Gartner绘制了最新版的数字身份管理技术成熟度曲线。通过研究曲线上的相关趋势预测,我们可以更好地理解身份访问管理。(IAM)领域的未来技术发展。报告研究认为,由于网络威胁态势和隐私保护需求,企业安全负责人必须在确保数据保护的同时,尽快实现数字时代企业身份的全面管理,机器身份管理和物联网认证成为组织的数字身份。管理的新挑战。图:Gartner2022年数字身份成熟度曲线本报告重点关注数字身份治理中的机器身份管理和物联网认证。机器身份是指建立数字设备访问和交易活动有效性的数字密钥、授权书和证书。机器身份管理(MIM)在2020年Gartner身份访问管理技术成熟度曲线中首次被提及,此后作为一项网络安全计划获得了关注。在本次发布的炒作周期中,研究人员认为机器身份管理技术仍处于概念炒作的泡沫阶段。虽然企业组织长期以来一直专注于保护访问系统的人类用户的身份,但目前在整个企业中缺乏全面采用。实现机器身份控制的有效策略和技术手段:1.机器身份威胁快速增长“机器”的定义已经相当广泛,不仅包括笔记本电脑和服务器等设备,还包括API组件、应用程序和云基础设施和容器等。目前机器身份的数量与人类身份的数量平均为10:1,并且还在继续增长。虽然建立数字身份的工具已经很成熟,但管理这些身份会带来相当大的挑战,尤其是在手动管理时。2.需要对机器身份进行差异化管理攻击者已经充分认识到机器身份是企业安全防护的一大短板,这使得机器身份成为一个经常被利用的漏洞。针对机器身份漏洞的新恶意软件正在增加,针对证书的恶意软件攻击数量也在增加。从2017年到2021年,此类攻击的数量增加了400%以上;2020年,50%的云安全事件是由于机器身份和权限管理不善造成的。Gartner在报告中表示,机器身份与传统人类身份在可观察性、所有权和自动分发方面存在明显差异。组织必须尽快了解和认识这些差异,并使用新的识别技术有效地实施机器身份管理策略。3.物联网应用是机器身份管理的重要挑战。物联网产品给机器身份管理带来了新的需求和挑战。将数字化基础设施建设模式引入物联网应用流程,可以生成实时生产数据,提醒操作人员随时关注产生的维护需求,持续跟踪资产运行状态。根据Gartner的研究,物联网设备的广泛使用带来了新的威胁媒介。可靠的机器身份管理策略是防范物联网安全事件的根本措施。这将有助于防止对关键工业设备的攻击,避免灾难性事件和后果。IoT空间在合规性和审计方面具有独特的需求和挑战。虽然公用事业部门在定义物联网认证方法方面取得了一些进展,但仍有许多工作要做。该报告的研究发现,大多数工业物联网(IIoT)系统都是独立的,通过使用本地方式进行身份验证。此外,由于部分物联网设备资源或功能有限,计算能力低,安全存储容量有限,目前很多常用的认证方式并不十分适用。Gartner建议,应尽快评估和制定支持物联网领域各种设备认证的新标准和技术框架。4.机器身份管理需要配套的基础设施来提供保护。不仅是种类和数量上的挑战,不同的组织和业务部门对智能机器设施的应用场景也各不相同。这种广泛的使用模型需要一套集中的管理标准,使机器身份管理在整个组织内保持一致,同时允许部门灵活地以适合他们的方式实施机器身份管理。在成熟度曲线报告中,提到了“先有鸡还是先有蛋”的问题,即“用户在观望相关机器身份管理标准是否会成为主流方式,而身份管理服务提供商也在观望用户的物联网系统会不会被广泛应用”。该报告建议首先建立身份发现流程,以确定机器身份的整体相互依赖性。几个新的机器身份管理平台和服务模型使组织更容易管理机器身份和公钥基础设施。这些集中式平台为整个企业的机身身份管理活动提供了一个决策中心,并为自动化管理奠定了基础。借助创新的技术工具,组织可以快速提高机器身份管理的效率。过去,管理机器身份的每个业务部门都需要自己的证书颁发机构(CA),并设置专用服务器。而现代机器身份管理平台可以在单个服务器上托管多个CA。这些产品带有预安装的数据库和集成,使用户能够避免供应商膨胀。PKI服务产品允许组织通过高效的SaaS订阅模型完全外包机器身份管理。5.为构建零信任安全奠定基础构建零信任架构是企业安全领域的最新趋势。零信任是一种策略,而不是一种工具。为了在不阻碍业务流程的情况下启用此策略,组织必须部署能够有效管理机器身份的架构和框架。因为在构建以身份为中心的安全模型时,人和机器身份将成为安全策略创建的核心,访问控制和策略基于分配的属性。在这种情况下,访问企业数据和资源的前提是不断验证请求用户或机器的身份和访问权限。6.转移机器身份管理“左”敏捷开发和DevOps流程正在被大量使用,从安全的角度来看,这意味着更快的数字请求和应用程序,必须确保其安全而不成为瓶颈。在早期阶段让安全、测试和合规领导参与系统设计项目是一种称为DevSecOps的方法。使用正确的工具,自动化等关键DevOps原则可以扩展到安全和机器身份管理。
