【序】这篇文章是我去年发表在赛迪博客上的一篇旧文了。前段时间,在TT安全上,有一篇文章——《事件响应机制探讨:合并SIM系统和IAM系统》——讲到了SIM/SIEM和IAM的整合问题,跟那篇文章中引用的Gartner的观点基本一致。事实上,IAM,或者叫做3A,或者在叫做4A,其复杂性不亚于SOC,都属于横向贯穿整个IT系统的集成性平台,是木桶的两个箍。我觉得,对于企业和组织的安全管理和维护人员而言,他们一定不希望去管理分散的安全设施,也不希望出现多个管理中心,他们需要一个整合的、一体化的管理中心,叫 SOC也好,不叫SOC也罢,重要的是安全信息的集中化、安全分析和展示的一体化、安全响应流程的一致化。
现在把旧文重新发表于此,略有修改。
从SIEM与IAM的集成看SOC与4A的整合
(一)从Gartner的报告说起
2009年9月1日Gartner发布了一份报告,叫做《SIEM与IAM技术集成》(SIEM and IAM Technology Integration)。(注释:SIEM即 Security Information and Event Management,安全信息和事件管理;IAM即Identity and Access Management,身份和访问管理)在这份报告中,Gartner指出,“集成IAM和SIEM将有助于IAM的用户和角色管理能力,发挥SIEM的异常监视功能,提供比IAM自身更强大的审计能力。”Gartner一直将用户行为监视(User Activity Monitoring)作为SIEM的主要驱动因素。Gartner认为“用户行为监视对于威胁管理和合规管理都是十分重要的”。
这份报告列举了如下一些发现和观点:
1) SIEM提供用户行为和资源访问监视功能,补充了IAM的审计能力。SIEM还能对超出组织中当前部署的IAM范围之外的应用和平台进行身份审计。
2) SIEM需要IAM提供基本的策略上下文以提供有效的异常监视。如果缺乏IAM和SIEM的集成,组织需要手工地将IAM的策略与SIEM关联起来,当然这样会花费更多的部署和维护成本。
3) IAM可以利用SIEM的事件数据来驱动用户和角色生命周期管理,并使得异常恢复实现自动化。
4) 同时具备SIEM和IAM的厂家提供了一些集成方案,而第三方的SIEM厂家则不具备。
5) 对于大部分SIEM厂家而言,将SIEM与特定的第三方IAM产品集成出现较少,依然是由大客户的需求驱动。大部分SIEM产品仅仅与微软的AD或者主流的网络认证服务集成。
在这份报告中,详细分析了SIEM和如何与IAM结合到一起的。最重要的就是两点:
1) SIEM在进行用户行为监视、分析与审计的时候需要IAM提供从IP到自然人的信息,从IP到资源的信息映射。如果缺乏这个输入,那么SIEM的分析结果就可能缺乏责任认定的有效性。在SIEM与IAM集成之前,也有一些尝试,例如手工地将IP与人进行对应,但是工作量巨大,并且一旦变更,又要牵涉大量的变更,缺乏可行性。而将SIEM与IAM集成,则可以改善这方面的问题。
2) SIEM的用户行为审计结果可以被IAM所利用。因为SIEM的审计告警(预警)信息能够告诉IAM在当前的帐号(身份)和访问策略之下,谁违规了。根据SIEM提供的违规信息,IAM能够通过帐号或策略变更进行安全调整与改进。
对于SIEM与IAM的集成,Gartner其实很早就注意到了。在2005年,Gartner发布了一个《Security and Identity Management Auditing Converge》的报告,明确指出了SIEM可以作为IAM日志审计的工具。
(二)说说国内的4A
