身份是控制的關(guān)鍵。只有管理身份(以及關(guān)聯(lián)的憑據(jù)，權(quán)限和屬性)，才能有效地控制任何計(jì)算環(huán)境。

身份管理是沉默線程，可用于管理混合，網(wǎng)格和其他多云環(huán)境。在本周于華盛頓特區(qū)舉行的Identiverse上，身份管理行業(yè)聚集一堂，討論既定標(biāo)準(zhǔn)的演變以及對(duì)更新規(guī)范的需求，以控制日益復(fù)雜的云到邊緣環(huán)境。

無邊界多云中的身份標(biāo)準(zhǔn)化

實(shí)際上，在身份管理提供商和會(huì)議組織者Ping Identity的創(chuàng)始人，董事長(zhǎng)兼首席執(zhí)行官安德烈·杜蘭德(Andre Durand)提出的第一天主題演講中，多云“身份控制平面”的概念是當(dāng)務(wù)之急 。杜蘭德說，他演講的核心是需要在世界上任何地方的任何設(shè)備上建立受信任的身份基礎(chǔ)結(jié)構(gòu)，而該設(shè)備“默認(rèn)情況下已被標(biāo)識(shí)”。

作為通常被稱為“以用戶為中心的身份”商業(yè)化的先驅(qū)人物，Durand的主題演講表達(dá)了構(gòu)建跨任何未來云環(huán)境的身份控制平面的幾個(gè)基本原則：

身份主權(quán)：個(gè)人必須能夠在任何時(shí)候，以任何理由，在任何時(shí)間，任何時(shí)間對(duì)任何一方公開自己的身份，并根據(jù)自己的意愿公開或隱藏自己的身份。單方面來自蓄意或無意損害或侵犯這些權(quán)利的任何領(lǐng)域。

身份通用性：人們必須能夠依靠一個(gè)全球性，分布式且普遍信任的身份元系統(tǒng)，在該系統(tǒng)中，他們可以交換數(shù)字證書，而無需受信任的第三方來擔(dān)保和驗(yàn)證那些身份。

身份質(zhì)量：用戶的身份驗(yàn)證，授權(quán)和其他身份介導(dǎo)的體驗(yàn)應(yīng)快速，個(gè)性化，移動(dòng)，多因素，生物識(shí)別，無密碼，無摩擦，可靠且可恢復(fù)。

身份自動(dòng)化：基礎(chǔ)架構(gòu)應(yīng)使用AI自動(dòng)化身份和安全管道中的大多數(shù)流程，同時(shí)處理來自邊緣環(huán)境(例如“物聯(lián)網(wǎng)”端點(diǎn))的信號(hào)，以自動(dòng)化實(shí)時(shí)獲取身份威脅情報(bào)。

身份標(biāo)準(zhǔn)化：端到端身份管理，權(quán)限和信任環(huán)境必須建立在標(biāo)準(zhǔn)框架，協(xié)議和接口上，包括成熟的，廣泛采用的標(biāo)準(zhǔn)，例如安全斷言標(biāo)記語言，OAuth 和OpenID Connect，以及新興的規(guī)范，例如作為FIDO和跨域身份管理系統(tǒng)。

人工智能將推動(dòng)端到端，零信任的多云安全

復(fù)雜的云到邊緣環(huán)境中的身份控制平面必須不斷地重新驗(yàn)證用戶并重新驗(yàn)證訪問請(qǐng)求。在這方面，杜蘭德討論了身份管理行業(yè)向“零信任”安全性的轉(zhuǎn)變，該安全也被稱為“身份定義的安全性”，“自適應(yīng)身份安全性”，“動(dòng)態(tài)授權(quán)”和“外圍安全性”。

正如三個(gè)月前在Wikibon報(bào)告中所闡明的那樣，這種范例實(shí)質(zhì)上將軟件定義的安全“邊界”移動(dòng)到所請(qǐng)求的內(nèi)容在私有，公共，混合，網(wǎng)格和其他多云環(huán)境中的任何位置。零信任安全性(通常包含AI驅(qū)動(dòng)的自適應(yīng)訪問風(fēng)險(xiǎn)緩解功能)是Wikibon最近發(fā)布的混合云分類法中的關(guān)鍵要素 。它是安全性，合規(guī)性和數(shù)據(jù)平面的組成部分，要求在以公鑰基礎(chǔ)結(jié)構(gòu)和開放身份標(biāo)準(zhǔn)為基礎(chǔ)的可伸縮信任環(huán)境中進(jìn)行強(qiáng)大的多因素身份驗(yàn)證。

在零信任安全性下，邊緣的每個(gè)節(jié)點(diǎn)始終可以訪問相關(guān)身份，憑據(jù)，權(quán)限，上下文變量，基于代碼的策略和其他安全資產(chǎn)，這些資產(chǎn)需要進(jìn)行嚴(yán)格的身份驗(yàn)證并授權(quán)對(duì)托管資源的訪問，同時(shí)還要確保機(jī)密性，篡改-校對(duì)，審計(jì)跟蹤和其他安全控制。訪問授權(quán)只限于特定的內(nèi)容，上下文和時(shí)間范圍，以減輕安全風(fēng)險(xiǎn)。本質(zhì)上，所有用戶都被視為“遠(yuǎn)程”用戶，以認(rèn)證和授權(quán)他們對(duì)所請(qǐng)求資源的訪問。

杜蘭德(Durand)對(duì)身份相關(guān)標(biāo)準(zhǔn)進(jìn)行了其他全面的討論，一個(gè)奇怪的遺漏是他沒有提到 后周邊安全聯(lián)盟(Post-Perimeter Security Alliance)。在最近的RSA Conference的籌備中，移動(dòng)威脅防御提供商Lookout Inc.宣布了 這一計(jì)劃，根據(jù)該計(jì)劃，著名的 解決方案提供商正在就與供應(yīng)商無關(guān)的框架建立合作，以實(shí)現(xiàn)零信任安全和相關(guān)的身份基礎(chǔ)結(jié)構(gòu)。

