以下文章來源于安全喵喵站 ,作者喵醬
網(wǎng)絡(luò)作為安全邊界的時(shí)代早已過去。隨著公司越來越多地將數(shù)據(jù)和運(yùn)營轉(zhuǎn)移到云端,它們也必須保護(hù)每個(gè)訪問點(diǎn)。在今天分布式的勞動(dòng)力環(huán)境下,這可能包括來自世界各地的設(shè)備和IP地址、軟件即服務(wù)(SaaS)工具以及允許使用個(gè)人計(jì)算機(jī)工作的自帶設(shè)備(BYOD)政策。
大多數(shù)組織都處于數(shù)字轉(zhuǎn)型或云遷移的某個(gè)階段——根據(jù)Gartner的預(yù)測(cè),到2026年,預(yù)計(jì)75%的組織將采用依賴云的數(shù)字轉(zhuǎn)型模式,而麥肯錫估計(jì),云采用可能在2030年為全球最大的2000家公司帶來3萬億美元的收益。
因此,如果網(wǎng)絡(luò)安全在基于云的企業(yè)中已經(jīng)過時(shí),那么什么來取而代之呢?
隨著公司越來越依賴云來運(yùn)營和存儲(chǔ)敏感數(shù)據(jù),構(gòu)建強(qiáng)大的身份管理計(jì)劃至關(guān)重要,以確保正確的用戶和設(shè)備能夠安全訪問正確的文件和應(yīng)用程序。今天的80%網(wǎng)絡(luò)攻擊涉及基于身份的技術(shù),而這些類型的妥協(xié)可能會(huì)使攻擊者混入目標(biāo)環(huán)境,就像一個(gè)正常的有效用戶一樣。通過專注于身份為先的安全策略,當(dāng)今的企業(yè)可以更好地適應(yīng)和抵御現(xiàn)代攻擊者和技術(shù)。
我將解釋現(xiàn)代企業(yè)身份管理計(jì)劃的基本原理,以及任何創(chuàng)始人或安全領(lǐng)導(dǎo)者如何開始為他們的業(yè)務(wù)構(gòu)建這樣一個(gè)計(jì)劃。
什么是企業(yè)身份?
身份代表了您組織的技術(shù)接觸點(diǎn)的不同方面,包括用戶、設(shè)備、應(yīng)用程序和其他系統(tǒng)。因此,企業(yè)身份是管理和為這些實(shí)體提供對(duì)您環(huán)境中資源的訪問的整體過程。
在考慮您的整體企業(yè)身份架構(gòu)時(shí),您將希望構(gòu)建一個(gè)涉及三個(gè)主要維度的策略:不同類型的身份、身份生命周期以及身份治理和管理。
1.身份類型:身份可以映射到人類、設(shè)備和軟件。
人類身份包括您的工作人員,包括全職員工、合同工和顧問。本文將重點(diǎn)關(guān)注人類身份,但許多概念廣泛適用于所有類型的身份。
設(shè)備身份涵蓋了機(jī)器,如筆記本電腦、服務(wù)器或手機(jī),無論是物理設(shè)備、虛擬設(shè)備還是容器化設(shè)備。
非人類和軟件身份涵蓋了服務(wù)賬戶、API密鑰、應(yīng)用程序和服務(wù)(通常由證書表示)以及共享的管理賬戶。
2.身份生命周期指的是數(shù)字身份的始發(fā)、中間和終結(jié)階段——包括創(chuàng)建、持續(xù)運(yùn)營和管理以及取消權(quán)限的過程,取消權(quán)限是指將用戶、設(shè)備或軟件對(duì)公司數(shù)據(jù)的訪問權(quán)移除的過程。
3.身份治理和管理是指管理身份生命周期的一組工具、流程和團(tuán)隊(duì),它將反映組織的文化、風(fēng)險(xiǎn)承受能力、合規(guī)性和法規(guī)義務(wù)。強(qiáng)大的身份管理計(jì)劃始終保持活躍:對(duì)于員工來說,從入職到離職;對(duì)于設(shè)備和軟件,包括更替和遷移期間;對(duì)于所有身份類型,持續(xù)監(jiān)控和分析報(bào)告。
這些維度之間的相互作用如下圖所示:
為何公司應(yīng)現(xiàn)代化其企業(yè)身份管理方法?
