身份現(xiàn)代化｜現(xiàn)代企業(yè)身份的基石

大多數(shù)組織都處于數(shù)字轉(zhuǎn)型或云遷移的某個(gè)階段——根據(jù)Gartner的預(yù)測(cè)，到2026年，預(yù)計(jì)75%的組織將采用依賴云的數(shù)字轉(zhuǎn)型模式，而麥肯錫估計(jì)，云采用可能在2030年為全球最大的2000家公司帶來(lái)3萬(wàn)億美元的收益。

因此，如果網(wǎng)絡(luò)安全在基于云的企業(yè)中已經(jīng)過(guò)時(shí)，那么什么來(lái)取而代之呢？

隨著公司越來(lái)越依賴云來(lái)運(yùn)營(yíng)和存儲(chǔ)敏感數(shù)據(jù)，構(gòu)建強(qiáng)大的身份管理計(jì)劃至關(guān)重要，以確保正確的用戶和設(shè)備能夠安全訪問(wèn)正確的文件和應(yīng)用程序。今天的80%網(wǎng)絡(luò)攻擊涉及基于身份的技術(shù)，而這些類型的妥協(xié)可能會(huì)使攻擊者混入目標(biāo)環(huán)境，就像一個(gè)正常的有效用戶一樣。通過(guò)專注于身份為先的安全策略，當(dāng)今的企業(yè)可以更好地適應(yīng)和抵御現(xiàn)代攻擊者和技術(shù)。

我將解釋現(xiàn)代企業(yè)身份管理計(jì)劃的基本原理，以及任何創(chuàng)始人或安全領(lǐng)導(dǎo)者如何開始為他們的業(yè)務(wù)構(gòu)建這樣一個(gè)計(jì)劃。

身份代表了您組織的技術(shù)接觸點(diǎn)的不同方面，包括用戶、設(shè)備、應(yīng)用程序和其他系統(tǒng)。因此，企業(yè)身份是管理和為這些實(shí)體提供對(duì)您環(huán)境中資源的訪問(wèn)的整體過(guò)程。

在考慮您的整體企業(yè)身份架構(gòu)時(shí)，您將希望構(gòu)建一個(gè)涉及三個(gè)主要維度的策略：不同類型的身份、身份生命周期以及身份治理和管理。

1.身份類型：身份可以映射到人類、設(shè)備和軟件。

• 人類身份包括您的工作人員，包括全職員工、合同工和顧問(wèn)。本文將重點(diǎn)關(guān)注人類身份，但許多概念廣泛適用于所有類型的身份。

• 設(shè)備身份涵蓋了機(jī)器，如筆記本電腦、服務(wù)器或手機(jī)，無(wú)論是物理設(shè)備、虛擬設(shè)備還是容器化設(shè)備。

• 非人類和軟件身份涵蓋了服務(wù)賬戶、API密鑰、應(yīng)用程序和服務(wù)（通常由證書表示）以及共享的管理賬戶。

   

2.身份生命周期指的是數(shù)字身份的始發(fā)、中間和終結(jié)階段——包括創(chuàng)建、持續(xù)運(yùn)營(yíng)和管理以及取消權(quán)限的過(guò)程，取消權(quán)限是指將用戶、設(shè)備或軟件對(duì)公司數(shù)據(jù)的訪問(wèn)權(quán)移除的過(guò)程。

3.身份治理和管理是指管理身份生命周期的一組工具、流程和團(tuán)隊(duì)，它將反映組織的文化、風(fēng)險(xiǎn)承受能力、合規(guī)性和法規(guī)義務(wù)。強(qiáng)大的身份管理計(jì)劃始終保持活躍：對(duì)于員工來(lái)說(shuō)，從入職到離職；對(duì)于設(shè)備和軟件，包括更替和遷移期間；對(duì)于所有身份類型，持續(xù)監(jiān)控和分析報(bào)告。

