Gartner发布2024年网络安全预测 ：IAM 和数据安全相结合，解决长期存在的挑战

安全和风险管理领导者需要采用可组合的数据安全视图。这项研究预测，将数据安全创新应用于痛点和高级用例将有助于组织将其数据用于几乎任何用例。

主要发现

• 在所有云服务模型中，数据安全以及身份和访问管理 (IAM) 的责任均由最终客户承担。

• 由于这两个学科作为客户管理的最重要的安全控制而脱颖而出，因此它们越来越重叠和交织。

• 利用数据安全和 IAM 之间日益增加的重叠仍然具有挑战性，因为这两个以前孤立的学科都有自己的标志性技能和术语。

建议

• 通过将关键数据管理功能和实践纳入 IAM 解决方案的核心要求来优化IAM技术组合。

• 通过将孤立的数据中心控制整合到数据安全平台 (DSP) 中，实施满足重要策略管理和执行要求的数据访问控制，并与流行的数据目录集成。

• 通过识别可从哪些来源获取哪些上下文数据并定义动态的上下文感知策略，确保灵活、可扩展和基于风险的访问。

• 识别数据风险和身份风险，并将它们结合使用作为组织内战略数据安全的主要指令。

战略规划假设

到 2026 年，在 IAM 计划中采用顶级数据实践的组织将实现 IAM 和数据安全计划目标的价值交付时间缩短 40%。

到 2027 年，面临人工智能和数据安全要求的组织将基于策略的访问控制实现标准化，以释放超过 70% 的数据的价值。

到 2027 年，70% 的组织将把数据丢失防护和内部风险管理 (IRM) 规则与 IAM 环境相结合，以更有效地识别可疑行为。

分析

你需要知道什么

数据安全和 IAM 作为网络安全领域中不同的学科而存在。然而，随着越来越多的组织利用云服务（包括最流行的 SaaS 产品），发生了显著的转变。许多公司现在将重要的安全控制（例如管理存储、应用程序和网络的控制）委托给他们选择的云服务提供商 (CSP)。

图 1 说明了基础设施即服务 (IaaS)、平台即服务 (PaaS) 和 SaaS 云模型的安全交接点。切换点在模型的堆栈中向上移动。IaaS 提供最多的控制权，并让客户承担相应的安全责任。SaaS 提供的控制最少，而 CSP 承担大部分安全责任。

图 1：数据安全和 IAM 仍然是客户的持续责任

在这一转变中，值得注意的是，虽然移交了许多安全责任，但数据保护和访问管理仍然是所有云服务交付模型（IaaS、PaaS 和 SaaS）中最终客户的责任。实际上，数据安全和 IAM 始终是客户的核心责任。鉴于这种持续的责任，一个有趣的演变正在进行中。数据安全和 IAM 正在走向更紧密的共生关系。由于这两个学科作为客户管理的最重要的安全控制而脱颖而出，因此它们正在趋同。

市场活动和不断变化的需求动态不仅是反映指标，也是这种融合的驱动因素。Gartner通过查询数据发现，企业经常将数据安全、数据管理和 IAM 作为不同的、孤立的实体进行管理。随着组织的发展，他们意识到对这些学科采取孤立的立场往往会导致效率低下和结果不佳。数据安全需要IAM作为控制面的一部分，而如果没有数据安全，IAM就无法有效扩展全面的访问控制。结果是，共同努力可以使组织克服在单独处理这两个学科时出现的长期存在的难题。

这种觉醒在很大程度上推动了这些曾经独立的领域的整合。至关重要的是要认识到最重要的挑战在于根深蒂固的孤岛心态。IAM 的未来、数据管理和数据安全比以往任何时候都更加紧密地交织在一起，并且可能很快就会变得密不可分。

数据安全和 IAM 的共同发展标志着云环境或任何其他环境中保护敏感数据和管理用户访问的范式变化。总之，随着云服务不断重新定义网络安全格局，数据安全和 IAM 成为关键的基石。他们将共同塑造客户管理的安全控制的未来，不仅确保保护，而且确保对更高阶风险（例如内部风险）进行有效和负责任的管理。

