數據分析,來減小網絡攻擊界面并監視這數十億節點情況,IoI的理論是完全正確的。商業方面,IoI可幫助公司企業向關鍵網絡流量和高價值客戶提供高性能服務。
雖然IoI聽起來很符合邏輯,其未來幾年的成功取決于很多因素,包括:
1. 對IoT設備的強身份驗證
每個IoT設備都必須擁有強壯而唯一的身份,可基于生物特征識別技術、指紋技術或經驗證的X.509數字證書。
2. 標準和固有技術的廣泛采用
或許可以對FIDO、OAuth、OpenID、SAML等標準進行某種形式的合理化,同時增加手機指紋讀取器等常見生物特征識別的使用。
3. 身份的云監管
Facebook、谷歌和微軟已將身份擴展至云端,也正努力進行身份控制,但IoI必須進化至一種協作生態系統。國家標準與技術局(NIST)的可信身份組和NSTIC,曾提出過類似模型。業界大佬必須認同此類身份生態系統,并共同努力實現。
4. 軟件定義網絡技術的更多運用
更多使用微分隔和VPN向軟件定義邊界的遷移,可基于用戶、身份、位置、風險和嚴格的業務驅動策略,提供任意端對端網絡訪問。
5. 成熟用戶和實體行為分析(UEBA)工具
時時刻刻發生的事件太多,安全分析師無法跟蹤所有連接或發現異常行為。基于機器學習和人工智能的成熟行為安全分析工具,必須持續進化以不足這方面差距。
大企業可用多種方式為IoI做打算:
從戰術性身份管理轉向全面的IAM策略;
給CISO更多的IAM監管權限,同時讓業務經理更多參與到策略定義和風險管理中來;
促進安全、IT和運營技術團隊間的協作。
京公網安備 11010502049343號