身份现代化｜现代企业身份的基石

大多数组织都处于数字转型或云迁移的某个阶段——根据Gartner的预测，到2026年，预计75%的组织将采用依赖云的数字转型模式，而麦肯锡估计，云采用可能在2030年为全球最大的2000家公司带来3万亿美元的收益。

因此，如果网络安全在基于云的企业中已经过时，那么什么来取而代之呢？

随着公司越来越依赖云来运营和存储敏感数据，构建强大的身份管理计划至关重要，以确保正确的用户和设备能够安全访问正确的文件和应用程序。今天的80%网络攻击涉及基于身份的技术，而这些类型的妥协可能会使攻击者混入目标环境，就像一个正常的有效用户一样。通过专注于身份为先的安全策略，当今的企业可以更好地适应和抵御现代攻击者和技术。

我将解释现代企业身份管理计划的基本原理，以及任何创始人或安全领导者如何开始为他们的业务构建这样一个计划。

身份代表了您组织的技术接触点的不同方面，包括用户、设备、应用程序和其他系统。因此，企业身份是管理和为这些实体提供对您环境中资源的访问的整体过程。

在考虑您的整体企业身份架构时，您将希望构建一个涉及三个主要维度的策略：不同类型的身份、身份生命周期以及身份治理和管理。

1.身份类型：身份可以映射到人类、设备和软件。

• 人类身份包括您的工作人员，包括全职员工、合同工和顾问。本文将重点关注人类身份，但许多概念广泛适用于所有类型的身份。

• 设备身份涵盖了机器，如笔记本电脑、服务器或手机，无论是物理设备、虚拟设备还是容器化设备。

• 非人类和软件身份涵盖了服务账户、API密钥、应用程序和服务（通常由证书表示）以及共享的管理账户。

   

2.身份生命周期指的是数字身份的始发、中间和终结阶段——包括创建、持续运营和管理以及取消权限的过程，取消权限是指将用户、设备或软件对公司数据的访问权移除的过程。

3.身份治理和管理是指管理身份生命周期的一组工具、流程和团队，它将反映组织的文化、风险承受能力、合规性和法规义务。强大的身份管理计划始终保持活跃：对于员工来说，从入职到离职；对于设备和软件，包括更替和迁移期间；对于所有身份类型，持续监控和分析报告。

这些维度之间的相互作用如下图所示：

企业安全的传统方式是信任所有位于网络内部的用户和设备，只要它们通过了初步的一两个检查点，就像护照控制、或者持有门票和身份证进入音乐会场地一样。但是今天的企业拥有远不止一个入口点。多达98%的使用公共云服务的企业采用了多云战略，这意味着它们已经使用或计划使用至少两个云基础设施提供商。除了基础设施，大多数企业还使用几十个甚至几百个不同的SaaS应用程序。

云基础设施和SaaS的采用使公司能够快速创新和实施新功能，但也带来了一系列新的安全问题，不断壮大的企业必须积极解决这些问题。

以下是重新思考企业身份管理方法并使其更为现代化的四个主要原因：

1.为了支持现代技术和混合工作环境的现实。在今天适应远程工作的员工队伍中，几乎可以在任何地方、任何设备上使用几乎无处不在的SaaS应用程序来工作。强大的企业身份管理计划支持各种工作设置，确保员工可以在任何地方访问应用程序，无论是在公司总部办公室、混合设置还是完全远程工作。即使是希望保持办公室文化的组织，也会面临身份管理方面的挑战，无论是确保生病的员工能够在家工作，还是技术支持承包商能够远程访问您用户的桌面。

2.为了改善最终用户体验。现代化的身份架构不仅使访问公司数据更加安全，还更简化了员工和用户的访问过程——在安全性和用户体验两方面的改进机会对于安全团队和最终用户来说都是双赢。

3.为了保护免受最新的安全威胁。当今的威胁和攻击者正在集中攻击身份，通过窃取会话、钓鱼获取凭据、攻击多因素身份验证（MFA）、SIM交换和攻击单一登录（SSO）。如果权限设置不正确，攻击者还可以通过简单的API调用创建和销毁云环境。

4.为了实现朝着零信任的转变。2021年5月，拜登政府通过行政命令14028号指示美国联邦机构采用零信任网络安全原则。而且，许多公司已经朝着零信任架构迈出了坚实的步伐。零信任原则规定，不应自动信任任何用户或设备，因为每个网络内外都可能存在潜在的攻击者。零信任采用者要求在访问资源时不断重新验证身份。

您对身份管理计划所做的任何投资都是向前迈出的一步。但考虑到企业身份架构有多个方面，确定正确的优先顺序可能会有困难。与任何其他安全投资一样，对身份的投资有一个逻辑的发展过程——首先要建立基本功能和能力的基础，然后随着公司的成熟，这些计划也会扩展。