战略规划假设：到 2026 年，在 IAM 计划中采用顶级数据实践的组织将实现 IAM 和数据安全计划目标的价值交付时间缩短 40%。

主要发现：

• 数据安全和 IAM 的融合很大程度上是由于将这些学科视为孤立的孤岛而导致效率低下。Gartner 调查数据表明，企业正在认识到数据安全、数据管理和 IAM 之间的相互关联性，并认识到隔离方法会产生次优结果。这一转变强调了将 IAM、数据管理和数据安全视为一个整体的必要性。

• 对IAM程序改进的投资主要集中在 IAM 能力（技术支持和手动）改进上，我们很少看到在支持 IAM 程序的数据安全和数据管理改进方面的专门投资。

• IAM 数据可用性和质量问题极大地限制了许多组织中 IAM 功能的有效性。虽然维护数据目录是识别和解决这些问题最重要的第一步，但大多数组织尚未在数据目录中记录其 IAM数据。

• 大多数采用 IAM 功能的组织仅限于 IAM 技术供应商的数据管理功能，例如身份治理和管理 (IGA)、访问管理 (AM) 和特权访问管理 (PAM)。由于内置的数据集成和数据治理功能通常不足以满足客户的需求，这经常会导致重大的实施和集成挑战，从而减慢许多IAM程序和其他相互依赖的程序（包括数据安全）的价值交付时间。

• 大多数 IAM 计划既没有积极参与数据和分析计划来推动 IAM 数据管理改进，也没有在 IAM 计划中“嵌入”数据管理或数据安全专业知识。这导致 IAM 项目缺乏针对 IAM 数据质量、可用性和集成改进的明确计划或路线图。

市场影响：

从历史上看，平均而言，IAM 项目领导者一直希望领先的 IAM 技术供应商提供所有必需的技术能力，以实现有效交付 IAM 控制和服务。虽然数据管理、工程、治理和集成挑战经常减缓企业 IAM 计划和业务价值交付的进展，但这些挑战很少被明确归因于缺乏数据管理和治理能力。大多数 IAM 项目都选择“凑合”使用可用的数据集、高度手动的数据增强和现有的 IAM 技术。

随着组织在 IAM、数据安全性以及数据和分析成熟度方面的提高，越来越多的组织将 IAM 控制和计划有效性的这种“拖累”正确地归因于其 IAM 计划中数据管理和数据工程能力的应用不足。这种日益普遍的实现/分析将给IAM 解决方案供应商带来压力，要求他们增加对自己或内置数据管理和治理功能的投资，以符合数据管理的行业顶级实践（或与领先的数据结构技术供应商合作，提供这个能力）。

IAM 控制权的“拖累”还将导致 IAM 项目领导者更常见地：

• 除了 IAM 技术之外，还采用和/或实施组织的通用数据管理和数据结构功能，以改进 IAM 计划结果。值得注意的是，这是几十年前发生的事情，当时企业目录是“领先的 IAM 技术”，许多较大、成熟的组织选择使用主数据管理工具来实现身份数据管理。

• 提高IAM产品中数据管理能力的权重和优先级。这会：

o   增加 IAM 数据管理“专业”工具/供应商的数量；例如Radiant Logic 和 Aquera

o   导致优先选择具有数据管理优势的供应商来选择特定的、以市场为中心的解决方案；例如对于 IGA 解决方案选择或 AM 解决方案选择，更重视数据管理能力。

这种转变不会对所有 IAM 计划和功能都“普遍”，因为数据复杂性是每个组织改进数据管理价值的关键驱动因素。鉴于此，在大型、复杂且高度风险敏感的组织中，改进 IAM 数据管理的动力可能最为强烈：

• IGA 和相关的 IAM 功能，除了基本身份和资源数据之外，还必须处理大型、复杂且维护不良的权限数据集。

• 同样，授权流程和功能必须处理组织中的权限数据集。

• 身份威胁检测和响应 (ITDR)、用户和实体行为分析 (UEBA)、云基础设施权限管理 (CIEM) 以及依赖于访问事件数据的任何其他 IAM 功能，访问事件数据是 IAM 学科中容量最大的数据集。