企業(yè)安全的傳統(tǒng)方式是信任所有位于網(wǎng)絡(luò)內(nèi)部的用戶和設(shè)備,只要它們通過了初步的一兩個(gè)檢查點(diǎn),就像護(hù)照控制、或者持有門票和身份證進(jìn)入音樂會(huì)場(chǎng)地一樣。但是今天的企業(yè)擁有遠(yuǎn)不止一個(gè)入口點(diǎn)。多達(dá)98%的使用公共云服務(wù)的企業(yè)采用了多云戰(zhàn)略,這意味著它們已經(jīng)使用或計(jì)劃使用至少兩個(gè)云基礎(chǔ)設(shè)施提供商。除了基礎(chǔ)設(shè)施,大多數(shù)企業(yè)還使用幾十個(gè)甚至幾百個(gè)不同的SaaS應(yīng)用程序。
云基礎(chǔ)設(shè)施和SaaS的采用使公司能夠快速創(chuàng)新和實(shí)施新功能,但也帶來了一系列新的安全問題,不斷壯大的企業(yè)必須積極解決這些問題。
以下是重新思考企業(yè)身份管理方法并使其更為現(xiàn)代化的四個(gè)主要原因:
1.為了支持現(xiàn)代技術(shù)和混合工作環(huán)境的現(xiàn)實(shí)。在今天適應(yīng)遠(yuǎn)程工作的員工隊(duì)伍中,幾乎可以在任何地方、任何設(shè)備上使用幾乎無處不在的SaaS應(yīng)用程序來工作。強(qiáng)大的企業(yè)身份管理計(jì)劃支持各種工作設(shè)置,確保員工可以在任何地方訪問應(yīng)用程序,無論是在公司總部辦公室、混合設(shè)置還是完全遠(yuǎn)程工作。即使是希望保持辦公室文化的組織,也會(huì)面臨身份管理方面的挑戰(zhàn),無論是確保生病的員工能夠在家工作,還是技術(shù)支持承包商能夠遠(yuǎn)程訪問您用戶的桌面。
2.為了改善最終用戶體驗(yàn)?,F(xiàn)代化的身份架構(gòu)不僅使訪問公司數(shù)據(jù)更加安全,還更簡化了員工和用戶的訪問過程——在安全性和用戶體驗(yàn)兩方面的改進(jìn)機(jī)會(huì)對(duì)于安全團(tuán)隊(duì)和最終用戶來說都是雙贏。
3.為了保護(hù)免受最新的安全威脅。當(dāng)今的威脅和攻擊者正在集中攻擊身份,通過竊取會(huì)話、釣魚獲取憑據(jù)、攻擊多因素身份驗(yàn)證(MFA)、SIM交換和攻擊單一登錄(SSO)。如果權(quán)限設(shè)置不正確,攻擊者還可以通過簡單的API調(diào)用創(chuàng)建和銷毀云環(huán)境。
4.為了實(shí)現(xiàn)朝著零信任的轉(zhuǎn)變。2021年5月,拜登政府通過行政命令14028號(hào)指示美國聯(lián)邦機(jī)構(gòu)采用零信任網(wǎng)絡(luò)安全原則。而且,許多公司已經(jīng)朝著零信任架構(gòu)邁出了堅(jiān)實(shí)的步伐。零信任原則規(guī)定,不應(yīng)自動(dòng)信任任何用戶或設(shè)備,因?yàn)槊總€(gè)網(wǎng)絡(luò)內(nèi)外都可能存在潛在的攻擊者。零信任采用者要求在訪問資源時(shí)不斷重新驗(yàn)證身份。
企業(yè)身份現(xiàn)代化的不同階段是什么?
