你好,我是茆正華。歡迎來(lái)到派拉軟件【數(shù)字安全前沿欄目】之解讀《新一代身份和訪問控制管理》第四講。
想象一下,當(dāng)你的衣食住行全部載入物聯(lián)網(wǎng),真正的萬(wàn)物互聯(lián),這時(shí)候世界會(huì)怎么樣?
我相信很多人會(huì)暢想一些科技炫目、高端智能的美好場(chǎng)景;同時(shí),肯定也有人會(huì)擔(dān)憂科幻電影中的人機(jī)災(zāi)難是否會(huì)發(fā)生。畢竟,我們已經(jīng)站在了21世紀(jì),對(duì)科技的想象已不再那么貧乏。
而物聯(lián)網(wǎng)技術(shù)的出現(xiàn)與不斷普及,又進(jìn)一步拓展了我們對(duì)未來(lái)世界的想象!
據(jù)權(quán)威數(shù)據(jù)調(diào)查顯示,2022年底,全球達(dá)到 143 億個(gè)活躍物聯(lián)網(wǎng)端點(diǎn);到 2025 年,預(yù)計(jì)物聯(lián)網(wǎng)連接數(shù)量將超過(guò) 300 億,相當(dāng)于平均每人近四臺(tái)物聯(lián)網(wǎng)設(shè)備。
如此龐大規(guī)模的物聯(lián)網(wǎng)設(shè)備會(huì)帶來(lái)一個(gè)什么樣的世界呢?
我們不妨從物聯(lián)網(wǎng)的定義開始探索。據(jù)IBM對(duì)物聯(lián)網(wǎng)的定義:物聯(lián)網(wǎng)(IoT)是將物理世界和互聯(lián)網(wǎng)緊密連接,從而更好地管理物理世界。物聯(lián)網(wǎng)是信息技術(shù)(IT)和控制技術(shù)(OT)的融合,它借助數(shù)據(jù)采集技術(shù)和智能網(wǎng)絡(luò)對(duì)物理世界進(jìn)行分析、預(yù)測(cè)和優(yōu)化,創(chuàng)造新的價(jià)值。
也就是說(shuō),物聯(lián)網(wǎng)的加入,會(huì)讓數(shù)字世界更加深刻、直接、廣泛地影響著我們生活的物理世界。那些龐大規(guī)模的物聯(lián)網(wǎng)設(shè)備,作為連接現(xiàn)實(shí)的載體,將互聯(lián)網(wǎng)的觸角不斷延伸到物理世界的各個(gè)角落,最終讓數(shù)字世界成為物理世界的孿生體。
事實(shí)也證明,物聯(lián)網(wǎng)對(duì)物理世界的影響越來(lái)越顯著。我們耳熟能詳?shù)闹腔凵睿òㄎ覀兊囊率匙⌒校?、智慧汽車、工業(yè)自動(dòng)化、智慧醫(yī)療、智慧交通、智慧城市、智慧農(nóng)業(yè)、環(huán)境監(jiān)測(cè)等等,正在現(xiàn)實(shí)逐步呈現(xiàn)。曾經(jīng)在科幻小說(shuō)或電影里存在的世界,正在被人們用技術(shù)一幕幕的搬到現(xiàn)實(shí)上演!
然而,物聯(lián)網(wǎng),這樣一個(gè)多元化且復(fù)雜的生態(tài)系統(tǒng),囊括了各種傳感器、設(shè)備、網(wǎng)關(guān)、云端服務(wù)和應(yīng)用程序等。這些設(shè)備和組件不僅規(guī)模數(shù)量龐大,位置分布全球各地、各角落,需聯(lián)網(wǎng)且注重實(shí)時(shí)性,還涵蓋不同的制造商和協(xié)議、數(shù)據(jù)共享等等。
這些都使其管理變得非常復(fù)雜、困難,并帶來(lái)各種安全問題。例如,急速擴(kuò)大的網(wǎng)絡(luò)攻擊面、更多的潛在漏洞、隱私安全問題等。據(jù)Forrester Research在《2023年物聯(lián)網(wǎng)安全狀況》報(bào)告調(diào)查顯示:物聯(lián)網(wǎng)設(shè)備是報(bào)告最多的外部攻擊目標(biāo),比移動(dòng)設(shè)備或計(jì)算機(jī)受到的攻擊更多。
而另一項(xiàng)基于對(duì)全球260萬(wàn)個(gè)智能家居采樣的威脅情報(bào),調(diào)查了近1.2億個(gè)物聯(lián)網(wǎng)設(shè)備的《2023年物聯(lián)網(wǎng)安全形勢(shì)報(bào)告》的研究數(shù)據(jù)顯示:物聯(lián)網(wǎng)設(shè)備每天在全球范圍內(nèi)產(chǎn)生多達(dá)36億起安全事件。
