你好,我是茆正華��。歡迎來到派拉軟件【數(shù)字安全前沿欄目】之解讀《新一代身份和訪問控制管理》第四講�。
想象一下����,當你的衣食住行全部載入物聯(lián)網(wǎng)��,真正的萬物互聯(lián)�,這時候世界會怎么樣��?
我相信很多人會暢想一些科技炫目���、高端智能的美好場景���;同時,肯定也有人會擔憂科幻電影中的人機災難是否會發(fā)生。畢竟,我們已經(jīng)站在了21世紀��,對科技的想象已不再那么貧乏���。
而物聯(lián)網(wǎng)技術的出現(xiàn)與不斷普及�����,又進一步拓展了我們對未來世界的想象!
.jpg)
據(jù)權威數(shù)據(jù)調(diào)查顯示�,2022年底,全球達到 143 億個活躍物聯(lián)網(wǎng)端點;到 2025 年,預計物聯(lián)網(wǎng)連接數(shù)量將超過 300 億�,相當于平均每人近四臺物聯(lián)網(wǎng)設備。
如此龐大規(guī)模的物聯(lián)網(wǎng)設備會帶來一個什么樣的世界呢�?
我們不妨從物聯(lián)網(wǎng)的定義開始探索�����。據(jù)IBM對物聯(lián)網(wǎng)的定義:物聯(lián)網(wǎng)(IoT)是將物理世界和互聯(lián)網(wǎng)緊密連接��,從而更好地管理物理世界。物聯(lián)網(wǎng)是信息技術(IT)和控制技術(OT)的融合,它借助數(shù)據(jù)采集技術和智能網(wǎng)絡對物理世界進行分析、預測和優(yōu)化,創(chuàng)造新的價值。
也就是說��,物聯(lián)網(wǎng)的加入���,會讓數(shù)字世界更加深刻���、直接、廣泛地影響著我們生活的物理世界。那些龐大規(guī)模的物聯(lián)網(wǎng)設備�,作為連接現(xiàn)實的載體,將互聯(lián)網(wǎng)的觸角不斷延伸到物理世界的各個角落,最終讓數(shù)字世界成為物理世界的孿生體�����。
事實也證明�����,物聯(lián)網(wǎng)對物理世界的影響越來越顯著���。我們耳熟能詳?shù)闹腔凵睿òㄎ覀兊囊率匙⌒校⒅腔燮?、工業(yè)自動化��、智慧醫(yī)療�、智慧交通、智慧城市�����、智慧農(nóng)業(yè)�、環(huán)境監(jiān)測等等���,正在現(xiàn)實逐步呈現(xiàn)�。曾經(jīng)在科幻小說或電影里存在的世界,正在被人們用技術一幕幕的搬到現(xiàn)實上演����!
.jpg)
然而,物聯(lián)網(wǎng),這樣一個多元化且復雜的生態(tài)系統(tǒng),囊括了各種傳感器����、設備、網(wǎng)關�、云端服務和應用程序等�。這些設備和組件不僅規(guī)模數(shù)量龐大�����,位置分布全球各地、各角落��,需聯(lián)網(wǎng)且注重實時性�,還涵蓋不同的制造商和協(xié)議、數(shù)據(jù)共享等等�����。
這些都使其管理變得非常復雜���、困難����,并帶來各種安全問題���。例如��,急速擴大的網(wǎng)絡攻擊面�����、更多的潛在漏洞��、隱私安全問題等���。據(jù)Forrester Research在《2023年物聯(lián)網(wǎng)安全狀況》報告調(diào)查顯示:物聯(lián)網(wǎng)設備是報告最多的外部攻擊目標�,比移動設備或計算機受到的攻擊更多�����。
