Gartner日前為數(shù)字身份管理繪制了最新版成熟度曲線（Hype Cycle），通過研究該曲線上相關(guān)的趨勢預(yù)測，可以更好地了解身份訪問管理（IAM） 領(lǐng)域的未來技術(shù)發(fā)展。報告研究認為，由于網(wǎng)絡(luò)威脅形勢和隱私保護要求，企業(yè)安全領(lǐng)導(dǎo)人在確保數(shù)據(jù)得到保護的同時，必須盡快實現(xiàn)數(shù)字化時代的企業(yè)身份綜合管理，而機器身份管理和物聯(lián)網(wǎng)身份驗證已經(jīng)成為組織數(shù)字身份管理的新挑戰(zhàn)。

　　圖：Gartner 2022版數(shù)字身份成熟度曲線

　　本次報告重點強調(diào)了數(shù)字身份治理中的機器身份管理和物聯(lián)網(wǎng)身份驗證。機器身份是指確立數(shù)字設(shè)備訪問及交易活動有效性的數(shù)字密鑰、權(quán)證和證書等。機器身份管理（MIM）在2020年Gartner身份訪問管理成熟度曲線中首次被提及，此后作為一項網(wǎng)絡(luò)安全計劃備受關(guān)注。

　　在本次發(fā)布的成熟度曲線中，研究人員認為機器身份管理技術(shù)仍處于概念炒作的泡沫期，雖然企業(yè)組織長期以來一直注重保護訪問系統(tǒng)的人類用戶的身份，但目前整體還缺乏在整個企業(yè)中實現(xiàn)機器身份管控的有效策略和技術(shù)手段：

　　01 機器身份威脅正在快速增長

　　“機器”的定義已變得相當廣泛，不僅包括筆記本電腦和服務(wù)器等設(shè)備，還包括API組件、應(yīng)用程序、云基礎(chǔ)架構(gòu)和容器等等。機器身份的數(shù)量目前與人類身份平均比例為10：1，并且還在繼續(xù)增長。雖然確立數(shù)字身份的工具已相當成熟，但管理這些身份帶來了相當大的挑戰(zhàn)，手動管理時尤其困難重重。

　　02 機器身份需差異化管理

　　攻擊者已經(jīng)充分了解機器身份是企業(yè)中安全防護中的一大短板，這使得機器身份成為經(jīng)常被利用的漏洞。針對機器身份漏洞的新惡意軟件與日俱增，針對證書的惡意軟件攻擊數(shù)量也在不斷增加。從2017年到2021年，這類攻擊數(shù)量增長幅度超過400%；2020年，50%的云安全事件是由于機器身份和權(quán)限管理不善所引發(fā)的。Gartner在報告中表示，機器身份和傳統(tǒng)人類身份在可觀測性、所有權(quán)和自動化分配等方面存在明顯差異。組織必須要盡快了解并認知這些差異，使用新型的身份識別技術(shù)手段，才能有效地實施機器身份管理戰(zhàn)略。

　　03 物聯(lián)網(wǎng)應(yīng)用是機器身份管理的重要挑戰(zhàn)

　　物聯(lián)網(wǎng)產(chǎn)品為機器身份管理帶來了全新的需求和挑戰(zhàn)，將數(shù)字化基礎(chǔ)設(shè)施建設(shè)模式引入到物聯(lián)網(wǎng)應(yīng)用流程中，可以生成實時生產(chǎn)數(shù)據(jù)，提醒操作員注意隨時產(chǎn)生的維護需求，并持續(xù)性跟蹤資產(chǎn)運營狀態(tài)等。Gartner研究認為，物聯(lián)網(wǎng)設(shè)備的廣泛應(yīng)用正帶來新的威脅途徑?？煽康臋C器身份管理策略則是防止物聯(lián)網(wǎng)安全事件發(fā)生的基礎(chǔ)性措施。這將有助于防止針對重要工業(yè)設(shè)備的攻擊，避免災(zāi)難性事件及后果。