這些維度之間的相互作用如下圖所示：

企業(yè)安全的傳統(tǒng)方式是信任所有位于網(wǎng)絡(luò)內(nèi)部的用戶和設(shè)備，只要它們通過(guò)了初步的一兩個(gè)檢查點(diǎn)，就像護(hù)照控制、或者持有門票和身份證進(jìn)入音樂會(huì)場(chǎng)地一樣。但是今天的企業(yè)擁有遠(yuǎn)不止一個(gè)入口點(diǎn)。多達(dá)98%的使用公共云服務(wù)的企業(yè)采用了多云戰(zhàn)略，這意味著它們已經(jīng)使用或計(jì)劃使用至少兩個(gè)云基礎(chǔ)設(shè)施提供商。除了基礎(chǔ)設(shè)施，大多數(shù)企業(yè)還使用幾十個(gè)甚至幾百個(gè)不同的SaaS應(yīng)用程序。

云基礎(chǔ)設(shè)施和SaaS的采用使公司能夠快速創(chuàng)新和實(shí)施新功能，但也帶來(lái)了一系列新的安全問(wèn)題，不斷壯大的企業(yè)必須積極解決這些問(wèn)題。

以下是重新思考企業(yè)身份管理方法并使其更為現(xiàn)代化的四個(gè)主要原因：

1.為了支持現(xiàn)代技術(shù)和混合工作環(huán)境的現(xiàn)實(shí)。在今天適應(yīng)遠(yuǎn)程工作的員工隊(duì)伍中，幾乎可以在任何地方、任何設(shè)備上使用幾乎無(wú)處不在的SaaS應(yīng)用程序來(lái)工作。強(qiáng)大的企業(yè)身份管理計(jì)劃支持各種工作設(shè)置，確保員工可以在任何地方訪問(wèn)應(yīng)用程序，無(wú)論是在公司總部辦公室、混合設(shè)置還是完全遠(yuǎn)程工作。即使是希望保持辦公室文化的組織，也會(huì)面臨身份管理方面的挑戰(zhàn)，無(wú)論是確保生病的員工能夠在家工作，還是技術(shù)支持承包商能夠遠(yuǎn)程訪問(wèn)您用戶的桌面。

2.為了改善最終用戶體驗(yàn)?，F(xiàn)代化的身份架構(gòu)不僅使訪問(wèn)公司數(shù)據(jù)更加安全，還更簡(jiǎn)化了員工和用戶的訪問(wèn)過(guò)程——在安全性和用戶體驗(yàn)兩方面的改進(jìn)機(jī)會(huì)對(duì)于安全團(tuán)隊(duì)和最終用戶來(lái)說(shuō)都是雙贏。

3.為了保護(hù)免受最新的安全威脅。當(dāng)今的威脅和攻擊者正在集中攻擊身份，通過(guò)竊取會(huì)話、釣魚獲取憑據(jù)、攻擊多因素身份驗(yàn)證（MFA）、SIM交換和攻擊單一登錄（SSO）。如果權(quán)限設(shè)置不正確，攻擊者還可以通過(guò)簡(jiǎn)單的API調(diào)用創(chuàng)建和銷毀云環(huán)境。

4.為了實(shí)現(xiàn)朝著零信任的轉(zhuǎn)變。2021年5月，拜登政府通過(guò)行政命令14028號(hào)指示美國(guó)聯(lián)邦機(jī)構(gòu)采用零信任網(wǎng)絡(luò)安全原則。而且，許多公司已經(jīng)朝著零信任架構(gòu)邁出了堅(jiān)實(shí)的步伐。零信任原則規(guī)定，不應(yīng)自動(dòng)信任任何用戶或設(shè)備，因?yàn)槊總€(gè)網(wǎng)絡(luò)內(nèi)外都可能存在潛在的攻擊者。零信任采用者要求在訪問(wèn)資源時(shí)不斷重新驗(yàn)證身份。

您對(duì)身份管理計(jì)劃所做的任何投資都是向前邁出的一步。但考慮到企業(yè)身份架構(gòu)有多個(gè)方面，確定正確的優(yōu)先順序可能會(huì)有困難。與任何其他安全投資一樣，對(duì)身份的投資有一個(gè)邏輯的發(fā)展過(guò)程——首先要建立基本功能和能力的基礎(chǔ)，然后隨著公司的成熟，這些計(jì)劃也會(huì)擴(kuò)展。