为了帮助构建这个旅程，有助于考虑一系列特性，这些特性与成熟度曲线相对应。就像一棵成长的植物一样，我建议将身份现代化分为三个关键的发展阶段——种子、发芽和开花。首先，您将创建您的身份管理计划，然后帮助它成长，最后支持其成熟。尽管这种方法不包括所有可能的身份功能，但旨在提供一个可用的模型，用于规划和实施企业身份战略。

我们将使用"种子Seed"（形成）、"发芽Sprout"（进展）和"开花Bloom"（高级）的框架来看待这个成熟度曲线和实施进展。

• 将您的人力资源信息系统（HRIS）与身份基础设施集成，以支持在员工和合同工入职时自动提供身份，以及在离职时取消权限。

• 将您的身份存储集中到单一的身份提供者（IdP）—作为员工身份的真实来源。此过程可以从识别需要迁移的身份孤立系统开始。

• 收集您的员工访问的资源的上下文信息，例如SaaS应用程序、云基础设施、数据存储和定制应用程序等。拥有一个按使用这些资源的团队相互关联的资源清单将有助于您构建您的身份管理计划。

一旦您的身份管理计划的基础就位，现在是时候完善您的计划运营、加强安全措施，并将身份作为公司综合安全策略的焦点。发芽阶段的关键优先事项包括：

• 在所有资产上启用无处不在的单一登录（SSO）。SSO简化了您员工的访问体验，并通过消除身份孤立和不同的凭证来提高安全性。

• 强制执行多因素身份验证（MFA）。MFA提供了额外的保护，防止了与被盗凭据相关的风险。请注意，MFA的安全强度有不同级别，您可以根据需要和能力的变化进行调整，例如，基于短信或文本消息的MFA比FIDO2标准要弱，后者包括无密码的身份验证方法，如Apple Touch ID和Face ID。

• 通过秘密管理和特权访问管理（PAM）来管理共享和特权身份。某些身份具有更高的价值，并由多个方使用，这些功能可以让您更安全、更高效地支持这些类型的身份和访问。

• 集中请求和审查对企业资源的访问。有效管理不断变化的访问需求对于提供积极的员工体验与安全性至关重要，确保访问权限没有不必要的过度授权，以及满足您的合规性义务。

• 部署密码管理器，以改善整个企业的密码卫生状况。

随着您的公司成熟，您的身份管理计划也在不断发展。在开花阶段，是时候最大化和提升您的身份投资和能力了。在这个阶段，您将利用身份数据来实现各种目标，您的员工在使用身份系统时应该变得越来越复杂和用户友好。开花阶段的关键议程项目包括：

• 支持持续和有条件的访问控制，以提高安全性并支持零信任。当成熟的组织进行身份验证和授权决策时，它们可以利用多个信号，包括访问时间和位置、设备是否正在活动使用以及历史设备活动。如果您的团队在进行授权之前识别出了“黄灯”，您可以实施功能，例如升级身份验证或其他证明身份的机制。

• 利用身份日志和数据支持检测和响应工作，包括更复杂的用例，如异常检测和行为分析。这些功能可以帮助识别各种问题，从被盗的身份到内部威胁到过度授权的访问。

• 自动化和集中身份相关的证据和数据，以支持审计和调查。

• 提供自动化的、自助式的企业资源访问请求和授权。您了解您的员工或合同工需要访问的系统、应用程序和数据，并能够根据需要在员工或合同工入职的第一天、角色变化或业务需求时提供访问权限。

• 启用最小权限和即时访问（JIT）跨环境，以确保用户仅获得他们需要的访问权限，过度授权的访问不会导致安全问题。此外，具有与最小权限对齐的精细调整权限为检测和响应提供了高保真度信号的基础。

• 通过使用通行证、生物特征或其他方式提供无密码体验，可以显著改善用户体验，并有效抵御钓鱼和其他对凭据的攻击。虽然通行证支持尚未普及，但一些在线服务、浏览器和密码管理器已经实施了支持，未来几年肯定会看到更广泛的兼容性。

• 通过提供单一的手段来表达、配置和授予权限，来集中权限和权利，无论是在云上还是在本地，以支持企业资产。

就像种子、发芽和开花阶段一样，将任何网络安全现代化项目分解成逐渐进行的阶段非常重要——这种实施结构有助于使变化更加具体和可操作，每个个体行动都有助于实现长期战略。例如，作为一名创始人或首席信息安全官（CISO），您可能计划首先在您的组织承诺进行企业身份现代化时进行一些战术性的转变。

这些过渡可能包括：

• 从孤立的身份到集中的身份
• 从基于用户名和密码的身份验证到多因素身份验证（MFA）
• 从基于短信的MFA到更强大、抵御钓鱼攻击的MFA
• 从本地身份到单一登录（SSO）
• 从分散和未知的身份到维护清单