　　物聯(lián)網(wǎng)領(lǐng)域在合規(guī)和審計方面都有著獨特的需求和挑戰(zhàn)。雖然目前公共事業(yè)管理部門在定義物聯(lián)網(wǎng)身份驗證方法方面取得了一定進展，但仍有大量工作要做。報告研究發(fā)現(xiàn)，大多數(shù)工業(yè)物聯(lián)網(wǎng)（IIoT）系統(tǒng)都是獨立的，通過使用原生方式進行身份驗證。此外，由于某些物聯(lián)網(wǎng)設(shè)備在資源或功能方面受限，計算能力低、安全存儲容量有限，因此很多目前常見的身份驗證方法不是很適合。Gartner建議，應(yīng)盡快評估和制定支持物聯(lián)網(wǎng)領(lǐng)域中各類設(shè)備的身份驗證的新標準和技術(shù)框架。

　　04 機器身份管理需要支持性基礎(chǔ)設(shè)施提供保障

　　不僅是種類和數(shù)量方面的挑戰(zhàn)，不同組織和業(yè)務(wù)部門對智能機器設(shè)施也有著多樣化的應(yīng)用場景。這種廣泛的使用模式需要一套集中的管理標準，讓機器身份管理工作在整個組織范圍內(nèi)能夠保持一致，同時允許部門以適合方式靈活地實施機器身份管理。在成熟度曲線報告中，提到了“先有雞還是先有蛋”的問題，即“用戶在觀望相關(guān)機器身份管理標準是否會成為主流方式，而身份管理服務(wù)商卻在觀望用戶的物聯(lián)網(wǎng)系統(tǒng)是否會得到廣泛地應(yīng)用”。

　　報告建議，應(yīng)該先確立身份發(fā)現(xiàn)流程，從而確定機器身份的整體相互依賴關(guān)系。一些新的機器身份管理平臺和服務(wù)模型使組織更容易管理機器身份和公鑰基礎(chǔ)設(shè)施。這些集中式平臺為整個企業(yè)的機身身份管理活動提供了一個決策中心，并為自動化管理奠定了基礎(chǔ)。借助創(chuàng)新的技術(shù)工具，可以快速提升組織開展機器身份管理工作的效率。在過去，每個管理機器身份的業(yè)務(wù)部門都需要自己的證書頒發(fā)機構(gòu)（CA），并設(shè)置專用的服務(wù)器。而現(xiàn)代機器身份管理平臺可以在一臺服務(wù)器上托管多個CA。這些產(chǎn)品預(yù)裝了數(shù)據(jù)庫和集成，讓用戶可以避免供應(yīng)商膨脹（vendor bloat）。PKI服務(wù)產(chǎn)品讓組織可以借助高效的SaaS訂閱模型，完全外包機器身份管理工作。

　　05 為建設(shè)零信任安全奠定基礎(chǔ)

　　開展零信任架構(gòu)建設(shè)是企業(yè)安全領(lǐng)域的最新趨勢。零信任是一種策略，而不是一種工具。為了在不阻礙業(yè)務(wù)流程的情況下啟用這項策略，組織必須要部署有效地管理機器身份的架構(gòu)和框架。因為在以身份為中心的安全模型構(gòu)建中，人員和機器身份將是安全策略創(chuàng)建的核心，具有基于分配屬性的訪問控制和策略。在這種情況下，訪問企業(yè)數(shù)據(jù)和資源的前提就是持續(xù)性驗證請求用戶或機器的身份及訪問權(quán)限。

　　06 將機器身份管理“左移”

　　敏捷開發(fā)和DevOps流程正在大量使用，從安全的角度來看，這意味著更快的數(shù)字請求和應(yīng)用速度，它們必須得到保護，又不能成為瓶頸。在早期階段就讓安全、測試和合規(guī)等方面的負責人參與系統(tǒng)設(shè)計項目，這種方法被稱為DevSecOps。借助適當?shù)墓ぞ撸珼evOps的關(guān)鍵原則（比如自動化）能夠被擴展到安全和機器身份管理方面。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<