您對(duì)身份管理計(jì)劃所做的任何投資都是向前邁出的一步。但考慮到企業(yè)身份架構(gòu)有多個(gè)方面,確定正確的優(yōu)先順序可能會(huì)有困難。與任何其他安全投資一樣,對(duì)身份的投資有一個(gè)邏輯的發(fā)展過程——首先要建立基本功能和能力的基礎(chǔ),然后隨著公司的成熟,這些計(jì)劃也會(huì)擴(kuò)展。
為了幫助構(gòu)建這個(gè)旅程,有助于考慮一系列特性,這些特性與成熟度曲線相對(duì)應(yīng)。就像一棵成長的植物一樣,我建議將身份現(xiàn)代化分為三個(gè)關(guān)鍵的發(fā)展階段——種子、發(fā)芽和開花。首先,您將創(chuàng)建您的身份管理計(jì)劃,然后幫助它成長,最后支持其成熟。盡管這種方法不包括所有可能的身份功能,但旨在提供一個(gè)可用的模型,用于規(guī)劃和實(shí)施企業(yè)身份戰(zhàn)略。
我們將使用"種子Seed"(形成)、"發(fā)芽Sprout"(進(jìn)展)和"開花Bloom"(高級(jí))的框架來看待這個(gè)成熟度曲線和實(shí)施進(jìn)展。
將您的人力資源信息系統(tǒng)(HRIS)與身份基礎(chǔ)設(shè)施集成,以支持在員工和合同工入職時(shí)自動(dòng)提供身份,以及在離職時(shí)取消權(quán)限。
將您的身份存儲(chǔ)集中到單一的身份提供者(IdP)—作為員工身份的真實(shí)來源。此過程可以從識(shí)別需要遷移的身份孤立系統(tǒng)開始。
收集您的員工訪問的資源的上下文信息,例如SaaS應(yīng)用程序、云基礎(chǔ)設(shè)施、數(shù)據(jù)存儲(chǔ)和定制應(yīng)用程序等。擁有一個(gè)按使用這些資源的團(tuán)隊(duì)相互關(guān)聯(lián)的資源清單將有助于您構(gòu)建您的身份管理計(jì)劃。
一旦您的身份管理計(jì)劃的基礎(chǔ)就位,現(xiàn)在是時(shí)候完善您的計(jì)劃運(yùn)營、加強(qiáng)安全措施,并將身份作為公司綜合安全策略的焦點(diǎn)。發(fā)芽階段的關(guān)鍵優(yōu)先事項(xiàng)包括:
在所有資產(chǎn)上啟用無處不在的單一登錄(SSO)。SSO簡化了您員工的訪問體驗(yàn),并通過消除身份孤立和不同的憑證來提高安全性。
強(qiáng)制執(zhí)行多因素身份驗(yàn)證(MFA)。MFA提供了額外的保護(hù),防止了與被盜憑據(jù)相關(guān)的風(fēng)險(xiǎn)。請(qǐng)注意,MFA的安全強(qiáng)度有不同級(jí)別,您可以根據(jù)需要和能力的變化進(jìn)行調(diào)整,例如,基于短信或文本消息的MFA比FIDO2標(biāo)準(zhǔn)要弱,后者包括無密碼的身份驗(yàn)證方法,如Apple Touch ID和Face ID。
通過秘密管理和特權(quán)訪問管理(PAM)來管理共享和特權(quán)身份。某些身份具有更高的價(jià)值,并由多個(gè)方使用,這些功能可以讓您更安全、更高效地支持這些類型的身份和訪問。
集中請(qǐng)求和審查對(duì)企業(yè)資源的訪問。有效管理不斷變化的訪問需求對(duì)于提供積極的員工體驗(yàn)與安全性至關(guān)重要,確保訪問權(quán)限沒有不必要的過度授權(quán),以及滿足您的合規(guī)性義務(wù)。
