三年前,一本名为《零信任网络》的图书由奇安信身份安全实验室引入国内并翻译出版,为还处在起步阶段的国内零信任市场带来了关于这一创新安全理念的系统介绍与基础知识。
如今三年过去了,零信任在国内已经广受认可,其中以远程访问为主的企业业务场景已经拥有了广泛的应用实践。然而,零信任这条路似乎有点“走窄了”。
零信任作为一种安全理念,本身是一个安全体系,涉及很多个维度的能力,如果这些能力构建不到位,将极大影响零信任的落地效果,最终影响企业的安全投资收益。
其中,身份安全就是零信任能力体系里面最重要的一个维度,零信任是以身份为基石的,在零信任视角下构建和完善身份安全能力至关重要。
目前国内介绍身份安全的专业书籍几乎空白,经过精心遴选,奇安信身份安全实验室选择将《身份攻击向量》引入国内,希望通过本书对身份安全领域进行一定的知识普及和实践指导。
《身份攻击向量》(Identity Attack Vectors)由安全业界知名公司、特权访问管理(PAM)解决方案领导者BeyondTrust公司出品,作者是来自BeyondTrust公司的莫雷•哈伯(Morey Haber)和来自SailPoint公司的达兰•罗尔斯(Darran Rolls),由奇安信身份安全实验室翻译引进,并于2022年8月正式发布与广大读者见面。主创和翻译团队可谓强强联合。
本书从基础概念科普和工程化实践指导角度出发,详细介绍了企业IAM相关基本概念和技术以及身份治理,以攻击者视角展开分析身份管理与治理方面的漏洞是如何被利用进行攻击的,最后也给出了缓解身份攻击向量的实践建议。
近年来,身份与访问管理 (Identity and Access Management, IAM)技术体系蓬勃发展,身份目录、多因子认证、自适应访问、身份联邦、身份分析等技术持续迭代。
这些细分领域虽然在场景上各有侧重,但从技术能力的维度来看,共性极大,因此这里暂以身份与访问管理 (IAM) 作为这一技术体系的总代名词,将其概括为:
身份与访问管理(IAM)是一系列围绕身份、权限、上下文、活动等数据提供以管理、认证、授权、分析为核心的技术体系。
●身份数据:提供实体(人、设备、应用、系统、数据等)相关的数字化身份标识、凭据、属性等信息;
●上下文数据:提供身份与访问活动相关的终端、软件、时间、位置、网络、资源、操作等信息;
●活动数据:提供身份与访问相关的操作记录及身份数据、权限数据的变更记录等信息。
这4类数据囊括和承载了物理实体在数字世界开展一切活动所需要和产生的信息,而IAM则对身份和权限数据进行治理与管理,为进入数字世界的实体提供身份认证,为数字世界的访问活动提供访问授权,并基于各类数据进行分析,从而为管理和访问提供决策依据。
作为一个重要的技术领域,IAM的演进不可谓不快,然而,IAM在多数企业的工程实践进展中却相形见绌。姑且不说诸如自适应访问、身份分析这类“新一代身份安全”技术的采用度极低,就连一些基础技术的采用和工程化方面的成熟度也是较低的。
IAM技术体系发展的相对成熟与其工程实践的不成熟之间的反差令人惊讶,个中原因多种多样,但最根本的一点还是驱动力或愿景不足。IAM的落地需要IT、安全、业务、研发等多个部门的协同参与,需要企业的信息化及安全主管,甚至CEO等高层领导的大力支持和推动才能确保成功。这就需要IAM成为企业业务愿景的重要支撑,成为安全建设的优先事项,否则结果可想而知。
不过,我们也欣喜地看到,这一尴尬局面正在发生改变。近几年,随着企业数字化转型的深化,身份基础设施正在成为数字化业务的重要支撑,以身份为基石的零信任架构正在逐步成为企业信息化和安全主管领导的重要关注点,成为企业的首要安全策略。
在数字化时代,以云计算、微服务、大数据、移动计算为代表的新一代信息化建设浪潮愈演愈烈,IT基础设施的技术架构发生了剧烈的变革,导致传统的网络边界变得模糊。此外,外部攻击者的目标也从网络转向身份、应用和数据,而内部身份及权限管控不严导致的内部威胁也成为数据泄露的主要原因。
在这些内外部业务和安全驱动下,安全理念和方法随之快速演进。零信任便是这种演进的产物。零信任作为一种以资源保护为核心的网络安全理念,认为对资源的访问无论是来自内部还是外部,主体和客体之间的信任关系都需要通过持续地评估进行动态构建,并基于动态信任策略实施访问控制。
零信任的实质是“在网络可能或已经被攻陷,存在内部威胁”的环境下,把安全能力从边界扩展到主体、行为、客体资源,从而构建“主体身份可信、业务访问动态合规、客体资源安全防护、信任持续评估”的动态综合纵深安全防御能力。
零信任所依赖的身份可信与动态访问控制能力需要通过IAM技术体系提供。从技术方案层面来看,零信任是借助身份安全技术实现对人、设备、系统、应用和数据的全面、动态、智能的细粒度访问控制,构建身份安全新边界。
只有将身份安全技术体系纳入企业零信任安全策略,并作为企业安全架构演进的高优先事项,才能在企业高层的领导下,采用系统的工程方法,有序地开展规划、构建、运行和持续优化的活动;才能推动IAM的现代化演进并与零信任架构进行有机结合,构建统一的零信任动态授权平台;才能确保零信任身份安全的整体能力在各种数字化业务场景中被有效调用,为数字化业务保驾护航。
● 应该如何实施基于角色的身份分配、授权及审计策略来缓解账户和身份盗用带来的威胁?
《身份攻击向量》针对IAM相关的风险、攻击人员可以利用的技术,以及企业应该采用的最佳实践进行了解读,适合网络安全管理人员、身份访问与管理实施人员和审计人员阅读、参考。
● 了解在网络杀伤链中身份管理控制所发挥的作用,以及权限作为潜在的薄弱环节应如何管理
● 基于实战策略,对成功部署、实施范围、可测量的风险缓解、审计和发现、监管报告和监督等进行成功规划,以预防身份攻击向量带来的威胁
奇安信身份安全实验室负责人张泽洲在《身份攻击向量》的新书发布会上指出,零信任是以身份为基石的,身份不只是业务问题,更是安全问题。身份安全作为零信任体系下很重要的能力支柱,需要重点关注统一身份、全场景多因子认证、自适应访问、以及身份大数据驱动的动态策略运营与治理能力。构建零信任视角下的身份安全能力,首先需要梳理当前企业的身份安全现状,优先补短固底,然后在根据规划持续叠加建设。
奇安信身份安全实验室“零信任实践指导”已成系列,除了已上市出版的《零信任网络》和《身份攻击向量》以外,该系列还计划引入BeyondTrust公司的攻击向量三部曲中的另外两本《资产攻击向量》和《权限攻击向量》两本专业图书,介绍如何管理好企业的数字化资产和资源、如何做好权限管控,缓解权限漏洞。
相信这一系列参考书籍,能有效帮助大家体系化构建 “主体身份可信、数字资产和数字资源实体安全、业务访问权限持续合规”的零信任全场景架构。
