IoT、移动性和紧迫的安全需求,意味着每个节点都必须有可信身份和连接网络服务的安全通道。
现在每个人都在谈论IoT,理由充分:已有数十亿设备接入全球互联网,有些研究人员预测到2020年联网设备数量将达500亿。仅此一项,就让CISO的工作更难开展了,但安全高管还要面临其它相关挑战,包括:
- 员工移动办公,倾向于利用各种设备访问公司应用;
- 应用、工作负载和容器存在于私有或公共云,甚至在二者之间转换;
- 更多设备、云应用和移动用户的增加,大幅扩大了攻击界面;
- CISO被迫以人手不足兼技能不够的网络安全团队,保护这不断增长的IT资产。
传统安全过程、控制措施和技术手段,无法扩展满足当今IoT移动世界的安全挑战。
这正是身份(例如:设备身份、用户身份、资产身份等等)大展拳脚的地方。源和目的之间,必须通过2/3层协议和用户名及口令连接。更进一步,互联网上所有东西都必须有个可信身份,这些可信身份将用于引导并监视安全连接。
这一趋势被称为“身份互联网(IoI)”,符合我们目前跟踪的多个安全趋势。比如说,可信身份,就处于微分隔和软件定义边界(SDP)之类联网趋势的中心。
只要知道设备或人的身份,以及该设备或人想连接的应用或服务的身份,就可以验证各实体,检查策略引擎以确保这是授权连接;分隔并加密源和目的之间的流量,并维护对连接甚至俩节点间所有数据包的审计日志。
基本上,整个全球互联网被固定功能网络和个人虚拟网络分隔成大大小小数十亿个网络——全都由管道两端的身份驱动。
因为需要用身份、软件定义网络技术和大数据分析,来减小网络攻击界面并监视这数十亿节点情况,IoI的理论是完全正确的。商业方面,IoI可帮助公司企业向关键网络流量和高价值客户提供高性能服务。
虽然IoI听起来很符合逻辑,其未来几年的成功取决于很多因素,包括:
1. 对IoT设备的强身份验证
每个IoT设备都必须拥有强壮而唯一的身份,可基于生物特征识别技术、指纹技术或经验证的X.509数字证书。
2. 标准和固有技术的广泛采用
或许可以对FIDO、OAuth、OpenID、SAML等标准进行某种形式的合理化,同时增加手机指纹读取器等常见生物特征识别的使用。
3. 身份的云监管
Facebook、谷歌和微软已将身份扩展至云端,也正努力进行身份控制,但 IoI 必须进化至一种协作生态系统。国家标准与技术局(NIST)的可信身份组和NSTIC,曾提出过类似模型。业界大佬必须认同此类身份生态系统,并共同努力实现。
4. 软件定义网络技术的更多运用
更多使用微分隔和VPN向软件定义边界的迁移,可基于用户、身份、位置、风险和严格的业务驱动策略,提供任意端对端网络访问。
5. 成熟用户和实体行为分析(UEBA)工具
时时刻刻发生的事件太多,安全分析师无法跟踪所有连接或发现异常行为。基于机器学习和人工智能的成熟行为安全分析工具,必须持续进化以不足这方面差距。
大企业可用多种方式为IoI做打算:
- 从战术性身份管理转向全面的 IAM 策略;
- 给 CISO 更多的 IAM 监管权限,同时让业务经理更多参与到策略定义和风险管理中来;
- 促进安全、IT 和运营技术团队间的协作。
相关阅读
原文链接:https://www.aqniu.com/learn/26776.html 作者:nana 星期四, 七月 20, 2017
什么是 Authing?
Authing 提供专业的身份认证和授权服务。
我们为开发者和企业提供用以保证应用程序安全所需的认证模块,这让开发人员无需成为安全专家。
你可以将任意平台的应用接入到 Authing(无论是新开发的应用还是老应用都可以),同时你还可以自定义应用程序的登录方式(如:邮箱/密码、短信/验证码、扫码登录等)。
你可以根据你使用的技术,来选择我们的 SDK 或调用相关 API 来接入你的应用。当用户发起授权请求时,Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。
- 官网:http://authing.cn
- 小登录:https://wxapp.authing.cn/#/
- 仓库: 欢迎 Star,欢迎 PR
- https://gitee.com/Authi_ng
- https://github.com/authing
- Demo:
- https://sample.authing.cn
- https://github.com/Authing/qrcode-sample
- 文档:https://docs.authing.cn/authing/
欢迎关注 Authing 技术专栏
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
