在过去两年中,随着数字商务和远程办公需求增加,用户需要从多个设备、位置来访问数字资产(数据、应用程序、知识产权、系统等),意味着安全风险漏洞也在增长。为保护这些数字交互核心,企业必须确保仅向受信任的用户提供适当而非无限制的访问权限。
这种情况转变也创造性推出了一种称为“身份优先安全性”的新概念,该概念侧重于将用户身份的完整性作为企业安全策略的核心。这种方法旨在确保用户获得个人访问授权,并被授予对部分数字资产的适当访问级别。无论是通过云还是本地进行访问,身份优先安全性已经是零信任体系结构的先决条件。在许多情况下,零信任结构中缺少的部分就是一个授权框架,用于确定谁有权访问哪些信息以及何时访问。
这种情况转变也创造性推出了一种称为“身份优先安全性”的新概念,该概念侧重于将用户身份的完整性作为企业安全策略的核心。这种方法旨在确保用户获得个人访问授权,并被授予对部分数字资产的适当访问级别。无论是通过云还是本地进行访问,身份优先安全性已经是零信任体系结构的先决条件。在许多情况下,零信任结构中缺少的部分就是一个授权框架,用于确定谁有权访问哪些信息以及何时访问。
身份授权根植于身份和访问管理 (IAM),几十年来一直都是 IAM 平台的基础组件。而“数字时代”的到来,在推动数据的爆炸性增长和威胁互联网环境的安全风险向量的指数级增长的同时,也促进传统IAM、网络安全和数据保护(包括隐私要求)之间的迅速融合。
并且,这种融合也正在推动着身份授权的快速发展,增加了未来用户通过简单、友好的方式创建、管理并实施身份授权策略的需求。虽然目前在IAM中,基于角色和属性的访问控制(RBAC 和 ABAC)等传统方法非常常见,但是,基于策略的访问控制 (PBAC) 已成为了更有效、更简单的管理方法。PBAC可以消除创建和管理身份授权策略所需的技术和编码专业知识要求,让每位用户都可以对身份授权进行管理。
为了进一步了解市场趋势和安全痛点,网络安全公司PlainID 采访了200多名行业从业者,他们中有来自美国、加拿大和英国等国家的企业经理或C 级IT专业人员等,几乎都为员工超过 2,000 人大型企业工作。根据调查问卷的数据分析,发现了以下三个关键点。
关键发现 1:身份授权已成为IAM中的关键核心
如今,IAM的优先事项正在发生变化,与身份授权相关的举措(如运行时访问、API 访问控制和 PBAC)越来越受到关注。
报告显示,在IAM的最高优先级别排序中,有62%的受访者选择将运行时访问作为最高级别,51%选择了API访问控制,43%选择了PBAC,分为位于第一、二、三名。同时,报告显示,无论是何种规模的企业,基本都将IAM预算的21%用于了身份授权。
根据以上数据表明,身份授权已经是目前企业高层的首要考虑因素,在未来,可能会看到更多想通过的增长趋势,这些安全举措将成为企业中长期战略的优先事项。
主要发现 2:企业正在整合访问权限和身份授权
随着行业转向身份优先的安全性,管理访问权限将变得更加复杂,安全边界将分布在数据、API和应用程序等之间。
这种复杂性推动了对标准化和规模化的需求,据报告显示,标准化和规模化是采用身份授权解决方案的两大驱动因素。创建标准比以往任何时候都更加重要,该方法几乎涵盖所有企业架构,包括对数据、API 和云基础架构本身的访问控制等。
主要发现3:大多数企业已经或正在制定身份授权策略
在接受调查的专业人士中,有95%的人选择了身份授权策略。其中,35%的受访者表示已经制定了身份授权战略,31%的受访者表示已经确定战略路线准备在2023年实施,30%的受访者表示正在确定战略,并计划在未来五年内实施。
随着越来越多的企业支持员工进行居家办公,意味着风险向量格局也在逐步扩大。威胁行为者已经意识到,身份可能是一个重要的接入点,因此,身份授权对于保护员工、网络和数据将变得尤为重要。
除了加强其安全态势外,各企业还将实施标准化、可扩展性和可见性的身份授权解决方案。随着企业边界变得逐渐分散,应用程序、数据、API 和云的使用量激增,企业需要寻找可扩展的解决方案来管理不同资源的访问策略。
无论数字资产保存在何处,在企业能够以动态或实时的方式让授权用户对数字资产进行访问之前,其安全性都是不完整的。在这个基于云协作、爆炸式数据增长和远程办公的时代,任何企业的安全图景都需要包含身份授权。
京公网安备 11010802033237号