這意味著每個(gè)家庭有20臺(tái)聯(lián)網(wǎng)設(shè)備,每24小時(shí)就會(huì)發(fā)生8起網(wǎng)絡(luò)攻擊。而這樣的攻擊數(shù)量還會(huì)隨著你的物聯(lián)網(wǎng)設(shè)備的增加,呈指數(shù)級(jí)增長(zhǎng)。
這就是為什么當(dāng)下的人們?cè)跁诚爰夹g(shù)帶來(lái)的美好智慧化未來(lái)的同時(shí),也在時(shí)刻擔(dān)憂著技術(shù)帶來(lái)的潛在安全威脅與破壞性。
那么,問題來(lái)了,要如何做好物聯(lián)網(wǎng)安全?首先,我們來(lái)看看物聯(lián)網(wǎng)技術(shù)帶來(lái)了哪些網(wǎng)絡(luò)安全新特征:
01
物聯(lián)網(wǎng)規(guī)模與復(fù)雜性問題
眾所周知,物聯(lián)網(wǎng)通常涉及海量的設(shè)備,而這些設(shè)備呈現(xiàn)明顯的分散性,如地理維度和時(shí)間維度的分散、設(shè)備類型的分散(不同廠商的傳感器、嵌入式設(shè)備、網(wǎng)關(guān)等)。
這樣龐大、多樣化的生態(tài)系統(tǒng)進(jìn)行訪問控制時(shí)就非常復(fù)雜,需要處理大規(guī)模、復(fù)雜的身份驗(yàn)證和授權(quán)操作等。此外,還要兼顧跨平臺(tái)、跨網(wǎng)絡(luò)、跨地域的兼容性問題。
02
物聯(lián)網(wǎng)設(shè)備身份管理問題
隨著物聯(lián)網(wǎng)發(fā)展和深入,越來(lái)越多設(shè)備被接入互聯(lián)網(wǎng)。這就意味著要對(duì)這些接入的設(shè)備進(jìn)行唯一性識(shí)別,賦予其一一映射的數(shù)字身份標(biāo)識(shí),并處理龐大數(shù)量設(shè)備的身份管理和生命周期管理,包括設(shè)備注冊(cè)、上線、替換、下線、密鑰管理、設(shè)備證書等。
此外,物聯(lián)網(wǎng)設(shè)備面臨著被訪問和訪問其他資源,都需要身份和訪問控制管理。而許多物聯(lián)網(wǎng)設(shè)備還沒有可交互的用戶界面,需要采用自動(dòng)化機(jī)制幫助身份驗(yàn)證和授權(quán)。
03
物聯(lián)網(wǎng)設(shè)備連接與網(wǎng)絡(luò)問題
物聯(lián)網(wǎng)設(shè)備通常連接到不穩(wěn)定的網(wǎng)絡(luò),可能在某些情況下無(wú)法直接訪問。因此,與傳統(tǒng)在相對(duì)穩(wěn)定的網(wǎng)絡(luò)環(huán)境運(yùn)行的IAM對(duì)比,物聯(lián)網(wǎng)IAM需要處理不穩(wěn)定的連接、離線操作和網(wǎng)絡(luò)故障等問題。
04
物聯(lián)網(wǎng)數(shù)據(jù)安全與隱私問題
物聯(lián)網(wǎng)IAM往往還涉及到大量不斷生成的傳感器數(shù)據(jù),這些數(shù)據(jù)可能是非結(jié)構(gòu)化的,而且需要在實(shí)時(shí)或接近實(shí)時(shí)的情況下處理。
這種始終在線、近乎實(shí)時(shí)的數(shù)據(jù)分析處理,又會(huì)帶來(lái)更大的安全與控制問題。一旦這些海量設(shè)備使用的控制權(quán)落入壞人之手,可能會(huì)被武器化/用于違背計(jì)劃本意的用途,帶來(lái)巨大的破壞性甚至毀滅性后果。
此外,考慮連接到物聯(lián)網(wǎng)的個(gè)人物聯(lián)網(wǎng)設(shè)備,這些數(shù)據(jù)的共享處理又會(huì)涉及個(gè)人隱私安全問題。
面對(duì)上述物聯(lián)網(wǎng)技術(shù)帶來(lái)的種種新特征,IAM技術(shù)要如何進(jìn)一步發(fā)展進(jìn)化,從而堅(jiān)守其作為網(wǎng)絡(luò)空間第一道安全“門檻”的重要意義呢?
