一直以來,我們對身份治理的理解更多停留在傳統的身份管理與訪問控制����,即傳統的SSO���、IAM等。但隨著技術地不斷迭代�����,企業(yè)對數字身份的定義�、涉及維度及應用領域都在逐漸發(fā)生改變,從以“業(yè)務應用為中心”轉變?yōu)橐?ldquo;可信身份為中心”��,具體演進過程總結如下圖:
身份與訪問管理技術的演進總結圖
這張圖是派拉軟件基于15年深耕身份安全領域的親身實戰(zhàn)總結����,亦是派拉軟件在身份安全領域持續(xù)深耕的戰(zhàn)略定位�。而隨著技術的不斷發(fā)展,時間與實踐的不斷累積�,身份安全行業(yè)已逐漸走上了第四階段——超越階段。
那為什么我們將這個階段稱為“身份安全風險識別”�����?又為什么著重強調“分析”這一能力��?這個階段有什么技術新變化......
以上這些問題都要從安全理念與技術發(fā)展新變革與新趨勢說起:
理念新變革:
以“身份優(yōu)先”的零信任安全
近幾年來,隨著網絡邊界的模糊化甚至逐漸消失���,傳統以網絡為邊界的安全架構逐漸失效��,以“身份優(yōu)先”的零信任安全理念應運而生�����,并逐漸成為市場主流����。盡管對零信任落地的質疑聲還有很多�����,但這并不影響其成為未來發(fā)展新趨勢與新主流����。
事實上,根據Gartner實際數據調查顯示����,零信任安全落地與投資正在逐年增長。在2021 年至 2022 年����,中國最終用戶在 ZTNA (零信任網絡訪問)上的支出增長 86%��,并預測 2022 年至 2023 年將增長 54%����。
眾所周知����,零信任的安全理念普遍被概括為八個字——從不信任,始終驗證���。要實現這樣全新的安全理念與安全架構����,作為零信任三大技術核心的——身份管理與訪問控制(IAM)技術勢必要進一步升級�。
根據國際權威機構Gartner對零信任網絡訪問(Zero Trust Network Access ����,ZTNA)給出的定義:一種安全方法,相關產品或服務將創(chuàng)建一個基于身份和上下文的邏輯訪問邊界�。應用被隱藏在邊界以內,所有的訪問都需要通過可信代理����,從而限制訪問者在內網的橫向移動����。
我們可以看出��,零信任下的IAM對身份與訪問控制管理的要求更高了�����,具體表現為對訪問者身份數據的采集維度變得更加豐富�����,并且要做到持續(xù)的分析和認證��,強調對身份的“持續(xù)自適應風險與信任評估”����。
在這樣的零信任安全理念以及對IAM技術新要求之下,傳統的IAM技術要如何發(fā)展演進呢�?
在網絡安全行業(yè)風向標的RSAC 2023峰會上,CEO Rohit Ghai 發(fā)表了關于身份安全主題為《The Looming Identity Crisis(迫在眉睫的身份危機)》的開幕式演講給了我們一些答案�����。
他指出,下一代身份安全產品和IAM技術的重要發(fā)展趨勢將轉向身份基礎設施化�����、智能化���、以及融合ITDR(身份威脅檢測與響應)一體化����,強調“免疫力”的主動身份安全防御能力建設策略�。
過去的訪問管理和身份管理(IAM)將變成身份安全的基礎功能。未來��,身份安全平臺一定要加強安全防御能力��,強調“免疫力”的主動身份安全防御能力建設����。
那要如何實現主動的身份安全防御,或者具有安全免疫力的身份安全建設呢�?首先我們要確保做到身份安全風險識別��。在風險與威脅檢測分析識別的基礎上����,再針對性地采取防御措施�����。
落到實際的技術落地層面����,就需要在傳統的IAM基礎之上����,結合零信任安全理念,嵌入AI�����、UEBA���、ITDR等新技術����。
從上述理念變革與技術趨勢中���,我們看到����,基于零信任理念下的身份安全風險識別與安全免疫是第四階段身份安全領域的主攻方向。事實上��,我們從各大身份安全廠商新發(fā)布的產品與解決方案也可以看出其中端倪�����。
以派拉軟件身份安全產品為例�。眾所周知,派拉軟件是國內領先的數字身份安全代表廠商����,其產品也是整個國內身份安全產品的一個縮影。
近幾年來���,派拉軟件一直在尋求傳統身份安全的新突破�,先后發(fā)布了以“身份優(yōu)先”的一體化端到端零信任安全解決方案�����,隨后在身份安全產品中增加AI���、UEBA(用戶與實體行為分析)等技術能力�����,結合智能多因素身份認證�����、動態(tài)細粒度最小權限授權等����,不斷優(yōu)化身份安全防護能力��。
其中��,身份安全風險分析識別以及持續(xù)身份認證是派拉身份安全產品新升級的主攻方向��。例如��,派拉軟件身份風險檢測與防護平臺���,通過聚焦身份安全���,結合不同業(yè)務安全風險場景,借助算法模型與AI智能技術�,采取風險控制引擎�,依據身份因子����、瀏覽器因子、操作系統因子����、行為因子等各種風險因子,在重要的風險決策點����,如注冊、登錄���、應用系統訪問����、業(yè)務功能獲取等環(huán)節(jié)��,進行相關身份安全風險的識別與風險評分��。
不同于傳統的身份認證�����,這里的風險識別與安全認證是持續(xù)動態(tài)的,很好地滿足了零信任安全理念中提出的“持續(xù)自適應風險與信任評估”�����。
隨后���,平臺會根據風險等級啟動相應的風險打擊和控制手段,如結合派拉軟件多因素認證能力�����,或產生告警提醒并通過釘釘����、微信、短信等方式告知管理員���,甚至針對惡意嚴重風險�����,系統直接進行阻斷或禁用�����,從而有效增強數字身份安全風險識別與防御能力����,提升身份安全的免疫力。
派拉軟件身份風險檢測與防護平臺技術架構圖
從新理念到新技術再到新產品��,這是一次質的跨越����,也是一場持久的征程。身份安全�����,這個在網絡安全中的細小分支���,其未來走向究竟會如何����,以上只是些“管中窺豹”����,但仍期待大家能從中“見微知著”�����!
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認證IDA
細粒度權限管理xBAC
API安全網關API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務總線
特權訪問管理PAM
數據庫訪問管理CQ
數據治理平臺PDMP
一體化零信任
運維安全
數據安全治理
遠程辦公安全
國產化替代
企業(yè)合規(guī)管控
數字化集成平臺
數字化員工門戶
.jpg)
.jpg)
熱門文章
7*24小時服務
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權威安全認證
滬公網安備 31011502012922號