為了幫助構(gòu)建這個(gè)旅程，有助于考慮一系列特性，這些特性與成熟度曲線相對(duì)應(yīng)。就像一棵成長(zhǎng)的植物一樣，我建議將身份現(xiàn)代化分為三個(gè)關(guān)鍵的發(fā)展階段——種子、發(fā)芽和開花。首先，您將創(chuàng)建您的身份管理計(jì)劃，然后幫助它成長(zhǎng)，最后支持其成熟。盡管這種方法不包括所有可能的身份功能，但旨在提供一個(gè)可用的模型，用于規(guī)劃和實(shí)施企業(yè)身份戰(zhàn)略。

我們將使用"種子Seed"（形成）、"發(fā)芽Sprout"（進(jìn)展）和"開花Bloom"（高級(jí)）的框架來(lái)看待這個(gè)成熟度曲線和實(shí)施進(jìn)展。

• 將您的人力資源信息系統(tǒng)（HRIS）與身份基礎(chǔ)設(shè)施集成，以支持在員工和合同工入職時(shí)自動(dòng)提供身份，以及在離職時(shí)取消權(quán)限。

• 將您的身份存儲(chǔ)集中到單一的身份提供者（IdP）—作為員工身份的真實(shí)來(lái)源。此過(guò)程可以從識(shí)別需要遷移的身份孤立系統(tǒng)開始。

• 收集您的員工訪問(wèn)的資源的上下文信息，例如SaaS應(yīng)用程序、云基礎(chǔ)設(shè)施、數(shù)據(jù)存儲(chǔ)和定制應(yīng)用程序等。擁有一個(gè)按使用這些資源的團(tuán)隊(duì)相互關(guān)聯(lián)的資源清單將有助于您構(gòu)建您的身份管理計(jì)劃。

一旦您的身份管理計(jì)劃的基礎(chǔ)就位，現(xiàn)在是時(shí)候完善您的計(jì)劃運(yùn)營(yíng)、加強(qiáng)安全措施，并將身份作為公司綜合安全策略的焦點(diǎn)。發(fā)芽階段的關(guān)鍵優(yōu)先事項(xiàng)包括：

• 在所有資產(chǎn)上啟用無(wú)處不在的單一登錄（SSO）。SSO簡(jiǎn)化了您員工的訪問(wèn)體驗(yàn)，并通過(guò)消除身份孤立和不同的憑證來(lái)提高安全性。

• 強(qiáng)制執(zhí)行多因素身份驗(yàn)證（MFA）。MFA提供了額外的保護(hù)，防止了與被盜憑據(jù)相關(guān)的風(fēng)險(xiǎn)。請(qǐng)注意，MFA的安全強(qiáng)度有不同級(jí)別，您可以根據(jù)需要和能力的變化進(jìn)行調(diào)整，例如，基于短信或文本消息的MFA比FIDO2標(biāo)準(zhǔn)要弱，后者包括無(wú)密碼的身份驗(yàn)證方法，如Apple Touch ID和Face ID。

• 通過(guò)秘密管理和特權(quán)訪問(wèn)管理（PAM）來(lái)管理共享和特權(quán)身份。某些身份具有更高的價(jià)值，并由多個(gè)方使用，這些功能可以讓您更安全、更高效地支持這些類型的身份和訪問(wèn)。

• 集中請(qǐng)求和審查對(duì)企業(yè)資源的訪問(wèn)。有效管理不斷變化的訪問(wèn)需求對(duì)于提供積極的員工體驗(yàn)與安全性至關(guān)重要，確保訪問(wèn)權(quán)限沒有不必要的過(guò)度授權(quán)，以及滿足您的合規(guī)性義務(wù)。

• 部署密碼管理器，以改善整個(gè)企業(yè)的密碼衛(wèi)生狀況。

隨著您的公司成熟，您的身份管理計(jì)劃也在不斷發(fā)展。在開花階段，是時(shí)候最大化和提升您的身份投資和能力了。在這個(gè)階段，您將利用身份數(shù)據(jù)來(lái)實(shí)現(xiàn)各種目標(biāo)，您的員工在使用身份系統(tǒng)時(shí)應(yīng)該變得越來(lái)越復(fù)雜和用戶友好。開花階段的關(guān)鍵議程項(xiàng)目包括：