建议：

IAM 功能的购买者应该：

• 通过提高可见性和可观察性改进的优先级来加速 IAM 数据改进，包括应用可见性、智能、行动 (VIA) 模型来制定优先级决策。

• 通过完成正式的 IAM 数据设计（包括 IAM 数据字典/数据目录），提高 IAM 计划和产品/服务的有效性。

• 通过将关键数据管理功能和实践纳入 IAM 解决方案的核心要求来优化其 IAM 技术组合。如果 IAM 供应商解决方案无法提供必要的要求，请与数据和分析团队合作评估通用数据结构和数据管理解决方案。

• 使用元数据管理成熟度方法来识别额外的高价值增强功能并确定其优先级，从而实现持续的增量 IAM 数据改进。

战略假设：到 2027 年，面临人工智能和数据安全要求的组织将基于策略的访问控制实现标准化，以解锁超过 70% 的数据。

主要发现：

• 用于人工智能和业务分析的数据产品要求组织部署数据安全控制，利用适合与不断新的角色和用例共享数据的精细和上下文权限。

• 传统的细粒度数据授权仅基于角色和权限的配置，通常无法扩展。拥有众多消费者的大数据平台中授权规则的过度增长需要新的授权方法来最大限度地提高日常任务的效率。

• 现代方法是基于 DSP 实施基于策略的数据访问层。这些通过使用基于属性的访问控制 (ABAC)补充传统的基于角色的访问控制 (RBAC) 来实现基于策略的访问控制 (PBAC) 。DSP 可以授权访问和数据目录作为数据治理的真实来源。

• 策略编排和策略即代码 (PaC) 等新兴机制正在获得动力，为基于策略的授权用例的自动化提供更广泛的覆盖范围和可重复模式。新兴的策略框架——例如开放策略代理（OPA）、身份查询语言（IDQL）和带有 AuthZed 的 SpiceDB——正在实现更多的互操作性，以进一步整合策略管理功能。

市场影响：

数据安全平台和外部化授权管理工具已经采用PBAC来支持授权。通常部署 DSP 来支持 AI/ML 计划的授权。它们通常将数据存储或平台本机的访问控制与可扩展的 PBAC 模型相结合（或替换），该模型提供集中策略管理，同时满足各种用例、组织要求和技术环境。DSP 利用适当的授权架构模式和可用机制（例如 RBAC、ABAC 和策略编排）的组合，并解决依赖关系（例如动态数据发现和元数据管理），以支持数据民主化。这包括与相邻系统集成以建立数据使用上下文和源属性，并提供监控和审计功能。理想情况下，DSP 能够快速创建和调整数据产品。

图 2：DSP 实现的基于策略的数据访问层示例

数据访问层（如图 2 所示）提供三种常见的数据访问模式。其中包括数据平台（增强数据平台的本机访问控制功能）、数据网关（通过数据虚拟化拦截数据流）和数据端点（充当数据可视化工具的查询端点）。

基于 DSP 的基于策略的数据访问层在以下用例和架构中提供最大效果：

• 治理和保护基于云的数据存储中的结构化数据，以实现基于云的数据和分析（供应商的示例包括 Databricks、Snowflake、Amazon Redshift、Microsoft Azure Data Lake 和 Google BigQuery）。

• 实现结构化数据的多云数据安全和治理控制。

• 实现超出底层云数据平台本机访问管理功能的行和列（字段级）访问管理、数据转换或加密。

• 简化和减少为基于云的数据源配置行和列访问规则所需的策略规则和相关元数据。

建议：

希望实施数据和分析 (D&A) 访问控制来满足策略管理和执行要求并与流行数据目录集成的客户应该：

• 优先考虑能够与流行数据目录集成并提供字段级或数据对象级粒度授权策略的工具。

• 思考“一致”：使用 DSP 实施数据授权和安全策略，确保数据访问决策使用相同的身份、资源和策略视图（与所有其他类型的访问决策一样）。

• 思考“上下文”：通过识别可从哪些来源获取哪些上下文数据并定义动态的上下文感知策略，确保灵活、可扩展和基于风险的访问。

• 思考“持续”：通过使用持续的风险和信任评估以及在整个会话中应用控制来提高访问决策的效率，而不是使用简单的“门控”决策来让用户进入。

• 以结果为导向：优先考虑业务目标和共享数据的需求。不要为了创造价值而使解决方案过于复杂。

• 弥合IAM 团队、数据安全团队和业务计划之间的差距，确保满足组织的安全性、可用性、隐私和规模要求。例如，可以通过促进部署前研讨会来实现这一目标，这些研讨会不特定于任何安全规则，而是特定于组织的战略业务成果。预计可能不会有一个买家角色，而是多个买家。

