在Identiverse探索為多云構建身份控制平面的挑戰

身份是控制的關鍵。只有管理身份(以及關聯的憑據，權限和屬性)，才能有效地控制任何計算環境。

身份管理是沉默線程，可用于管理混合，網格和其他多云環境。在本周于華盛頓特區舉行的Identiverse上，身份管理行業聚集一堂，討論既定標準的演變以及對更新規范的需求，以控制日益復雜的云到邊緣環境。

無邊界多云中的身份標準化

實際上，在身份管理提供商和會議組織者Ping Identity的創始人，董事長兼首席執行官安德烈·杜蘭德(Andre Durand)提出的第一天主題演講中，多云“身份控制平面”的概念是當務之急 。杜蘭德說，他演講的核心是需要在世界上任何地方的任何設備上建立受信任的身份基礎結構，而該設備“默認情況下已被標識”。

作為通常被稱為“以用戶為中心的身份”商業化的先驅人物，Durand的主題演講表達了構建跨任何未來云環境的身份控制平面的幾個基本原則：

身份主權：個人必須能夠在任何時候，以任何理由，在任何時間，任何時間對任何一方公開自己的身份，并根據自己的意愿公開或隱藏自己的身份。單方面來自蓄意或無意損害或侵犯這些權利的任何領域。

身份通用性：人們必須能夠依靠一個全球性，分布式且普遍信任的身份元系統，在該系統中，他們可以交換數字證書，而無需受信任的第三方來擔保和驗證那些身份。

身份質量：用戶的身份驗證，授權和其他身份介導的體驗應快速，個性化，移動，多因素，生物識別，無密碼，無摩擦，可靠且可恢復。

身份自動化：基礎架構應使用AI自動化身份和安全管道中的大多數流程，同時處理來自邊緣環境(例如“物聯網”端點)的信號，以自動化實時獲取身份威脅情報。

身份標準化：端到端身份管理，權限和信任環境必須建立在標準框架，協議和接口上，包括成熟的，廣泛采用的標準，例如安全斷言標記語言，OAuth 和OpenID Connect，以及新興的規范，例如作為FIDO和跨域身份管理系統。

人工智能將推動端到端，零信任的多云安全

復雜的云到邊緣環境中的身份控制平面必須不斷地重新驗證用戶并重新驗證訪問請求。在這方面，杜蘭德討論了身份管理行業向“零信任”安全性的轉變，該安全也被稱為“身份定義的安全性”，“自適應身份安全性”，“動態授權”和“外圍安全性”。

正如三個月前在Wikibon報告中所闡明的那樣，這種范例實質上將軟件定義的安全“邊界”移動到所請求的內容在私有，公共，混合，網格和其他多云環境中的任何位置。零信任安全性(通常包含AI驅動的自適應訪問風險緩解功能)是Wikibon最近發布的混合云分類法中的關鍵要素 。它是安全性，合規性和數據平面的組成部分，要求在以公鑰基礎結構和開放身份標準為基礎的可伸縮信任環境中進行強大的多因素身份驗證。

在零信任安全性下，邊緣的每個節點始終可以訪問相關身份，憑據，權限，上下文變量，基于代碼的策略和其他安全資產，這些資產需要進行嚴格的身份驗證并授權對托管資源的訪問，同時還要確保機密性，篡改-校對，審計跟蹤和其他安全控制。訪問授權只限于特定的內容，上下文和時間范圍，以減輕安全風險。本質上，所有用戶都被視為“遠程”用戶，以認證和授權他們對所請求資源的訪問。

杜蘭德(Durand)對身份相關標準進行了其他全面的討論，一個奇怪的遺漏是他沒有提到 后周邊安全聯盟(Post-Perimeter Security Alliance)。在最近的RSA Conference的籌備中，移動威脅防御提供商Lookout Inc.宣布了 這一計劃，根據該計劃，著名的 解決方案提供商正在就與供應商無關的框架建立合作，以實現零信任安全和相關的身份基礎結構。

在復雜的云到邊緣環境中分布身份控制平面

Durand沒提到的另一個重要主題是在軟件定義的網絡中使用AI驅動的零信任安全性，而軟件定義的網絡越來越成為多云的主干。正如我在兩個月前在Wikibon報告中所討論的那樣，人工智能對于自動化將綁定多云的軟件定義的互聯網絡中的應用程序安全問題的預防，檢測和修復自動化至關重要。

在這些互聯網絡骨干網中，AI驅動動態安全響應，例如基于意圖的網絡，應用程序感知防火墻，入侵防御，健康監控，反惡意軟件，持續利用測試和閉環網絡自我修復。而且，它使自動化工具能夠預測目標生產環境中代碼的可能行為，而不僅僅是掃描構建以查找過去看到的已知問題的特征。

但是，Durand和其他發言人非常強調整個分布式多云中身份控制的可重用性。這將使開發人員能夠利用開放的API在更嚴格的多云身份管理保護措施內重用現有的身份驗證，許可和其他服務。

在這方面，本周Identiverse的一項重要新聞是ID DataWeb和 NextLabs已加入身份定義安全聯盟(Identity Defined Security Alliance)，該組織已開發了可重用且與供應商無關的模式，用于重用和組合多云身份控制。正如聯盟白皮書中所討論的那樣，它們的框架包含了離散且可組合的身份和安全控制的目錄，例如基于配置文件的多因素身份驗證，特權訪問管理和云訪問安全代理，這些可能由各種供應商提供或開源支持軟件實現。

在Identiverse，關于云到邊緣身份管理的另一個重要公告是FIDO聯盟 為其免費許可，與供應商無關，無密碼的身份驗證框架啟動了新的身份驗證和認證程序。該聯盟的新工作組將專注于“基于占有”的多因素身份驗證技術(例如生物特征“自拍”匹配)，以加強身份保證，以確保物聯網上的帳戶啟用和帳戶恢復。

在與Wikibon的討論中，FIDO負責人Nok Nok Labs的Rolf Lindemann討論了已有7年歷史的聯盟如何在聯合多云和云到邊緣環境中實現簡化的多因素，多模式憑據置備。FIDO框架定義的核心接口標準化了設備與可信執行環境，嵌入式身份驗證器硬件或外部安全令牌之間以及這些設備與遠程本地服務器之間的按需加密協議。這些功能對于智能家居等消費領域和智能工廠等商業領域的物聯網設備的多因素，零信任認證至關重要。

Identiverse的從業者小貼士

對于構建混合云和多云的信息技術專業人員而言，不可避免的是需要基于標準的身份控制平面。

您的身份控制平面需要成為安全和策略管理平面的組成部分，該平面和安全結構必須跨越多云基礎結構中的所有域(本地，公共云，網格和邊緣)。您應該部署一個身份背板，該背板為多因素身份驗證，單點登錄，基于角色的訪問控制，委派權限和跨所有域的其他安全功能提供統一的環境。

通用身份基礎結構應通過您的多云管理工具進行集中配置，監控和管理。由于它們可以通過強大的AI啟用零信任的無邊界安全性，因此，應將此基礎結構部署為端到端AIOps環境的核心組件，以進行實時，閉環IT和應用程序管理。

提醒您的一點是，各種多云和AIOps供應商在其產品組合中實施身份標準的方式幾乎沒有一致性。開拓性用戶很可能需要編寫大量粘合代碼，以使云提供商的完全不同的身份和安全骨干網能夠以端到端的無縫方式進行互操作和管理。