而另一項基于對全球260萬個智能家居采樣的威脅情報���,調(diào)查了近1.2億個物聯(lián)網(wǎng)設備的《2023年物聯(lián)網(wǎng)安全形勢報告》的研究數(shù)據(jù)顯示:物聯(lián)網(wǎng)設備每天在全球范圍內(nèi)產(chǎn)生多達36億起安全事件�。
這意味著每個家庭有20臺聯(lián)網(wǎng)設備,每24小時就會發(fā)生8起網(wǎng)絡攻擊��。而這樣的攻擊數(shù)量還會隨著你的物聯(lián)網(wǎng)設備的增加�����,呈指數(shù)級增長���。
這就是為什么當下的人們在暢想技術帶來的美好智慧化未來的同時���,也在時刻擔憂著技術帶來的潛在安全威脅與破壞性。
.jpg)
那么���,問題來了��,要如何做好物聯(lián)網(wǎng)安全?首先����,我們來看看物聯(lián)網(wǎng)技術帶來了哪些網(wǎng)絡安全新特征:
物聯(lián)網(wǎng)規(guī)模與復雜性問題
眾所周知,物聯(lián)網(wǎng)通常涉及海量的設備�����,而這些設備呈現(xiàn)明顯的分散性���,如地理維度和時間維度的分散、設備類型的分散(不同廠商的傳感器、嵌入式設備�、網(wǎng)關等)���。
這樣龐大��、多樣化的生態(tài)系統(tǒng)進行訪問控制時就非常復雜,需要處理大規(guī)模���、復雜的身份驗證和授權操作等。此外�,還要兼顧跨平臺、跨網(wǎng)絡���、跨地域的兼容性問題。
隨著物聯(lián)網(wǎng)發(fā)展和深入�����,越來越多設備被接入互聯(lián)網(wǎng)。這就意味著要對這些接入的設備進行唯一性識別���,賦予其一一映射的數(shù)字身份標識,并處理龐大數(shù)量設備的身份管理和生命周期管理,包括設備注冊、上線���、替換、下線���、密鑰管理、設備證書等��。
此外���,物聯(lián)網(wǎng)設備面臨著被訪問和訪問其他資源,都需要身份和訪問控制管理����。而許多物聯(lián)網(wǎng)設備還沒有可交互的用戶界面����,需要采用自動化機制幫助身份驗證和授權���。
物聯(lián)網(wǎng)設備連接與網(wǎng)絡問題
物聯(lián)網(wǎng)設備通常連接到不穩(wěn)定的網(wǎng)絡�,可能在某些情況下無法直接訪問�����。因此,與傳統(tǒng)在相對穩(wěn)定的網(wǎng)絡環(huán)境運行的IAM對比,物聯(lián)網(wǎng)IAM需要處理不穩(wěn)定的連接、離線操作和網(wǎng)絡故障等問題。
物聯(lián)網(wǎng)數(shù)據(jù)安全與隱私問題
物聯(lián)網(wǎng)IAM往往還涉及到大量不斷生成的傳感器數(shù)據(jù)�����,這些數(shù)據(jù)可能是非結構化的��,而且需要在實時或接近實時的情況下處理����。
這種始終在線、近乎實時的數(shù)據(jù)分析處理�����,又會帶來更大的安全與控制問題���。一旦這些海量設備使用的控制權落入壞人之手���,可能會被武器化/用于違背計劃本意的用途,帶來巨大的破壞性甚至毀滅性后果。
此外����,考慮連接到物聯(lián)網(wǎng)的個人物聯(lián)網(wǎng)設備,這些數(shù)據(jù)的共享處理又會涉及個人隱私安全問題���。
面對上述物聯(lián)網(wǎng)技術帶來的種種新特征�����,IAM技術要如何進一步發(fā)展進化,從而堅守其作為網(wǎng)絡空間第一道安全“門檻”的重要意義呢�����?
