身份與訪問管理技術(shù)演進之下一代身份安全與IAM技術(shù)新趨勢

一直以來，我們對身份治理的理解更多停留在傳統(tǒng)的身份管理與訪問控制，即傳統(tǒng)的SSO、IAM等。但隨著技術(shù)地不斷迭代，企業(yè)對數(shù)字身份的定義、涉及維度及應(yīng)用領(lǐng)域都在逐漸發(fā)生改變，從以“業(yè)務(wù)應(yīng)用為中心”轉(zhuǎn)變?yōu)橐?ldquo;可信身份為中心”，具體演進過程總結(jié)如下圖：

這張圖是派拉軟件基于15年深耕身份安全領(lǐng)域的親身實戰(zhàn)總結(jié)，亦是派拉軟件在身份安全領(lǐng)域持續(xù)深耕的戰(zhàn)略定位。而隨著技術(shù)的不斷發(fā)展，時間與實踐的不斷累積，身份安全行業(yè)已逐漸走上了第四階段——超越階段。

那為什么我們將這個階段稱為“身份安全風(fēng)險識別”？又為什么著重強調(diào)“分析”這一能力？這個階段有什么技術(shù)新變化......

以上這些問題都要從安全理念與技術(shù)發(fā)展新變革與新趨勢說起：

PART ONE

理念新變革：

以“身份優(yōu)先”的零信任安全

近幾年來，隨著網(wǎng)絡(luò)邊界的模糊化甚至逐漸消失，傳統(tǒng)以網(wǎng)絡(luò)為邊界的安全架構(gòu)逐漸失效，以“身份優(yōu)先”的零信任安全理念應(yīng)運而生，并逐漸成為市場主流。盡管對零信任落地的質(zhì)疑聲還有很多，但這并不影響其成為未來發(fā)展新趨勢與新主流。

事實上，根據(jù)Gartner實際數(shù)據(jù)調(diào)查顯示，零信任安全落地與投資正在逐年增長。在2021  年至  2022  年，中國最終用戶在  ZTNA  （零信任網(wǎng)絡(luò)訪問）上的支出增長  86%，并預(yù)測  2022  年至  2023  年將增長  54%。

眾所周知，零信任的安全理念普遍被概括為八個字——從不信任，始終驗證。要實現(xiàn)這樣全新的安全理念與安全架構(gòu)，作為零信任三大技術(shù)核心的——身份管理與訪問控制（IAM）技術(shù)勢必要進一步升級。

根據(jù)國際權(quán)威機構(gòu)Gartner對零信任網(wǎng)絡(luò)訪問(Zero Trust Network Access ，ZTNA)給出的定義：一種安全方法，相關(guān)產(chǎn)品或服務(wù)將創(chuàng)建一個基于身份和上下文的邏輯訪問邊界。應(yīng)用被隱藏在邊界以內(nèi)，所有的訪問都需要通過可信代理，從而限制訪問者在內(nèi)網(wǎng)的橫向移動。

我們可以看出，零信任下的IAM對身份與訪問控制管理的要求更高了，具體表現(xiàn)為對訪問者身份數(shù)據(jù)的采集維度變得更加豐富，并且要做到持續(xù)的分析和認證，強調(diào)對身份的“持續(xù)自適應(yīng)風(fēng)險與信任評估”。

PART TWO

技術(shù)新趨勢：

身份安全風(fēng)險識別與免疫

在這樣的零信任安全理念以及對IAM技術(shù)新要求之下，傳統(tǒng)的IAM技術(shù)要如何發(fā)展演進呢？

在網(wǎng)絡(luò)安全行業(yè)風(fēng)向標的RSAC 2023峰會上，CEO Rohit Ghai 發(fā)表了關(guān)于身份安全主題為《The Looming Identity Crisis（迫在眉睫的身份危機）》的開幕式演講給了我們一些答案。

他指出，下一代身份安全產(chǎn)品和IAM技術(shù)的重要發(fā)展趨勢將轉(zhuǎn)向身份基礎(chǔ)設(shè)施化、智能化、以及融合ITDR（身份威脅檢測與響應(yīng)）一體化，強調(diào)“免疫力”的主動身份安全防御能力建設(shè)策略。

過去的訪問管理和身份管理（IAM）將變成身份安全的基礎(chǔ)功能。未來，身份安全平臺一定要加強安全防御能力，強調(diào)“免疫力”的主動身份安全防御能力建設(shè)。

那要如何實現(xiàn)主動的身份安全防御，或者具有安全免疫力的身份安全建設(shè)呢？首先我們要確保做到身份安全風(fēng)險識別。在風(fēng)險與威脅檢測分析識別的基礎(chǔ)上，再針對性地采取防御措施。

落到實際的技術(shù)落地層面，就需要在傳統(tǒng)的IAM基礎(chǔ)之上，結(jié)合零信任安全理念，嵌入AI、UEBA、ITDR等新技術(shù)。

PART THREE

產(chǎn)品新升級：

派拉軟件身份安全產(chǎn)品

從上述理念變革與技術(shù)趨勢中，我們看到，基于零信任理念下的身份安全風(fēng)險識別與安全免疫是第四階段身份安全領(lǐng)域的主攻方向。事實上，我們從各大身份安全廠商新發(fā)布的產(chǎn)品與解決方案也可以看出其中端倪。

以派拉軟件身份安全產(chǎn)品為例。眾所周知，派拉軟件是國內(nèi)領(lǐng)先的數(shù)字身份安全代表廠商，其產(chǎn)品也是整個國內(nèi)身份安全產(chǎn)品的一個縮影。

近幾年來，派拉軟件一直在尋求傳統(tǒng)身份安全的新突破，先后發(fā)布了以“身份優(yōu)先”的一體化端到端零信任安全解決方案，隨后在身份安全產(chǎn)品中增加AI、UEBA（用戶與實體行為分析）等技術(shù)能力，結(jié)合智能多因素身份認證、動態(tài)細粒度最小權(quán)限授權(quán)等，不斷優(yōu)化身份安全防護能力。

其中，身份安全風(fēng)險分析識別以及持續(xù)身份認證是派拉身份安全產(chǎn)品新升級的主攻方向。例如，派拉軟件身份風(fēng)險檢測與防護平臺，通過聚焦身份安全，結(jié)合不同業(yè)務(wù)安全風(fēng)險場景，借助算法模型與AI智能技術(shù)，采取風(fēng)險控制引擎，依據(jù)身份因子、瀏覽器因子、操作系統(tǒng)因子、行為因子等各種風(fēng)險因子，在重要的風(fēng)險決策點，如注冊、登錄、應(yīng)用系統(tǒng)訪問、業(yè)務(wù)功能獲取等環(huán)節(jié)，進行相關(guān)身份安全風(fēng)險的識別與風(fēng)險評分。

不同于傳統(tǒng)的身份認證，這里的風(fēng)險識別與安全認證是持續(xù)動態(tài)的，很好地滿足了零信任安全理念中提出的“持續(xù)自適應(yīng)風(fēng)險與信任評估”。

隨后，平臺會根據(jù)風(fēng)險等級啟動相應(yīng)的風(fēng)險打擊和控制手段，如結(jié)合派拉軟件多因素認證能力，或產(chǎn)生告警提醒并通過釘釘、微信、短信等方式告知管理員，甚至針對惡意嚴重風(fēng)險，系統(tǒng)直接進行阻斷或禁用，從而有效增強數(shù)字身份安全風(fēng)險識別與防御能力，提升身份安全的免疫力。