• 支持持續(xù)和有條件的訪問(wèn)控制，以提高安全性并支持零信任。當(dāng)成熟的組織進(jìn)行身份驗(yàn)證和授權(quán)決策時(shí)，它們可以利用多個(gè)信號(hào)，包括訪問(wèn)時(shí)間和位置、設(shè)備是否正在活動(dòng)使用以及歷史設(shè)備活動(dòng)。如果您的團(tuán)隊(duì)在進(jìn)行授權(quán)之前識(shí)別出了“黃燈”，您可以實(shí)施功能，例如升級(jí)身份驗(yàn)證或其他證明身份的機(jī)制。

• 利用身份日志和數(shù)據(jù)支持檢測(cè)和響應(yīng)工作，包括更復(fù)雜的用例，如異常檢測(cè)和行為分析。這些功能可以幫助識(shí)別各種問(wèn)題，從被盜的身份到內(nèi)部威脅到過(guò)度授權(quán)的訪問(wèn)。

• 自動(dòng)化和集中身份相關(guān)的證據(jù)和數(shù)據(jù)，以支持審計(jì)和調(diào)查。

• 提供自動(dòng)化的、自助式的企業(yè)資源訪問(wèn)請(qǐng)求和授權(quán)。您了解您的員工或合同工需要訪問(wèn)的系統(tǒng)、應(yīng)用程序和數(shù)據(jù)，并能夠根據(jù)需要在員工或合同工入職的第一天、角色變化或業(yè)務(wù)需求時(shí)提供訪問(wèn)權(quán)限。

• 啟用最小權(quán)限和即時(shí)訪問(wèn)（JIT）跨環(huán)境，以確保用戶僅獲得他們需要的訪問(wèn)權(quán)限，過(guò)度授權(quán)的訪問(wèn)不會(huì)導(dǎo)致安全問(wèn)題。此外，具有與最小權(quán)限對(duì)齊的精細(xì)調(diào)整權(quán)限為檢測(cè)和響應(yīng)提供了高保真度信號(hào)的基礎(chǔ)。

• 通過(guò)使用通行證、生物特征或其他方式提供無(wú)密碼體驗(yàn)，可以顯著改善用戶體驗(yàn)，并有效抵御釣魚和其他對(duì)憑據(jù)的攻擊。雖然通行證支持尚未普及，但一些在線服務(wù)、瀏覽器和密碼管理器已經(jīng)實(shí)施了支持，未來(lái)幾年肯定會(huì)看到更廣泛的兼容性。

• 通過(guò)提供單一的手段來(lái)表達(dá)、配置和授予權(quán)限，來(lái)集中權(quán)限和權(quán)利，無(wú)論是在云上還是在本地，以支持企業(yè)資產(chǎn)。

就像種子、發(fā)芽和開花階段一樣，將任何網(wǎng)絡(luò)安全現(xiàn)代化項(xiàng)目分解成逐漸進(jìn)行的階段非常重要——這種實(shí)施結(jié)構(gòu)有助于使變化更加具體和可操作，每個(gè)個(gè)體行動(dòng)都有助于實(shí)現(xiàn)長(zhǎng)期戰(zhàn)略。例如，作為一名創(chuàng)始人或首席信息安全官（CISO），您可能計(jì)劃首先在您的組織承諾進(jìn)行企業(yè)身份現(xiàn)代化時(shí)進(jìn)行一些戰(zhàn)術(shù)性的轉(zhuǎn)變。

這些過(guò)渡可能包括：

• 從孤立的身份到集中的身份
• 從基于用戶名和密碼的身份驗(yàn)證到多因素身份驗(yàn)證（MFA）
• 從基于短信的MFA到更強(qiáng)大、抵御釣魚攻擊的MFA
• 從本地身份到單一登錄（SSO）
• 從分散和未知的身份到維護(hù)清單