• 将治理和合规性规则编入 PaC，以便可以通过自动化工具和更广泛的 PBAC 产品以编程方式强制执行这些规则。

战略假设：到2027 年，70% 的组织将把数据丢失防护和内部风险管理(IRM) 规则与 IAM 环境相结合，以更有效地识别可疑行为。

主要发现：

• 组织越来越多地从孤立的数据安全技术转向提供集中管理和使用以及更简单的监控共享的整合控制。数据丢失防护 (DLP) 作为一种孤立的控制，主要使用数据元素来采取行动，很少利用数据上下文或用户行为来补充数据检测。

• 由于范围缩小，DLP 仅揭示了敏感数据暴露带来的部分组织风险。如果作为独立技术实施，它可能会导致告警疲劳、出现操作困难，并且只能提供组织数据安全状况的部分可见性。传统的 DLP 旨在仅识别特定的敏感数据元素，并承诺通过防止未经授权的移动和使用该敏感数据来消除直接风险。

• 随着组织数据安全用例的发展和数据安全市场的成熟，传统的以数据为中心的解决方案越来越过时。它们正在让位于更全面、以身份为中心的解决方案，这些解决方案可以将用户行为的风险模式与敏感数据的移动和使用相关联，从而为安全和风险管理领导者提供更全面的数据安全态势图。

市场影响：

人们对整合控制的兴趣日益浓厚，促使供应商开发代表以用户行为为中心的控制和数据丢失预防之间重叠的功能。数据丢失防护与IAM上下文的结合引入了一组更全面的协同功能，允许安全从业者创建单一策略，用于数据安全和内部风险缓解双重用途。

一些组织选择放弃不同的安全控制来代替统一的安全结构，将 DLP 上下文与 IAM上下文相结合或集成，以解决数据安全和内部风险管理用例。当这种情况发生时，独立的DLP 产品将变得越来越没有吸引力，尤其是对于精益安全和 IT 团队而言。这些技术控制结合起来可以解决业务中的两类高风险：身份和数据。数据安全控制受到可以从数据和周围环境收集的监控的限制。然而，如果收集到的监控数据可以与IAM 上下文和用户风险指标相结合来补充数据检测，那么就有更多机会准确降低组织风险。参见下图 3。

图 3：组织数据风险

在 DLP 中，利用特定数据元素周围的上下文并将其与身份监控相结合可以提高程序的效率。传统上，DLP 与数据检测隔离，没有考虑围绕用户行为或身份的更广泛背景。由于关注范围狭窄，政策不准确，可能会破坏现有的业务流程，同时无法识别和破坏恶意行为者的其他丑闻行为。通过将以数据为中心的检测与身份监控分层，告警将变得更加准确。

建议：

DLP 和内部风险管理 (IRM) 的买家必须通过以下方式为以身份和数据为中心的组合安全控制做好准备：

• 识别数据和身份风险，并将它们结合使用作为组织内战略数据安全的主要指令。

• 向业务领导者介绍集中式或基于 API的IAM、IRM 管理和数据丢失防护的业务优势和好处（而不是障碍）。

• 评估能够解决多个不同用例的供应商，以提供更全面的功能集，其中包括以身份和数据为中心的控制。

• 评估能够解决多个不同用例的供应商，作为平台方法的一部分，以获得更全面的功能集，包括以身份和数据为中心的控制。

• 构建多方面的策略，包括来自 IAM、IRM 和 DLP 监控源的分层检测逻辑。

• 优先考虑将 IAM 监控引入当前 DLP 和 IRM 平台的产品，作为额外的重要数据源，以降低整个组织的风险。