您现在的位置是:首页 >互联网 > 2020-10-23 10:59:59 来源:
在Identiverse探索为多云构建身份控制平面的挑战
身份是控制的关键。只有管理身份(以及关联的凭据,权限和属性),才能有效地控制任何计算环境。
身份管理是沉默线程,可用于管理混合,网格和其他多云环境。在本周于华盛顿特区举行的Identiverse上,身份管理行业聚集一堂,讨论既定标准的演变以及对更新规范的需求,以控制日益复杂的云到边缘环境。
无边界多云中的身份标准化
实际上,在身份管理提供商和会议组织者Ping Identity的创始人,董事长兼首席执行官安德烈·杜兰德(Andre Durand)提出的第一天主题演讲中,多云“身份控制平面”的概念是当务之急 。杜兰德说,他演讲的核心是需要在世界上任何地方的任何设备上建立受信任的身份基础结构,而该设备“默认情况下已被标识”。
作为通常被称为“以用户为中心的身份”商业化的先驱人物,Durand的主题演讲表达了构建跨任何未来云环境的身份控制平面的几个基本原则:
身份主权:个人必须能够在任何时候,以任何理由,在任何时间,任何时间对任何一方公开自己的身份,并根据自己的意愿公开或隐藏自己的身份。单方面来自蓄意或无意损害或侵犯这些权利的任何领域。
身份通用性:人们必须能够依靠一个全球性,分布式且普遍信任的身份元系统,在该系统中,他们可以交换数字证书,而无需受信任的第三方来担保和验证那些身份。
身份质量:用户的身份验证,授权和其他身份介导的体验应快速,个性化,移动,多因素,生物识别,无密码,无摩擦,可靠且可恢复。
身份自动化:基础架构应使用AI自动化身份和安全管道中的大多数流程,同时处理来自边缘环境(例如“物联网”端点)的信号,以自动化实时获取身份威胁情报。
身份标准化:端到端身份管理,权限和信任环境必须建立在标准框架,协议和接口上,包括成熟的,广泛采用的标准,例如安全断言标记语言,OAuth 和OpenID Connect,以及新兴的规范,例如作为FIDO和跨域身份管理系统。
人工智能将推动端到端,零信任的多云安全
复杂的云到边缘环境中的身份控制平面必须不断地重新验证用户并重新验证访问请求。在这方面,杜兰德讨论了身份管理行业向“零信任”安全性的转变,该安全也被称为“身份定义的安全性”,“自适应身份安全性”,“动态授权”和“外围安全性”。
正如三个月前在Wikibon报告中所阐明的那样,这种范例实质上将软件定义的安全“边界”移动到所请求的内容在私有,公共,混合,网格和其他多云环境中的任何位置。零信任安全性(通常包含AI驱动的自适应访问风险缓解功能)是Wikibon最近发布的混合云分类法中的关键要素 。它是安全性,合规性和数据平面的组成部分,要求在以公钥基础结构和开放身份标准为基础的可伸缩信任环境中进行强大的多因素身份验证。
在零信任安全性下,边缘的每个节点始终可以访问相关身份,凭据,权限,上下文变量,基于代码的策略和其他安全资产,这些资产需要进行严格的身份验证并授权对托管资源的访问,同时还要确保机密性,篡改-校对,审计跟踪和其他安全控制。访问授权只限于特定的内容,上下文和时间范围,以减轻安全风险。本质上,所有用户都被视为“远程”用户,以认证和授权他们对所请求资源的访问。
杜兰德(Durand)对身份相关标准进行了其他全面的讨论,一个奇怪的遗漏是他没有提到 后周边安全联盟(Post-Perimeter Security Alliance)。在最近的RSA Conference的筹备中,移动威胁防御提供商Lookout Inc.宣布了 这一计划,根据该计划,著名的 解决方案提供商正在就与供应商无关的框架建立合作,以实现零信任安全和相关的身份基础结构。
在复杂的云到边缘环境中分布身份控制平面
Durand没提到的另一个重要主题是在软件定义的网络中使用AI驱动的零信任安全性,而软件定义的网络越来越成为多云的主干。正如我在两个月前在Wikibon报告中所讨论的那样,人工智能对于自动化将绑定多云的软件定义的互联网络中的应用程序安全问题的预防,检测和修复自动化至关重要。
在这些互联网络骨干网中,AI驱动动态安全响应,例如基于意图的网络,应用程序感知防火墙,入侵防御,健康监控,反恶意软件,持续利用测试和闭环网络自我修复。而且,它使自动化工具能够预测目标生产环境中代码的可能行为,而不仅仅是扫描构建以查找过去看到的已知问题的特征。
但是,Durand和其他发言人非常强调整个分布式多云中身份控制的可重用性。这将使开发人员能够利用开放的API在更严格的多云身份管理保护措施内重用现有的身份验证,许可和其他服务。
在这方面,本周Identiverse的一项重要新闻是ID DataWeb和 NextLabs已加入身份定义安全联盟(Identity Defined Security Alliance),该组织已开发了可重用且与供应商无关的模式,用于重用和组合多云身份控制。正如联盟白皮书中所讨论的那样,它们的框架包含了离散且可组合的身份和安全控制的目录,例如基于配置文件的多因素身份验证,特权访问管理和云访问安全代理,这些可能由各种供应商提供或开源支持软件实现。
在Identiverse,关于云到边缘身份管理的另一个重要公告是FIDO联盟 为其免费许可,与供应商无关,无密码的身份验证框架启动了新的身份验证和认证程序。该联盟的新工作组将专注于“基于占有”的多因素身份验证技术(例如生物特征“自拍”匹配),以加强身份保证,以确保物联网上的帐户启用和帐户恢复。
在与Wikibon的讨论中,FIDO负责人Nok Nok Labs的Rolf Lindemann讨论了已有7年历史的联盟如何在联合多云和云到边缘环境中实现简化的多因素,多模式凭据置备。FIDO框架定义的核心接口标准化了设备与可信执行环境,嵌入式身份验证器硬件或外部安全令牌之间以及这些设备与远程本地服务器之间的按需加密协议。这些功能对于智能家居等消费领域和智能工厂等商业领域的物联网设备的多因素,零信任认证至关重要。
Identiverse的从业者小贴士
对于构建混合云和多云的信息技术专业人员而言,不可避免的是需要基于标准的身份控制平面。
您的身份控制平面需要成为安全和策略管理平面的组成部分,该平面和安全结构必须跨越多云基础结构中的所有域(本地,公共云,网格和边缘)。您应该部署一个身份背板,该背板为多因素身份验证,单点登录,基于角色的访问控制,委派权限和跨所有域的其他安全功能提供统一的环境。
通用身份基础结构应通过您的多云管理工具进行集中配置,监控和管理。由于它们可以通过强大的AI启用零信任的无边界安全性,因此,应将此基础结构部署为端到端AIOps环境的核心组件,以进行实时,闭环IT和应用程序管理。
提醒您的一点是,各种多云和AIOps供应商在其产品组合中实施身份标准的方式几乎没有一致性。开拓性用户很可能需要编写大量粘合代码,以使云提供商的完全不同的身份和安全骨干网能够以端到端的无缝方式进行互操作和管理。