以下是我個(gè)人的一些觀察與見解:
整體來(lái)看,要承載如此大規(guī)模數(shù)量且動(dòng)態(tài)變化的物聯(lián)網(wǎng)設(shè)備,物聯(lián)網(wǎng)IAM需要在功能性和非功能性兩大維度,具備相應(yīng)的能力:
物聯(lián)網(wǎng)IAM功能性能力
1. IoT身份的全生命周期管理
對(duì)于IoT設(shè)備從被制造出廠一直到下線銷毀,IAM需進(jìn)行全程的身份標(biāo)識(shí)跟蹤,并記錄各個(gè)過(guò)程的行為和狀態(tài),包括設(shè)備注冊(cè)、唯一身份標(biāo)識(shí)寫入、設(shè)備變更、設(shè)備下線、銷毀等。
2. IoT的身份驗(yàn)證
由于IoT中的設(shè)備和傳感器極易受到攻擊,因此強(qiáng)化身份驗(yàn)證至關(guān)重要。多因素身份驗(yàn)證,如生物識(shí)別、智能卡或令牌等,可能在IoT設(shè)備和用戶身份驗(yàn)證中更廣泛使用。同時(shí),IoT還會(huì)涉及邊緣計(jì)算,其中數(shù)據(jù)在設(shè)備本地進(jìn)行處理。IAM系統(tǒng)需要適應(yīng)邊緣設(shè)備上的身份驗(yàn)證需求,以確保數(shù)據(jù)在邊緣處理過(guò)程中受到保護(hù)。
3. IoT的訪問控制
在訪問控制決策上會(huì)變得非常復(fù)雜,甚至受限于特定的設(shè)備版本、一天中的特定時(shí)間和其他約束條件等。物聯(lián)網(wǎng)下的任何IAM系統(tǒng)都必須能夠支持快速并精細(xì)地允許/禁止共享設(shè)備和信息的動(dòng)態(tài)訪問控制環(huán)境,實(shí)時(shí)調(diào)整訪問控制策略,以適應(yīng)設(shè)備狀態(tài)的變化,確保只有合適的設(shè)備或用戶可以訪問數(shù)據(jù)或控制設(shè)備。
而為了進(jìn)一步簡(jiǎn)化設(shè)備的管理與維護(hù),IAM系統(tǒng)要與自主設(shè)備管理技術(shù)集成,從而使IoT設(shè)備更加智能,能夠自行管理其身份和訪問控制。
物聯(lián)網(wǎng)IAM非功能性能力
1. IoT身份平臺(tái)的云原生化
未來(lái)物聯(lián)網(wǎng)下的IAM基礎(chǔ)設(shè)施在設(shè)計(jì)上必須根據(jù)組織最終將支持的設(shè)備數(shù)量進(jìn)行隨需擴(kuò)展,這個(gè)數(shù)字可能比現(xiàn)有的高出幾個(gè)數(shù)量級(jí)。
所以,IAM基礎(chǔ)底座,必須在高可用、高擴(kuò)展、兼容性等能力上進(jìn)一步提升,并能與云服務(wù)集成,從而更好地支持IoT設(shè)備的身份驗(yàn)證、注冊(cè)等,包括使用證書、令牌或其他身份驗(yàn)證機(jī)制,以確保設(shè)備的唯一身份。
2. 超大規(guī)模的認(rèn)證邊緣化
物理網(wǎng)設(shè)備指數(shù)增長(zhǎng)的情況,靠中心化認(rèn)證系統(tǒng)進(jìn)行集中認(rèn)證已經(jīng)變得越來(lái)越吃力,需要借助邊緣計(jì)算的技術(shù)能力,把海量IoT設(shè)備的認(rèn)證分散到各個(gè)邊緣系統(tǒng)和組件,保障IoT設(shè)備要求的快速響應(yīng)特征;
3. 非連續(xù)性特征的影子化
針對(duì)一些非智能類IoT設(shè)備或處于惡劣環(huán)境下的設(shè)備,無(wú)法實(shí)時(shí)并連續(xù)的接入互聯(lián)網(wǎng),需要利用影子設(shè)備的技術(shù),把顯示世界的IoT設(shè)備復(fù)刻到數(shù)字世界形成影子設(shè)備,可以更好的從中心對(duì)影子設(shè)備進(jìn)行維護(hù)和管理以及指令的下達(dá)。
此外,為進(jìn)一步確保IoT設(shè)備和數(shù)據(jù)的完整性和安全性,IAM系統(tǒng)還需要集成智能合同和區(qū)塊鏈等技術(shù),用于建立更高信任,提供更強(qiáng)的安全性和可驗(yàn)證性,從而更有效的應(yīng)對(duì)個(gè)人隱私保護(hù)問題。
隨著技術(shù)的不斷發(fā)展與完善,杰勒恩特提出的“鏡像世界”還會(huì)遠(yuǎn)嗎?當(dāng)現(xiàn)實(shí)世界一步步被軟件的數(shù)字模擬所取代,當(dāng)一切都有一個(gè)數(shù)字孿生體,并被賦予一個(gè)唯一身份,IAM技術(shù)又會(huì)進(jìn)化到什么程度?
顯然,我們都知道未來(lái)會(huì)朝著“YES”的方向前行。我們也都應(yīng)該知道,這個(gè)融合了真實(shí)與虛擬的鏡像世界,一方面給我們的生活、工作、娛樂等帶來(lái)了無(wú)限的可能性與想象空間;
但與此同時(shí),也會(huì)帶來(lái)各種安全問題,甚至對(duì)人產(chǎn)生生理和心理影響。這點(diǎn),我們已經(jīng)在當(dāng)下的網(wǎng)絡(luò)世界中深刻體會(huì)到了。
鏡像世界肯定不遠(yuǎn)了,IAM技術(shù)肯定也會(huì)進(jìn)一步進(jìn)化的。你是否做好了準(zhǔn)備,無(wú)論是從技術(shù)維度還是心理維度?
以上就是本期全部?jī)?nèi)容,我們下期內(nèi)容再見,也歡迎你在文末留言,對(duì)本期內(nèi)容進(jìn)行探討。