2024年3月24日发(作者:楼灵阳)
2020年规划指南:身份和访问管理
导语
IT必须推进IAM(身份和访问管理)计划。IAM安全技术专家应关注无口
令认证、价值驱动的IGA(身份治理和管理)、增强的消费者隐私要求、混合/
多云环境的趋势。
身份和访问管理(IAM)应向零信任架构演进。另外,考虑到Gartner技
术路线一贯的前瞻性或超前性,而国内安全基础尚有差距,建议在吸收
Gartner先进理念时,仔细看清创新理念与现实基础之差距,注重前瞻性与回
顾性兼顾,新探索和补基础兼顾,稳扎稳打、循序渐进。
一、四大发展趋势导出四大规划趋势
四个特定的发展大趋势成为推动因素:
1、商业认证标准正在成熟
快速身份在线(FIDO)联盟经多年努力,发布其第二代认证规范
(FIDO2)。FIDO2标准也被集成到网络浏览器中,包括Google Chrome、
Microsoft Edge、Mozilla Firefox和Apple Safari。商业MFA,包括谷歌、
微软、Yubico,提供了FIDO2无口令多因素服务。Gartner正看到这些产品
其客户中得到有价值的采用。符合FIDO2标准的无口令身份验证产品,可以通
过使用本地生物特征身份验证替换口令来改善用户体验并提高安全性。
2、组织正因IGA的失败而变得疲惫不堪
由于其广泛的应用和过程集成,IGA系统众所周知难以部署。但是,对于
大多数组织来说,IGA是一个必不可少的IAM功能,因为它提供了合规性和数
据保护方面的好处,并支持跨异构应用程序管理用户生命周期。价值降低的一
个常见迹象是部署有限,只有少数组织的多数应用程序集成到IGA系统中。另
一个常见的迹象是,许多首次IGA部署失败时会导致“拆除和替换”现象。组
织抛弃旧的IGA系统,再部署新系统。在超高速数字业务以及高风险数据泄露
和隐私要求的时代,由高级身份分析支持的敏捷IGA实现至关重要。
3、隐私规定非常真实
2019年7月,欧盟通用数据保护条例(GDPR)对未能保证个人数据安全
的组织处以巨额罚款。监管机构对万豪国际(Marriott International)3.39亿
份客人记录的曝光处以9900万英镑(1.24亿美元)以上的罚款,英国航空
(British Airways)因涉及50万名客户的数据泄露被处以1.835亿英镑
(2.28亿美元)的罚款。这明显超过以往的GDPR罚款。同样出台的还有:加
州消费者隐私法案(CCPA),于2020年1月生效。加州是地球上第五大经济
体,CCPA的实施对全球有重大影响。
4、多云正在深化
多年来,企业一直在利用单一的IaaS平台,如Amazon Web Services
(AWS)、Microsoft Azure、Google Cloud Platform (GCP)。然而,最近,
Gartner发现,多个IaaS提供商的使用激增。最常见的用例是对AWS进行多
年投资的组织,该组织开始利用Azure IaaS(及其身份系统Azure Active
Directory)。Gartner的客户经常从IAM的角度关注这两个IaaS平台之间的
集成。
上述四大发展趋势,推动了本文中指出的2020年之后的IAM方面的四大规划
趋势:
1)无口令认证将提高用户体验和安全性。
2)组织将要求IGA提供更多价值。
3)业务将扩大规模至防止隐私侵犯。
4)组织将采用混合和多云IAM的新战略。
主要趋势及其规划考虑如下图所示:
图1-2020年身份和访问管理的关键规划考虑
下面分别对四大趋势及其规划考虑作进一步描述。
二、身份和访问管理趋势
1、无口令身份验证将提高用户体验和安全性
众所周知,口令并不安全,难以管理也使用不便。81%的黑客相关入侵都
利用了被盗口令或弱口令。随着越来越多的服务迁移到云端,攻击者会改变策
略,在新环境中查找弱点。用户的口令疲劳是一种常见的情况,许多研究表
明,用户大体上对其他可替代认证机制持开放态度,包括那些依赖手机和生物
特征识别的机制。
无口令身份验证可以改善用户体验(UX)和安全性。无口令身份验证通常
用本地生物特征身份验证替换口令,并与其他多因素方法一起使用。无口令身
份验证强大的生物特征和基于硬件的身份验证方法的推动下,正在获得市场吸
引力。
当前支持无口令身份验证的可用技术包括:
Windows Hello for Business(WHfB)服务。WHfB是一种微软技术,
它可以在Windows 10设备上实现无口令身份验证。WHfB提供了一个本地身
份验证框架,既支持设备驻留身份验证程序,又支持外部身份验证程序。开箱
即用,微软支持人脸识别、指纹、虹膜识别(在移动设备上),FIDO2安全密
钥和本地PIN。人脸识别模式需要专门的高保真、深度感应红外摄像头(例如
Intel的RealSense)。