在復(fù)雜的云到邊緣環(huán)境中分布身份控制平面

Durand沒提到的另一個(gè)重要主題是在軟件定義的網(wǎng)絡(luò)中使用AI驅(qū)動(dòng)的零信任安全性，而軟件定義的網(wǎng)絡(luò)越來越成為多云的主干。正如我在兩個(gè)月前在Wikibon報(bào)告中所討論的那樣，人工智能對(duì)于自動(dòng)化將綁定多云的軟件定義的互聯(lián)網(wǎng)絡(luò)中的應(yīng)用程序安全問題的預(yù)防，檢測(cè)和修復(fù)自動(dòng)化至關(guān)重要。

在這些互聯(lián)網(wǎng)絡(luò)骨干網(wǎng)中，AI驅(qū)動(dòng)動(dòng)態(tài)安全響應(yīng)，例如基于意圖的網(wǎng)絡(luò)，應(yīng)用程序感知防火墻，入侵防御，健康監(jiān)控，反惡意軟件，持續(xù)利用測(cè)試和閉環(huán)網(wǎng)絡(luò)自我修復(fù)。而且，它使自動(dòng)化工具能夠預(yù)測(cè)目標(biāo)生產(chǎn)環(huán)境中代碼的可能行為，而不僅僅是掃描構(gòu)建以查找過去看到的已知問題的特征。

但是，Durand和其他發(fā)言人非常強(qiáng)調(diào)整個(gè)分布式多云中身份控制的可重用性。這將使開發(fā)人員能夠利用開放的API在更嚴(yán)格的多云身份管理保護(hù)措施內(nèi)重用現(xiàn)有的身份驗(yàn)證，許可和其他服務(wù)。

在這方面，本周Identiverse的一項(xiàng)重要新聞是ID DataWeb和 NextLabs已加入身份定義安全聯(lián)盟(Identity Defined Security Alliance)，該組織已開發(fā)了可重用且與供應(yīng)商無關(guān)的模式，用于重用和組合多云身份控制。正如聯(lián)盟白皮書中所討論的那樣，它們的框架包含了離散且可組合的身份和安全控制的目錄，例如基于配置文件的多因素身份驗(yàn)證，特權(quán)訪問管理和云訪問安全代理，這些可能由各種供應(yīng)商提供或開源支持軟件實(shí)現(xiàn)。

在Identiverse，關(guān)于云到邊緣身份管理的另一個(gè)重要公告是FIDO聯(lián)盟 為其免費(fèi)許可，與供應(yīng)商無關(guān)，無密碼的身份驗(yàn)證框架啟動(dòng)了新的身份驗(yàn)證和認(rèn)證程序。該聯(lián)盟的新工作組將專注于“基于占有”的多因素身份驗(yàn)證技術(shù)(例如生物特征“自拍”匹配)，以加強(qiáng)身份保證，以確保物聯(lián)網(wǎng)上的帳戶啟用和帳戶恢復(fù)。

在與Wikibon的討論中，F(xiàn)IDO負(fù)責(zé)人Nok Nok Labs的Rolf Lindemann討論了已有7年歷史的聯(lián)盟如何在聯(lián)合多云和云到邊緣環(huán)境中實(shí)現(xiàn)簡(jiǎn)化的多因素，多模式憑據(jù)置備。FIDO框架定義的核心接口標(biāo)準(zhǔn)化了設(shè)備與可信執(zhí)行環(huán)境，嵌入式身份驗(yàn)證器硬件或外部安全令牌之間以及這些設(shè)備與遠(yuǎn)程本地服務(wù)器之間的按需加密協(xié)議。這些功能對(duì)于智能家居等消費(fèi)領(lǐng)域和智能工廠等商業(yè)領(lǐng)域的物聯(lián)網(wǎng)設(shè)備的多因素，零信任認(rèn)證至關(guān)重要。

Identiverse的從業(yè)者小貼士

對(duì)于構(gòu)建混合云和多云的信息技術(shù)專業(yè)人員而言，不可避免的是需要基于標(biāo)準(zhǔn)的身份控制平面。

您的身份控制平面需要成為安全和策略管理平面的組成部分，該平面和安全結(jié)構(gòu)必須跨越多云基礎(chǔ)結(jié)構(gòu)中的所有域(本地，公共云，網(wǎng)格和邊緣)。您應(yīng)該部署一個(gè)身份背板，該背板為多因素身份驗(yàn)證，單點(diǎn)登錄，基于角色的訪問控制，委派權(quán)限和跨所有域的其他安全功能提供統(tǒng)一的環(huán)境。

通用身份基礎(chǔ)結(jié)構(gòu)應(yīng)通過您的多云管理工具進(jìn)行集中配置，監(jiān)控和管理。由于它們可以通過強(qiáng)大的AI啟用零信任的無邊界安全性，因此，應(yīng)將此基礎(chǔ)結(jié)構(gòu)部署為端到端AIOps環(huán)境的核心組件，以進(jìn)行實(shí)時(shí)，閉環(huán)IT和應(yīng)用程序管理。

提醒您的一點(diǎn)是，各種多云和AIOps供應(yīng)商在其產(chǎn)品組合中實(shí)施身份標(biāo)準(zhǔn)的方式幾乎沒有一致性。開拓性用戶很可能需要編寫大量粘合代碼，以使云提供商的完全不同的身份和安全骨干網(wǎng)能夠以端到端的無縫方式進(jìn)行互操作和管理。