以下是我個人的一些觀察與見解:
整體來看����,要承載如此大規(guī)模數(shù)量且動態(tài)變化的物聯(lián)網(wǎng)設備,物聯(lián)網(wǎng)IAM需要在功能性和非功能性兩大維度��,具備相應的能力:
1. IoT身份的全生命周期管理
對于IoT設備從被制造出廠一直到下線銷毀�����,IAM需進行全程的身份標識跟蹤,并記錄各個過程的行為和狀態(tài)�����,包括設備注冊��、唯一身份標識寫入��、設備變更�����、設備下線����、銷毀等。
2. IoT的身份驗證
由于IoT中的設備和傳感器極易受到攻擊���,因此強化身份驗證至關重要�。多因素身份驗證��,如生物識別�����、智能卡或令牌等,可能在IoT設備和用戶身份驗證中更廣泛使用����。同時,IoT還會涉及邊緣計算���,其中數(shù)據(jù)在設備本地進行處理��。IAM系統(tǒng)需要適應邊緣設備上的身份驗證需求����,以確保數(shù)據(jù)在邊緣處理過程中受到保護��。
3. IoT的訪問控制
在訪問控制決策上會變得非常復雜�,甚至受限于特定的設備版本�����、一天中的特定時間和其他約束條件等���。物聯(lián)網(wǎng)下的任何IAM系統(tǒng)都必須能夠支持快速并精細地允許/禁止共享設備和信息的動態(tài)訪問控制環(huán)境���,實時調(diào)整訪問控制策略,以適應設備狀態(tài)的變化,確保只有合適的設備或用戶可以訪問數(shù)據(jù)或控制設備�����。
而為了進一步簡化設備的管理與維護��,IAM系統(tǒng)要與自主設備管理技術集成����,從而使IoT設備更加智能,能夠自行管理其身份和訪問控制�。
1. IoT身份平臺的云原生化
未來物聯(lián)網(wǎng)下的IAM基礎設施在設計上必須根據(jù)組織最終將支持的設備數(shù)量進行隨需擴展,這個數(shù)字可能比現(xiàn)有的高出幾個數(shù)量級�。
所以,IAM基礎底座����,必須在高可用、高擴展�、兼容性等能力上進一步提升,并能與云服務集成��,從而更好地支持IoT設備的身份驗證��、注冊等����,包括使用證書���、令牌或其他身份驗證機制,以確保設備的唯一身份�����。
2. 超大規(guī)模的認證邊緣化
物理網(wǎng)設備指數(shù)增長的情況,靠中心化認證系統(tǒng)進行集中認證已經(jīng)變得越來越吃力,需要借助邊緣計算的技術能力����,把海量IoT設備的認證分散到各個邊緣系統(tǒng)和組件���,保障IoT設備要求的快速響應特征;
3. 非連續(xù)性特征的影子化
針對一些非智能類IoT設備或處于惡劣環(huán)境下的設備����,無法實時并連續(xù)的接入互聯(lián)網(wǎng)�,需要利用影子設備的技術,把顯示世界的IoT設備復刻到數(shù)字世界形成影子設備�,可以更好的從中心對影子設備進行維護和管理以及指令的下達。
此外����,為進一步確保IoT設備和數(shù)據(jù)的完整性和安全性���,IAM系統(tǒng)還需要集成智能合同和區(qū)塊鏈等技術,用于建立更高信任����,提供更強的安全性和可驗證性,從而更有效的應對個人隱私保護問題��。
隨著技術的不斷發(fā)展與完善����,杰勒恩特提出的“鏡像世界”還會遠嗎?當現(xiàn)實世界一步步被軟件的數(shù)字模擬所取代�����,當一切都有一個數(shù)字孿生體���,并被賦予一個唯一身份���,IAM技術又會進化到什么程度?
顯然���,我們都知道未來會朝著“YES”的方向前行����。我們也都應該知道,這個融合了真實與虛擬的鏡像世界��,一方面給我們的生活�����、工作���、娛樂等帶來了無限的可能性與想象空間��;
但與此同時��,也會帶來各種安全問題�����,甚至對人產(chǎn)生生理和心理影響。這點�����,我們已經(jīng)在當下的網(wǎng)絡世界中深刻體會到了。
鏡像世界肯定不遠了���,IAM技術肯定也會進一步進化的��。你是否做好了準備�����,無論是從技術維度還是心理維度���?
以上就是本期全部內(nèi)容,我們下期內(nèi)容再見���,也歡迎你在文末留言�����,對本期內(nèi)容進行探討����。
.jpg)
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認證IDA
細粒度權限管理xBAC
API安全網(wǎng)關API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務總線
特權訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運維安全
數(shù)據(jù)安全治理
遠程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
熱門文章
7*24小時服務
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權威安全認證
滬公網(wǎng)安備 31011502012922號