2024年3月24日发(作者:楼灵阳)
2020年规划指南:身份和访问管理
导语
IT必须推进IAM(身份和访问管理)计划。IAM安全技术专家应关注无口
令认证、价值驱动的IGA(身份治理和管理)、增强的消费者隐私要求、混合/
多云环境的趋势。
身份和访问管理(IAM)应向零信任架构演进。另外,考虑到Gartner技
术路线一贯的前瞻性或超前性,而国内安全基础尚有差距,建议在吸收
Gartner先进理念时,仔细看清创新理念与现实基础之差距,注重前瞻性与回
顾性兼顾,新探索和补基础兼顾,稳扎稳打、循序渐进。
一、四大发展趋势导出四大规划趋势
四个特定的发展大趋势成为推动因素:
1、商业认证标准正在成熟
快速身份在线(FIDO)联盟经多年努力,发布其第二代认证规范
(FIDO2)。FIDO2标准也被集成到网络浏览器中,包括Google Chrome、
Microsoft Edge、Mozilla Firefox和Apple Safari。商业MFA,包括谷歌、
微软、Yubico,提供了FIDO2无口令多因素服务。Gartner正看到这些产品
其客户中得到有价值的采用。符合FIDO2标准的无口令身份验证产品,可以通
过使用本地生物特征身份验证替换口令来改善用户体验并提高安全性。
2、组织正因IGA的失败而变得疲惫不堪
由于其广泛的应用和过程集成,IGA系统众所周知难以部署。但是,对于
大多数组织来说,IGA是一个必不可少的IAM功能,因为它提供了合规性和数
据保护方面的好处,并支持跨异构应用程序管理用户生命周期。价值降低的一
个常见迹象是部署有限,只有少数组织的多数应用程序集成到IGA系统中。另
一个常见的迹象是,许多首次IGA部署失败时会导致“拆除和替换”现象。组
织抛弃旧的IGA系统,再部署新系统。在超高速数字业务以及高风险数据泄露
和隐私要求的时代,由高级身份分析支持的敏捷IGA实现至关重要。
3、隐私规定非常真实
2019年7月,欧盟通用数据保护条例(GDPR)对未能保证个人数据安全
的组织处以巨额罚款。监管机构对万豪国际(Marriott International)3.39亿
份客人记录的曝光处以9900万英镑(1.24亿美元)以上的罚款,英国航空
(British Airways)因涉及50万名客户的数据泄露被处以1.835亿英镑
(2.28亿美元)的罚款。这明显超过以往的GDPR罚款。同样出台的还有:加
州消费者隐私法案(CCPA),于2020年1月生效。加州是地球上第五大经济
体,CCPA的实施对全球有重大影响。
4、多云正在深化
多年来,企业一直在利用单一的IaaS平台,如Amazon Web Services
(AWS)、Microsoft Azure、Google Cloud Platform (GCP)。然而,最近,
Gartner发现,多个IaaS提供商的使用激增。最常见的用例是对AWS进行多
年投资的组织,该组织开始利用Azure IaaS(及其身份系统Azure Active
Directory)。Gartner的客户经常从IAM的角度关注这两个IaaS平台之间的
集成。
上述四大发展趋势,推动了本文中指出的2020年之后的IAM方面的四大规划
趋势:
1)无口令认证将提高用户体验和安全性。
2)组织将要求IGA提供更多价值。
3)业务将扩大规模至防止隐私侵犯。
4)组织将采用混合和多云IAM的新战略。
主要趋势及其规划考虑如下图所示:
图1-2020年身份和访问管理的关键规划考虑
下面分别对四大趋势及其规划考虑作进一步描述。
二、身份和访问管理趋势
1、无口令身份验证将提高用户体验和安全性
众所周知,口令并不安全,难以管理也使用不便。81%的黑客相关入侵都
利用了被盗口令或弱口令。随着越来越多的服务迁移到云端,攻击者会改变策
略,在新环境中查找弱点。用户的口令疲劳是一种常见的情况,许多研究表
明,用户大体上对其他可替代认证机制持开放态度,包括那些依赖手机和生物
特征识别的机制。
无口令身份验证可以改善用户体验(UX)和安全性。无口令身份验证通常
用本地生物特征身份验证替换口令,并与其他多因素方法一起使用。无口令身
份验证强大的生物特征和基于硬件的身份验证方法的推动下,正在获得市场吸
引力。
当前支持无口令身份验证的可用技术包括:
Windows Hello for Business(WHfB)服务。WHfB是一种微软技术,
它可以在Windows 10设备上实现无口令身份验证。WHfB提供了一个本地身
份验证框架,既支持设备驻留身份验证程序,又支持外部身份验证程序。开箱
即用,微软支持人脸识别、指纹、虹膜识别(在移动设备上),FIDO2安全密
钥和本地PIN。人脸识别模式需要专门的高保真、深度感应红外摄像头(例如
Intel的RealSense)。