身份安全:零信任策略的核心價值
對於現今企業而言,隨著遙距工作員工和外聘工作者數量與日俱增,以及企業需要持續地將應用程式和工作負載轉移至多樣雲端環境和混合基礎架構,而周邊資訊安全措施顯然已不足以應付需求,安全挑戰變得越來越大。
企業越來越多非人類工作團隊
最近一項Forrester報告指出,企業的工作團隊正由越來越多的非人類身份,包括機器人流程自動化 (robotic process automation)、實體機械人和物聯網系統等構成。為保護這些身份的安全,加強身份與存取權限管理變得更為重要。
網路罪犯正不斷透過盜用使用者帳戶,企圖入侵公司網絡和系統。因此,許多企業正逐漸將保安重點轉移至身份安全保護上,當中包括員工、合作夥伴、供應商及機器人等,只對正確的身份提供必要的存取權限。正是基於這個原因,零信任 (Zero Trust) 安全架構必須以身份安全作為核心。
零信任安全架構概念是基於「絕不信任,一律認證」的原則,意指在身份被驗證確認之前,任何使用者、設備、檔案資源或應用程式都被視為不可信。當所有網路流量都被視為不可信,唯一可行的安全策略便是身份安全驗證。
92%受訪企業採用零信任安全架構
SailPoint委託Dimensional Research對全球315名IT及安全專家進行調查,以了解企業的安全和身份管理策略,以及對零信任安全架構的採用程度,發現混合辦公模式、不斷增加的雲端使用量,以及日漸猖獗的網絡攻擊,正在促使92%的受訪企業採用零信任安全架構,並期望該架構能夠為企業帶來更高的能見度、更早的威脅偵測、減少攻擊事件,以及改善應對措施。
同時,幾乎所有受訪者 (97%) 都認同身份認證是零信任安全架構的核心,但缺乏相關專業知識和專家是妨礙企業採用零信任安全策略的最大原因。
既然企業需要零信任的專業知識和更容易整合的解決方案,他們應該尋求怎樣的身份安全解決方案呢?
全方位的身份安全解決方案將使企業能夠將身份生命週期管理自動化,亦能夠確保身份屬性的完整性,根據組織中的職責授予權限,並善用人工智慧(AI)和機器學習(ML)等先進技術來管控存取風險,並妥善應對威脅。
擬定因應公司環境和網絡威脅變化的策略
一個強而有力的身份安全計畫可使企業有能力管控各類數碼身份的存取權限,擬定出一套能夠因應整個公司環境和網絡威脅的變化,而進行系統性調整與適當應變的零信任安全架構,其中重要的原則包括:
絕不信任,一律認證:存取權限必須根據情境與最新的身份資料而決定。企業需要全面掌握所有用戶類型以及各自的相關存取資料,包括所有權限、權利、屬性和角色。此外,企業必須建立清楚準確的身份紀錄作為單一的信任紀錄來源,使決定任何存取權限時,都能夠以紀錄為準。而且必須採用身份生命週期自動管理,隨時更新身份資料數據。隨時提供適當存取權限:善用職責和複雜的存取策略邏輯,落實最小權限原則。企業可以使用職責、精細調整的權限、准許和動態原則,授予適度的存取權限。透過自動存取,當建立新用戶或員工變更崗位時,可根據存取原則自動授予和更新存取權限。針對未被使用的存取權限和無活動的帳戶,亦可以自動撤銷解除,以減低風險,同時偵測並預防可疑的存取組合,避免潛在的網絡詐騙或盜竊。
持續監控、分析和調整:確保安全系統處於最新狀態,並在發生變故及偵測到威脅時主動應變。透過AI所得的資訊,企業可深入洞悉並瞭解所有用戶的存取情形,包括趨勢、職責、離群值和關係。通過監測應用程式、資料和雲端資源存取控管措施的有效性,企業可以確保各項授予的權限一律符合原則,同時持續監控來自數碼生態系統的風險警報,並與零信任安全架構之間保持聯繫,確保能即時執行資訊安全措施。最後透過自訂工作流程及API,企業能在其他網路安全和存取系統全面自動處理身份安全計畫。
為了作出更好的身份安全決定,企業需要善用人工智慧和機器學習技術,在混合和多樣雲端環境、遙距工作和多樣設備環境中,將所有關於用戶存取的探索、管理和治理工作自動化。
透過人工智慧和機器學習,企業可以取得精準情報並洞悉存取權限、異常權限及潛在風險,並能夠在整個生命週期中輕鬆管理存取權限,將IT工作自動化,同時減輕威脅,並增強員工的工作效率。
作者簡介:SailPoint亞太區高級副總裁梅正宇
資深的資訊科技業界人士,於業務發展、銷售和營銷管理方面擁有超過25年經驗。此前,他曾擔任Automation Anywhere的亞太區高級副總裁、Splunk 的亞太區副總裁,以及Symantec的大中華區副總裁等高級管理職位。此外,梅先生曾帶領 Oracle 大中華區系統業務的發展,並曾在HP和Lenovo擔任管理職務。