部署密碼管理器,以改善整個(gè)企業(yè)的密碼衛(wèi)生狀況。
隨著您的公司成熟,您的身份管理計(jì)劃也在不斷發(fā)展。在開花階段,是時(shí)候最大化和提升您的身份投資和能力了。在這個(gè)階段,您將利用身份數(shù)據(jù)來實(shí)現(xiàn)各種目標(biāo),您的員工在使用身份系統(tǒng)時(shí)應(yīng)該變得越來越復(fù)雜和用戶友好。開花階段的關(guān)鍵議程項(xiàng)目包括:
支持持續(xù)和有條件的訪問控制,以提高安全性并支持零信任。當(dāng)成熟的組織進(jìn)行身份驗(yàn)證和授權(quán)決策時(shí),它們可以利用多個(gè)信號(hào),包括訪問時(shí)間和位置、設(shè)備是否正在活動(dòng)使用以及歷史設(shè)備活動(dòng)。如果您的團(tuán)隊(duì)在進(jìn)行授權(quán)之前識(shí)別出了“黃燈”,您可以實(shí)施功能,例如升級(jí)身份驗(yàn)證或其他證明身份的機(jī)制。
利用身份日志和數(shù)據(jù)支持檢測(cè)和響應(yīng)工作,包括更復(fù)雜的用例,如異常檢測(cè)和行為分析。這些功能可以幫助識(shí)別各種問題,從被盜的身份到內(nèi)部威脅到過度授權(quán)的訪問。
自動(dòng)化和集中身份相關(guān)的證據(jù)和數(shù)據(jù),以支持審計(jì)和調(diào)查。
提供自動(dòng)化的、自助式的企業(yè)資源訪問請(qǐng)求和授權(quán)。您了解您的員工或合同工需要訪問的系統(tǒng)、應(yīng)用程序和數(shù)據(jù),并能夠根據(jù)需要在員工或合同工入職的第一天、角色變化或業(yè)務(wù)需求時(shí)提供訪問權(quán)限。
啟用最小權(quán)限和即時(shí)訪問(JIT)跨環(huán)境,以確保用戶僅獲得他們需要的訪問權(quán)限,過度授權(quán)的訪問不會(huì)導(dǎo)致安全問題。此外,具有與最小權(quán)限對(duì)齊的精細(xì)調(diào)整權(quán)限為檢測(cè)和響應(yīng)提供了高保真度信號(hào)的基礎(chǔ)。
通過使用通行證、生物特征或其他方式提供無密碼體驗(yàn),可以顯著改善用戶體驗(yàn),并有效抵御釣魚和其他對(duì)憑據(jù)的攻擊。雖然通行證支持尚未普及,但一些在線服務(wù)、瀏覽器和密碼管理器已經(jīng)實(shí)施了支持,未來幾年肯定會(huì)看到更廣泛的兼容性。
通過提供單一的手段來表達(dá)、配置和授予權(quán)限,來集中權(quán)限和權(quán)利,無論是在云上還是在本地,以支持企業(yè)資產(chǎn)。
相對(duì)徹底變革,專注過渡本身
就像種子、發(fā)芽和開花階段一樣,將任何網(wǎng)絡(luò)安全現(xiàn)代化項(xiàng)目分解成逐漸進(jìn)行的階段非常重要——這種實(shí)施結(jié)構(gòu)有助于使變化更加具體和可操作,每個(gè)個(gè)體行動(dòng)都有助于實(shí)現(xiàn)長期戰(zhàn)略。例如,作為一名創(chuàng)始人或首席信息安全官(CISO),您可能計(jì)劃首先在您的組織承諾進(jìn)行企業(yè)身份現(xiàn)代化時(shí)進(jìn)行一些戰(zhàn)術(shù)性的轉(zhuǎn)變。
這些過渡可能包括: