以下文章來源于安全喵喵站 ,作者喵醬
網(wǎng)絡(luò)作為安全邊界的時代早已過去。隨著公司越來越多地將數(shù)據(jù)和運營轉(zhuǎn)移到云端,它們也必須保護每個訪問點。在今天分布式的勞動力環(huán)境下,這可能包括來自世界各地的設(shè)備和IP地址、軟件即服務(SaaS)工具以及允許使用個人計算機工作的自帶設(shè)備(BYOD)政策。
大多數(shù)組織都處于數(shù)字轉(zhuǎn)型或云遷移的某個階段——根據(jù)Gartner的預測,到2026年,預計75%的組織將采用依賴云的數(shù)字轉(zhuǎn)型模式,而麥肯錫估計,云采用可能在2030年為全球最大的2000家公司帶來3萬億美元的收益。
因此,如果網(wǎng)絡(luò)安全在基于云的企業(yè)中已經(jīng)過時,那么什么來取而代之呢?
隨著公司越來越依賴云來運營和存儲敏感數(shù)據(jù),構(gòu)建強大的身份管理計劃至關(guān)重要,以確保正確的用戶和設(shè)備能夠安全訪問正確的文件和應用程序。今天的80%網(wǎng)絡(luò)攻擊涉及基于身份的技術(shù),而這些類型的妥協(xié)可能會使攻擊者混入目標環(huán)境,就像一個正常的有效用戶一樣。通過專注于身份為先的安全策略,當今的企業(yè)可以更好地適應和抵御現(xiàn)代攻擊者和技術(shù)。
我將解釋現(xiàn)代企業(yè)身份管理計劃的基本原理,以及任何創(chuàng)始人或安全領(lǐng)導者如何開始為他們的業(yè)務構(gòu)建這樣一個計劃。
什么是企業(yè)身份?
身份代表了您組織的技術(shù)接觸點的不同方面,包括用戶、設(shè)備、應用程序和其他系統(tǒng)。因此,企業(yè)身份是管理和為這些實體提供對您環(huán)境中資源的訪問的整體過程。
在考慮您的整體企業(yè)身份架構(gòu)時,您將希望構(gòu)建一個涉及三個主要維度的策略:不同類型的身份、身份生命周期以及身份治理和管理。
1.身份類型:身份可以映射到人類、設(shè)備和軟件。
人類身份包括您的工作人員,包括全職員工、合同工和顧問。本文將重點關(guān)注人類身份,但許多概念廣泛適用于所有類型的身份。
設(shè)備身份涵蓋了機器,如筆記本電腦、服務器或手機,無論是物理設(shè)備、虛擬設(shè)備還是容器化設(shè)備。
非人類和軟件身份涵蓋了服務賬戶、API密鑰、應用程序和服務(通常由證書表示)以及共享的管理賬戶。
2.身份生命周期指的是數(shù)字身份的始發(fā)、中間和終結(jié)階段——包括創(chuàng)建、持續(xù)運營和管理以及取消權(quán)限的過程,取消權(quán)限是指將用戶、設(shè)備或軟件對公司數(shù)據(jù)的訪問權(quán)移除的過程。
3.身份治理和管理是指管理身份生命周期的一組工具、流程和團隊,它將反映組織的文化、風險承受能力、合規(guī)性和法規(guī)義務。強大的身份管理計劃始終保持活躍:對于員工來說,從入職到離職;對于設(shè)備和軟件,包括更替和遷移期間;對于所有身份類型,持續(xù)監(jiān)控和分析報告。
這些維度之間的相互作用如下圖所示:
為何公司應現(xiàn)代化其企業(yè)身份管理方法?
企業(yè)安全的傳統(tǒng)方式是信任所有位于網(wǎng)絡(luò)內(nèi)部的用戶和設(shè)備,只要它們通過了初步的一兩個檢查點,就像護照控制、或者持有門票和身份證進入音樂會場地一樣。但是今天的企業(yè)擁有遠不止一個入口點。多達98%的使用公共云服務的企業(yè)采用了多云戰(zhàn)略,這意味著它們已經(jīng)使用或計劃使用至少兩個云基礎(chǔ)設(shè)施提供商。除了基礎(chǔ)設(shè)施,大多數(shù)企業(yè)還使用幾十個甚至幾百個不同的SaaS應用程序。
云基礎(chǔ)設(shè)施和SaaS的采用使公司能夠快速創(chuàng)新和實施新功能,但也帶來了一系列新的安全問題,不斷壯大的企業(yè)必須積極解決這些問題。
以下是重新思考企業(yè)身份管理方法并使其更為現(xiàn)代化的四個主要原因:
1.為了支持現(xiàn)代技術(shù)和混合工作環(huán)境的現(xiàn)實。在今天適應遠程工作的員工隊伍中,幾乎可以在任何地方、任何設(shè)備上使用幾乎無處不在的SaaS應用程序來工作。強大的企業(yè)身份管理計劃支持各種工作設(shè)置,確保員工可以在任何地方訪問應用程序,無論是在公司總部辦公室、混合設(shè)置還是完全遠程工作。即使是希望保持辦公室文化的組織,也會面臨身份管理方面的挑戰(zhàn),無論是確保生病的員工能夠在家工作,還是技術(shù)支持承包商能夠遠程訪問您用戶的桌面。
2.為了改善最終用戶體驗?,F(xiàn)代化的身份架構(gòu)不僅使訪問公司數(shù)據(jù)更加安全,還更簡化了員工和用戶的訪問過程——在安全性和用戶體驗兩方面的改進機會對于安全團隊和最終用戶來說都是雙贏。
3.為了保護免受最新的安全威脅。當今的威脅和攻擊者正在集中攻擊身份,通過竊取會話、釣魚獲取憑據(jù)、攻擊多因素身份驗證(MFA)、SIM交換和攻擊單一登錄(SSO)。如果權(quán)限設(shè)置不正確,攻擊者還可以通過簡單的API調(diào)用創(chuàng)建和銷毀云環(huán)境。
4.為了實現(xiàn)朝著零信任的轉(zhuǎn)變。2021年5月,拜登政府通過行政命令14028號指示美國聯(lián)邦機構(gòu)采用零信任網(wǎng)絡(luò)安全原則。而且,許多公司已經(jīng)朝著零信任架構(gòu)邁出了堅實的步伐。零信任原則規(guī)定,不應自動信任任何用戶或設(shè)備,因為每個網(wǎng)絡(luò)內(nèi)外都可能存在潛在的攻擊者。零信任采用者要求在訪問資源時不斷重新驗證身份。
企業(yè)身份現(xiàn)代化的不同階段是什么?
您對身份管理計劃所做的任何投資都是向前邁出的一步。但考慮到企業(yè)身份架構(gòu)有多個方面,確定正確的優(yōu)先順序可能會有困難。與任何其他安全投資一樣,對身份的投資有一個邏輯的發(fā)展過程——首先要建立基本功能和能力的基礎(chǔ),然后隨著公司的成熟,這些計劃也會擴展。
為了幫助構(gòu)建這個旅程,有助于考慮一系列特性,這些特性與成熟度曲線相對應。就像一棵成長的植物一樣,我建議將身份現(xiàn)代化分為三個關(guān)鍵的發(fā)展階段——種子、發(fā)芽和開花。首先,您將創(chuàng)建您的身份管理計劃,然后幫助它成長,最后支持其成熟。盡管這種方法不包括所有可能的身份功能,但旨在提供一個可用的模型,用于規(guī)劃和實施企業(yè)身份戰(zhàn)略。
我們將使用"種子Seed"(形成)、"發(fā)芽Sprout"(進展)和"開花Bloom"(高級)的框架來看待這個成熟度曲線和實施進展。
將您的人力資源信息系統(tǒng)(HRIS)與身份基礎(chǔ)設(shè)施集成,以支持在員工和合同工入職時自動提供身份,以及在離職時取消權(quán)限。
將您的身份存儲集中到單一的身份提供者(IdP)—作為員工身份的真實來源。此過程可以從識別需要遷移的身份孤立系統(tǒng)開始。
收集您的員工訪問的資源的上下文信息,例如SaaS應用程序、云基礎(chǔ)設(shè)施、數(shù)據(jù)存儲和定制應用程序等。擁有一個按使用這些資源的團隊相互關(guān)聯(lián)的資源清單將有助于您構(gòu)建您的身份管理計劃。
一旦您的身份管理計劃的基礎(chǔ)就位,現(xiàn)在是時候完善您的計劃運營、加強安全措施,并將身份作為公司綜合安全策略的焦點。發(fā)芽階段的關(guān)鍵優(yōu)先事項包括:
在所有資產(chǎn)上啟用無處不在的單一登錄(SSO)。SSO簡化了您員工的訪問體驗,并通過消除身份孤立和不同的憑證來提高安全性。
強制執(zhí)行多因素身份驗證(MFA)。MFA提供了額外的保護,防止了與被盜憑據(jù)相關(guān)的風險。請注意,MFA的安全強度有不同級別,您可以根據(jù)需要和能力的變化進行調(diào)整,例如,基于短信或文本消息的MFA比FIDO2標準要弱,后者包括無密碼的身份驗證方法,如Apple Touch ID和Face ID。
通過秘密管理和特權(quán)訪問管理(PAM)來管理共享和特權(quán)身份。某些身份具有更高的價值,并由多個方使用,這些功能可以讓您更安全、更高效地支持這些類型的身份和訪問。
集中請求和審查對企業(yè)資源的訪問。有效管理不斷變化的訪問需求對于提供積極的員工體驗與安全性至關(guān)重要,確保訪問權(quán)限沒有不必要的過度授權(quán),以及滿足您的合規(guī)性義務。
部署密碼管理器,以改善整個企業(yè)的密碼衛(wèi)生狀況。
隨著您的公司成熟,您的身份管理計劃也在不斷發(fā)展。在開花階段,是時候最大化和提升您的身份投資和能力了。在這個階段,您將利用身份數(shù)據(jù)來實現(xiàn)各種目標,您的員工在使用身份系統(tǒng)時應該變得越來越復雜和用戶友好。開花階段的關(guān)鍵議程項目包括:
支持持續(xù)和有條件的訪問控制,以提高安全性并支持零信任。當成熟的組織進行身份驗證和授權(quán)決策時,它們可以利用多個信號,包括訪問時間和位置、設(shè)備是否正在活動使用以及歷史設(shè)備活動。如果您的團隊在進行授權(quán)之前識別出了“黃燈”,您可以實施功能,例如升級身份驗證或其他證明身份的機制。
利用身份日志和數(shù)據(jù)支持檢測和響應工作,包括更復雜的用例,如異常檢測和行為分析。這些功能可以幫助識別各種問題,從被盜的身份到內(nèi)部威脅到過度授權(quán)的訪問。
自動化和集中身份相關(guān)的證據(jù)和數(shù)據(jù),以支持審計和調(diào)查。
提供自動化的、自助式的企業(yè)資源訪問請求和授權(quán)。您了解您的員工或合同工需要訪問的系統(tǒng)、應用程序和數(shù)據(jù),并能夠根據(jù)需要在員工或合同工入職的第一天、角色變化或業(yè)務需求時提供訪問權(quán)限。
啟用最小權(quán)限和即時訪問(JIT)跨環(huán)境,以確保用戶僅獲得他們需要的訪問權(quán)限,過度授權(quán)的訪問不會導致安全問題。此外,具有與最小權(quán)限對齊的精細調(diào)整權(quán)限為檢測和響應提供了高保真度信號的基礎(chǔ)。
通過使用通行證、生物特征或其他方式提供無密碼體驗,可以顯著改善用戶體驗,并有效抵御釣魚和其他對憑據(jù)的攻擊。雖然通行證支持尚未普及,但一些在線服務、瀏覽器和密碼管理器已經(jīng)實施了支持,未來幾年肯定會看到更廣泛的兼容性。
通過提供單一的手段來表達、配置和授予權(quán)限,來集中權(quán)限和權(quán)利,無論是在云上還是在本地,以支持企業(yè)資產(chǎn)。
相對徹底變革,專注過渡本身
就像種子、發(fā)芽和開花階段一樣,將任何網(wǎng)絡(luò)安全現(xiàn)代化項目分解成逐漸進行的階段非常重要——這種實施結(jié)構(gòu)有助于使變化更加具體和可操作,每個個體行動都有助于實現(xiàn)長期戰(zhàn)略。例如,作為一名創(chuàng)始人或首席信息安全官(CISO),您可能計劃首先在您的組織承諾進行企業(yè)身份現(xiàn)代化時進行一些戰(zhàn)術(shù)性的轉(zhuǎn)變。
這些過渡可能包括: