Gartner對MIM機器身份管理發展的6個觀點
Gartner日前為數字身份管理繪制了最新版成熟度曲線(Hype Cycle),通過研究該曲線上相關的趨勢預測,可以更好地了解身份訪問管理(IAM) 領域的未來技術發展。報告研究認為,由于網絡威脅形勢和隱私保護要求,企業安全領導人在確保數據得到保護的同時,必須盡快實現數字化時代的企業身份綜合管理,而機器身份管理和物聯網身份驗證已經成為組織數字身份管理的新挑戰
圖:Gartner 2022版數字身份成熟度曲線
本次報告重點強調了數字身份治理中的機器身份管理和物聯網身份驗證。機器身份是指確立數字設備訪問及交易活動有效性的數字密鑰、權證和證書等。機器身份管理(MIM)在2020年Gartner身份訪問管理成熟度曲線中首次被提及,此后作為一項網絡安全計劃備受關注。
在本次發布的成熟度曲線中,研究人員認為機器身份管理技術仍處于概念炒作的泡沫期,雖然企業組織長期以來一直注重保護訪問系統的人類用戶的身份,但目前整體還缺乏在整個企業中實現機器身份管控的有效策略和技術手段:
機器身份威脅正在快速增長
“機器”的定義已變得相當廣泛,不僅包括筆記本電腦和服務器等設備,還包括API組件、應用程序、云基礎架構和容器等等。機器身份的數量目前與人類身份平均比例為10:1,并且還在繼續增長。雖然確立數字身份的工具已相當成熟,但管理這些身份帶來了相當大的挑戰,手動管理時尤其困難重重。
機器身份需差異化管理
攻擊者已經充分了解機器身份是企業中安全防護中的一大短板,這使得機器身份成為經常被利用的漏洞。針對機器身份漏洞的新惡意軟件與日俱增,針對證書的惡意軟件攻擊數量也在不斷增加。從2017年到2021年,這類攻擊數量增長幅度超過400%;2020年,50%的云安全事件是由于機器身份和權限管理不善所引發的。Gartner在報告中表示,機器身份和傳統人類身份在可觀測性、所有權和自動化分配等方面存在明顯差異。組織必須要盡快了解并認知這些差異,使用新型的身份識別技術手段,才能有效地實施機器身份管理戰略。
物聯網應用是機器身份管理的重要挑戰
物聯網產品為機器身份管理帶來了全新的需求和挑戰,將數字化基礎設施建設模式引入到物聯網應用流程中,可以生成實時生產數據,提醒操作員注意隨時產生的維護需求,并持續性跟蹤資產運營狀態等。Gartner研究認為,物聯網設備的廣泛應用正帶來新的威脅途徑。可靠的機器身份管理策略則是防止物聯網安全事件發生的基礎性措施。這將有助于防止針對重要工業設備的攻擊,避免災難性事件及后果。
物聯網領域在合規和審計方面都有著獨特的需求和挑戰。雖然目前公共事業管理部門在定義物聯網身份驗證方法方面取得了一定進展,但仍有大量工作要做。報告研究發現,大多數工業物聯網(IIoT)系統都是獨立的,通過使用原生方式進行身份驗證。此外,由于某些物聯網設備在資源或功能方面受限,計算能力低、安全存儲容量有限,因此很多目前常見的身份驗證方法不是很適合。Gartner建議,應盡快評估和制定支持物聯網領域中各類設備的身份驗證的新標準和技術框架。
機器身份管理需要支持性基礎設施提供保障
不僅是種類和數量方面的挑戰,不同組織和業務部門對智能機器設施也有著多樣化的應用場景。這種廣泛的使用模式需要一套集中的管理標準,讓機器身份管理工作在整個組織范圍內能夠保持一致,同時允許部門以適合方式靈活地實施機器身份管理。在成熟度曲線報告中,提到了“先有雞還是先有蛋”的問題,即“用戶在觀望相關機器身份管理標準是否會成為主流方式,而身份管理服務商卻在觀望用戶的物聯網系統是否會得到廣泛地應用”。
報告建議,應該先確立身份發現流程,從而確定機器身份的整體相互依賴關系。一些新的機器身份管理平臺和服務模型使組織更容易管理機器身份和公鑰基礎設施。這些集中式平臺為整個企業的機身身份管理活動提供了一個決策中心,并為自動化管理奠定了基礎。借助創新的技術工具,可以快速提升組織開展機器身份管理工作的效率。在過去,每個管理機器身份的業務部門都需要自己的證書頒發機構(CA),并設置專用的服務器。而現代機器身份管理平臺可以在一臺服務器上托管多個CA。這些產品預裝了數據庫和集成,讓用戶可以避免供應商膨脹(vendor bloat)。PKI服務產品讓組織可以借助高效的SaaS訂閱模型,完全外包機器身份管理工作。
為建設零信任安全奠定基礎
開展零信任架構建設是企業安全領域的最新趨勢。零信任是一種策略,而不是一種工具。為了在不阻礙業務流程的情況下啟用這項策略,組織必須要部署有效地管理機器身份的架構和框架。因為在以身份為中心的安全模型構建中,人員和機器身份將是安全策略創建的核心,具有基于分配屬性的訪問控制和策略。在這種情況下,訪問企業數據和資源的前提就是持續性驗證請求用戶或機器的身份及訪問權限。
將機器身份管理“左移”
敏捷開發和DevOps流程正在大量使用,從安全的角度來看,這意味著更快的數字請求和應用速度,它們必須得到保護,又不能成為瓶頸。在早期階段就讓安全、測試和合規等方面的負責人參與系統設計項目,這種方法被稱為DevSecOps。借助適當的工具,DevOps的關鍵原則(比如自動化)能夠被擴展到安全和機器身份管理方面。