回到国内,当前始于中国移动针对业务支撑系统提出的4A管理平台,可以看作是将传统的3A(Account、Authentication、Authorization)与审计(Audit)结合的具体实践。其中,3A的核心我们可以对应为IAM和附加的认证管理(PKI/PKM、SSO等)。根据中国移动的规划,4A管理平台的建设能够保障用户合法、安全、方便使用业务支撑系统的特定资源。既有效地保障了合法用户的权益,又能有效地保障业务支撑系统安全可靠地运行。
中国移动业务支撑网4A管理平台的建设目的是将业务支撑系统中的帐号(Account)管理、认证(Authentication)管理、授权 (Authorization)管理和安全审计(Audit) 整合成集中、统一的安全服务系统,简称4A管理平台或4A平台。通过4A管理平台提供统一的基础安全服务技术架构,使新的应用可以很容易的集成到管理平台中。通过该平台对业务支撑系统各种IT资源(包括应用和系统)进行集中管理,为各个业务系统提供集中4A安全服务,提升业务支撑系统安全性和可管理能力。
受到中国移动4A的启发,以及IAM在国内的日益接受,在移动、电信领域之外,也逐渐开始了4A的实践活动。包括金融、保险、证券等行业和一些信息化水平较高的大企业都开始了自身的4A实践。这些行业的4A与中国移动的4A不尽相同,主要是体现在前面的3A上。有的将3A设计的较为完善,也较为复杂,有的则结合行业实际进行了简化。在3A中,IAM——即身份(也就是帐号)和访问控制得到了最多的认可和实施。而SSO则由于牵涉到对现有业务系统的改造,一般都被放到了未来规划之中。
除了前面的3A,最后一个A(审计)也在很多行业得到了极大的认可。独立的审计系统在4A之前就已经存在,而在4A中,审计被赋予了更多的内涵,最关键的一个就是通过对自然人的行为进行监视、分析和审计,实现有效地责任认定,并且,这个审计系统应该由SIEM或者相当的综合性审计系统来承担。这也就是本文开篇引用Gartner的报告的原因所在。
(三)SIEM、SOC、SOC2.0
SIEM 这个词在国内提及不多,更多地是听到安全管理平台、SOC(Security Operations Center)这个词。但是我们已经知道,SIEM是SOC的核心。在以前,我们也分析过,未来,综合性安全审计将逐步与SOC融合。这也就是说,未来,SOC将以SIEM为核心承担对全网IT资源的综合审计功能。这个综合审计既包括各类异构的审计对象,例如主机、网络、应用、用户、数据等;也包括各种审计目标,例如行为审计、内容审计、合规审计等。我们不妨将这个未来的SOC称作SOC2.0。
(四)SOC2.0与4A的关系
那么,未来的SOC与4A是什么关系呢?当前,我们已经知道首先提出4A概念的中国移动也有了SOC的概念和规范。并且,在当前的中国移动整体IT安全蓝图中,4A与SOC之间的关系是松耦合、甚至是极弱相关的。我认为,未来,SOC将与4A依然是松耦合的,但是会发生更多的关联。
如下图所示,展示了未来的SOC——SOC2.0、审计与4A的关系(草稿版):
这幅图显示了未来SOC2.0与审计系统的关系。审计将有很大一部分融入SOC之中,在此我不再展开。这里,我将重点描述SOC2.0与4A的关系。
① SOC2.0与4A在审计(Audit)上的整合,也即由SOC2.0担当4A中最后一个A的功能实现。
② SOC2.0与4A在3A方面的结合,也即SOC2.0会提供3A必要的用户资源访问违规信息(预警/告警),从而促进4A的闭环管理过程。
(五)结论
事实上,4A就是一个较大的解决方案,是由多块内容组成的,并且是松耦合的。实现4A的过程是可以分步分期的,也是可以充分利用 SOC这个平台的。在4A中,关于审计(Audit)的技术要求部分,本质上就是SIEM,只不过审计范围限定在了4A系统及其资源之内。也就是说,4A的审计与SOC中的审计是可以基于同一个技术支撑架构的。
扫一扫
1176
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
