身份與訪(fǎng)問(wèn)管理技術(shù)演進(jìn)之下一代身份安全與IAM技術(shù)新趨勢(shì)

一直以來(lái)，我們對(duì)身份治理的理解更多停留在傳統(tǒng)的身份管理與訪(fǎng)問(wèn)控制，即傳統(tǒng)的SSO、IAM等。但隨著技術(shù)地不斷迭代，企業(yè)對(duì)數(shù)字身份的定義、涉及維度及應(yīng)用領(lǐng)域都在逐漸發(fā)生改變，從以“業(yè)務(wù)應(yīng)用為中心”轉(zhuǎn)變?yōu)橐?ldquo;可信身份為中心”，具體演進(jìn)過(guò)程總結(jié)如下圖：

這張圖是派拉軟件基于15年深耕身份安全領(lǐng)域的親身實(shí)戰(zhàn)總結(jié)，亦是派拉軟件在身份安全領(lǐng)域持續(xù)深耕的戰(zhàn)略定位。而隨著技術(shù)的不斷發(fā)展，時(shí)間與實(shí)踐的不斷累積，身份安全行業(yè)已逐漸走上了第四階段——超越階段。

那為什么我們將這個(gè)階段稱(chēng)為“身份安全風(fēng)險(xiǎn)識(shí)別”？又為什么著重強(qiáng)調(diào)“分析”這一能力？這個(gè)階段有什么技術(shù)新變化......

以上這些問(wèn)題都要從安全理念與技術(shù)發(fā)展新變革與新趨勢(shì)說(shuō)起：

PART ONE

理念新變革：

以“身份優(yōu)先”的零信任安全

近幾年來(lái)，隨著網(wǎng)絡(luò)邊界的模糊化甚至逐漸消失，傳統(tǒng)以網(wǎng)絡(luò)為邊界的安全架構(gòu)逐漸失效，以“身份優(yōu)先”的零信任安全理念應(yīng)運(yùn)而生，并逐漸成為市場(chǎng)主流。盡管對(duì)零信任落地的質(zhì)疑聲還有很多，但這并不影響其成為未來(lái)發(fā)展新趨勢(shì)與新主流。

事實(shí)上，根據(jù)Gartner實(shí)際數(shù)據(jù)調(diào)查顯示，零信任安全落地與投資正在逐年增長(zhǎng)。在2021  年至  2022  年，中國(guó)最終用戶(hù)在  ZTNA  （零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)）上的支出增長(zhǎng)  86%，并預(yù)測(cè)  2022  年至  2023  年將增長(zhǎng)  54%。

眾所周知，零信任的安全理念普遍被概括為八個(gè)字——從不信任，始終驗(yàn)證。要實(shí)現(xiàn)這樣全新的安全理念與安全架構(gòu)，作為零信任三大技術(shù)核心的——身份管理與訪(fǎng)問(wèn)控制（IAM）技術(shù)勢(shì)必要進(jìn)一步升級(jí)。

根據(jù)國(guó)際權(quán)威機(jī)構(gòu)Gartner對(duì)零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)(Zero Trust Network Access ，ZTNA)給出的定義：一種安全方法，相關(guān)產(chǎn)品或服務(wù)將創(chuàng)建一個(gè)基于身份和上下文的邏輯訪(fǎng)問(wèn)邊界。應(yīng)用被隱藏在邊界以?xún)?nèi)，所有的訪(fǎng)問(wèn)都需要通過(guò)可信代理，從而限制訪(fǎng)問(wèn)者在內(nèi)網(wǎng)的橫向移動(dòng)。

我們可以看出，零信任下的IAM對(duì)身份與訪(fǎng)問(wèn)控制管理的要求更高了，具體表現(xiàn)為對(duì)訪(fǎng)問(wèn)者身份數(shù)據(jù)的采集維度變得更加豐富，并且要做到持續(xù)的分析和認(rèn)證，強(qiáng)調(diào)對(duì)身份的“持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估”。

PART TWO

技術(shù)新趨勢(shì)：

身份安全風(fēng)險(xiǎn)識(shí)別與免疫

在這樣的零信任安全理念以及對(duì)IAM技術(shù)新要求之下，傳統(tǒng)的IAM技術(shù)要如何發(fā)展演進(jìn)呢？

在網(wǎng)絡(luò)安全行業(yè)風(fēng)向標(biāo)的RSAC 2023峰會(huì)上，CEO Rohit Ghai 發(fā)表了關(guān)于身份安全主題為《The Looming Identity Crisis（迫在眉睫的身份危機(jī)）》的開(kāi)幕式演講給了我們一些答案。

