如今,零信任在国内已广受认可,其中以远程访问为主的企业业务场景已经拥有了广泛的应用实践。然而,零信任这条路似乎有点“走窄了”。
作为一种安全理念,零信任本身是一个安全体系,涉及多维度能力,如果这些能力构建不到位,将极大影响其落地效果,最终影响企业的安全投资收益。其中,身份安全就是零信任能力体系里面最重要的维度之一,以身份为基石,在零信任视角下构建和完善身份安全能力至关重要。
目前国内介绍身份安全的专业书籍几乎空白,经过精心遴选,奇安信身份安全实验室将《身份攻击向量》引入国内,希望通过本书对身份安全领域进行一定的知识普及和实践指导。三年前,一本名为《零信任网络》的图书由奇安信身份安全实验室引入国内并翻译出版,为还处在起步阶段的国内零信任市场带来关于这一创新安全理念的系统介绍与基础知识。
《身份攻击向量》(Identity Attack Vectors)由特权访问管理(PAM)解决方案厂商BeyondTrust出品,作者是来自BeyondTrust公司的莫雷•哈伯(Morey Haber)和来自SailPoint公司的达兰•罗尔斯(Darran Rolls),由奇安信身份安全实验室翻译引进,并于2022年8月正式发布。
本书从基础概念科普和工程化实践指导角度出发,详细介绍了企业IAM相关基本概念和技术以及身份治理,以攻击者视角展开分析身份管理与治理方面的漏洞是如何被利用进行攻击的,最后也给出了缓解身份攻击向量的实践建议。
IAM技术体系
近年来,身份与访问管理 (Identity and Access Management, IAM) 技术体系蓬勃发展,身份目录、多因子认证、自适应访问、身份联邦、身份分析等技术持续迭代。
IAM细分领域层出不穷,比如:
·针对流程优化与合规治理的身份治理与管理 (IGA);
·针对运维及高特权访问场景的特权访问管理 (PAM);
·针对云上身份与认证场景的身份即服务 (IDaaS);
·针对客户身份管理场景的客户身份与访问管理 (CIAM) 等。
这领域虽然在场景上各有侧重,但从技术能力维度来看,共性极大,因此这里暂以身份与访问管理 (IAM) 作为这一技术体系的总代名词,将其概括为:
身份与访问管理(IAM)是一系列围绕身份、权限、上下文、活动等数据提供以管理、认证、授权、分析为核心的技术体系。
·身份数据:提供实体(人、设备、应用、系统、数据等)相关的数字化身份标识、凭据、属性等信息;
·权限数据:提供与访问权限相关的角色、访问条件、授权策略等信息;
·上下文数据:提供身份与访问活动相关的终端、软件、时间、位置、网络、资源、操作等信息;
·活动数据:提供身份与访问相关的操作记录及身份数据、权限数据的变更记录等信息。
这4类数据囊括和承载了物理实体在数字世界开展一切活动所需要和产生的信息,而IAM则对身份和权限数据进行治理与管理,为进入数字世界的实体提供身份认证,为数字世界的访问活动提供访问授权,并基于各类数据进行分析,从而为管理和访问提供决策依据。
IAM遭遇的困境
作为一个重要的技术领域,IAM的演进不可谓不快,然而,IAM在多数企业的工程实践进展中却相形见绌。姑且不说诸如自适应访问、身份分析这类“新一代身份安全”技术的采用度极低,就连一些基础技术的采用和工程化方面的成熟度也是较低的。IAM技术体系发展的相对成熟与其工程实践的不成熟之间的反差令人惊讶,个中原因多种多样,但最根本的一点还是驱动力或愿景不足。IAM的落地需要IT、安全、业务、研发等多个部门的协同参与,需要企业的信息化及安全主管,甚至CEO等高层领导的大力支持和推动才能确保成功。这就需要IAM成为企业业务愿景的重要支撑,成为安全建设的优先事项,否则结果可想而知。
不过,我们也欣喜地看到,这一尴尬局面正在发生改变。随着企业数字化转型的深化,身份基础设施正在成为数字化业务的重要支撑,以身份为基石的零信任架构正在逐步成为企业信息化和安全主管领导的重要关注点,成为企业的首要安全策略。
零信任安全,以身份为基石
在这些内外部业务和安全驱动下,安全理念和方法随之快速演进。零信任便是这种演进的产物。零信任作为一种以资源保护为核心的网络安全理念,认为对资源的访问无论是来自内部还是外部,主体和客体之间的信任关系都需要通过持续地评估进行动态构建,并基于动态信任策略实施访问控制。
零信任的实质是“在网络可能或已经被攻陷,存在内部威胁”的环境下,把安全能力从边界扩展到主体、行为、客体资源,从而构建“主体身份可信、业务访问动态合规、客体资源安全防护、信任持续评估”的动态综合纵深安全防御能力。
零信任所依赖的身份可信与动态访问控制能力需要通过IAM技术体系提供。从技术方案层面来看,零信任是借助身份安全技术实现对人、设备、系统、应用和数据的全面、动态、智能的细粒度访问控制,构建身份安全新边界。
只有将身份安全技术体系纳入企业零信任安全策略,并作为企业安全架构演进的高优先事项,才能在企业高层的领导下,采用系统的工程方法,有序地开展规划、构建、运行和持续优化的活动;才能推动IAM的现代化演进并与零信任架构进行有机结合,构建统一的零信任动态授权平台;才能确保零信任身份安全的整体能力在各种数字化业务场景中被有效调用,为数字化业务保驾护航。
《身份攻击向量》能带给我们什么
·身份与权限管理被恶意利用,会对组织内部的账户和凭据产生哪些危害?
·应该如何实施基于角色的身份分配、授权及审计策略来缓解账户和身份盗用带来的威胁?
·应该如何通过管理来满足监管合规要求?
《身份攻击向量》针对IAM相关的风险、攻击人员可以利用的技术,以及企业应该采用的最佳实践进行了解读,适合网络安全管理人员、身份访问与管理实施人员和审计人员阅读、参考。
·理解身份背后的概念,以及身份相关凭据和账户如何被用作攻击向量
·实施有效的IAM 项目集来管理身份和角色,并提供监管合规性证明
·了解在网络杀伤链中身份管理控制所发挥的作用,以及权限作为潜在的薄弱环节应如何管理
·以行业标准为基础,将关键身份管理技术集成到企业生态系统中
·基于实战策略,对成功部署、实施范围、可测量的风险缓解、审计和发现、监管报告和监督等进行成功规划,以·预防身份攻击向量带来的威胁