他指出，下一代身份安全產(chǎn)品和IAM技術(shù)的重要發(fā)展趨勢(shì)將轉(zhuǎn)向身份基礎(chǔ)設(shè)施化、智能化、以及融合ITDR（身份威脅檢測(cè)與響應(yīng)）一體化，強(qiáng)調(diào)“免疫力”的主動(dòng)身份安全防御能力建設(shè)策略。

過(guò)去的訪(fǎng)問(wèn)管理和身份管理（IAM）將變成身份安全的基礎(chǔ)功能。未來(lái)，身份安全平臺(tái)一定要加強(qiáng)安全防御能力，強(qiáng)調(diào)“免疫力”的主動(dòng)身份安全防御能力建設(shè)。

那要如何實(shí)現(xiàn)主動(dòng)的身份安全防御，或者具有安全免疫力的身份安全建設(shè)呢？首先我們要確保做到身份安全風(fēng)險(xiǎn)識(shí)別。在風(fēng)險(xiǎn)與威脅檢測(cè)分析識(shí)別的基礎(chǔ)上，再針對(duì)性地采取防御措施。

落到實(shí)際的技術(shù)落地層面，就需要在傳統(tǒng)的IAM基礎(chǔ)之上，結(jié)合零信任安全理念，嵌入AI、UEBA、ITDR等新技術(shù)。

PART THREE

產(chǎn)品新升級(jí)：

派拉軟件身份安全產(chǎn)品

從上述理念變革與技術(shù)趨勢(shì)中，我們看到，基于零信任理念下的身份安全風(fēng)險(xiǎn)識(shí)別與安全免疫是第四階段身份安全領(lǐng)域的主攻方向。事實(shí)上，我們從各大身份安全廠(chǎng)商新發(fā)布的產(chǎn)品與解決方案也可以看出其中端倪。

以派拉軟件身份安全產(chǎn)品為例。眾所周知，派拉軟件是國(guó)內(nèi)領(lǐng)先的數(shù)字身份安全代表廠(chǎng)商，其產(chǎn)品也是整個(gè)國(guó)內(nèi)身份安全產(chǎn)品的一個(gè)縮影。

近幾年來(lái)，派拉軟件一直在尋求傳統(tǒng)身份安全的新突破，先后發(fā)布了以“身份優(yōu)先”的一體化端到端零信任安全解決方案，隨后在身份安全產(chǎn)品中增加AI、UEBA（用戶(hù)與實(shí)體行為分析）等技術(shù)能力，結(jié)合智能多因素身份認(rèn)證、動(dòng)態(tài)細(xì)粒度最小權(quán)限授權(quán)等，不斷優(yōu)化身份安全防護(hù)能力。

其中，身份安全風(fēng)險(xiǎn)分析識(shí)別以及持續(xù)身份認(rèn)證是派拉身份安全產(chǎn)品新升級(jí)的主攻方向。例如，派拉軟件身份風(fēng)險(xiǎn)檢測(cè)與防護(hù)平臺(tái)，通過(guò)聚焦身份安全，結(jié)合不同業(yè)務(wù)安全風(fēng)險(xiǎn)場(chǎng)景，借助算法模型與AI智能技術(shù)，采取風(fēng)險(xiǎn)控制引擎，依據(jù)身份因子、瀏覽器因子、操作系統(tǒng)因子、行為因子等各種風(fēng)險(xiǎn)因子，在重要的風(fēng)險(xiǎn)決策點(diǎn)，如注冊(cè)、登錄、應(yīng)用系統(tǒng)訪(fǎng)問(wèn)、業(yè)務(wù)功能獲取等環(huán)節(jié)，進(jìn)行相關(guān)身份安全風(fēng)險(xiǎn)的識(shí)別與風(fēng)險(xiǎn)評(píng)分。

不同于傳統(tǒng)的身份認(rèn)證，這里的風(fēng)險(xiǎn)識(shí)別與安全認(rèn)證是持續(xù)動(dòng)態(tài)的，很好地滿(mǎn)足了零信任安全理念中提出的“持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估”。

隨后，平臺(tái)會(huì)根據(jù)風(fēng)險(xiǎn)等級(jí)啟動(dòng)相應(yīng)的風(fēng)險(xiǎn)打擊和控制手段，如結(jié)合派拉軟件多因素認(rèn)證能力，或產(chǎn)生告警提醒并通過(guò)釘釘、微信、短信等方式告知管理員，甚至針對(duì)惡意嚴(yán)重風(fēng)險(xiǎn)，系統(tǒng)直接進(jìn)行阻斷或禁用，從而有效增強(qiáng)數(shù)字身份安全風(fēng)險(xiǎn)識(shí)別與防御能力，提升身份安全的免疫力。