为什么身份是新的安全性

边界安全已经足够了。现在,我们需要弄清楚如何在日益复杂的世界中管理用户身份

为什么身份是新的安全性
Thinkstock

IT世界中的安全边界正在不断变化,疏散且通常是虚构的线。安全边界是划定主权或行政边界的边界,该边界决定了谁控制什么。边界所有者应该保护其域内的资产免受所有其他未经授权的入侵。

安全边界很重要。几乎每场战争都是一场战争。

几十年来,边界一直由传统的防火墙或路由器决定。防火墙或路由器所有者通常通过IP地址定义内部和外部分支,或者如果需要,则由双方共享DMZ。所有经过一侧到另一侧的流量均经过检查,并且在不允许的情况下被阻止。

三人安全边界的概念是我们大多数人长期以来一直真正需要知道的,并且它仍然至少构成了我们今天面临的复杂性的第一层。

虚拟新天地棋牌的兴起

那就是简单的生活。然后,单个虚拟新天地棋牌通过多个路由器和防火墙分布在多个物理站点上。虚拟新天地棋牌首先通过拨号调制解调器和其他慢速点对点模拟链路进行桥接,现在通过实时,快速,始终在线的Internet隧道连接将其形成单个新天地棋牌空间。

可能涉及数十至数百个防火墙,路由器和服务,即使顶层所有者最终负责保护其安全,但其中许多可能不受最终组织的控制。

几十年前,在OSI模型的较高层(例如Kerberos领域和NT域)的早期软件定义新天地棋牌(我使用的是传统意义上的用语)开始泛滥。在Microsoft Windows新天地棋牌世界中,其口头禅是“ NT域是安全边界”。随着新天地棋牌尤其是Microsoft新天地棋牌的日趋成熟,这一口头禅变成了“ Active Directory林是安全边界”。

即使负责保护Windows新天地棋牌安全的人员经常重复这些口头禅,但它们从来没有真正地做到完全。域或林可能是Active Directory安全边界,但是许多攻击都与您如何定义Active Directory权限无关。诸如SQL Slammer或Linux Lion之类的蠕虫很容易感染任何包含满足其利用要求的漏洞的应用程序。

安全边界始终由不同的,混杂的,通常相反的层组成。 OSI新天地棋牌模型表示的每个层都可以而且通常确实具有不同的安全边界集。您公司的物理边界肯定不同于其虚拟边界,并且单个应用程序可以跨越许多新天地棋牌和域。许多新天地棋牌通常是全球性的,短暂的性质,进一步侵蚀了传统安全边界的坚固城堡墙。

新的安全模型

在2000年代初期,我的前工作同事史蒂夫·赖利(Steve Riley)是我认识的第一个坦率地说出来的人:没有真正的安全界限。

赖利说,DMZ已死,防火墙是一个过时的古朴概念。他建议不要使用防火墙。他说,应该保护服务器和应用程序。尽管他所说的只是事实的真相,但他的讲话当时令我和其他人震惊。

最初,我与这个想法进行了抗争,但是我对它的思考越深,我越意识到他是对的。

大多数据称具有安全防火墙和路由器的新天地棋牌总是比其应有的漏洞更多。我在实际生产环境中曾经检查过的每个防火墙都有默认规则的数十至数百个例外。太多的数量允许任何对任何规则,通常是由对连接或应用程序问题进行故障排除的人错误地遗忘的规则,从根本上消除了防火墙的作用。大多数防火墙都有允许远程管理员从任何地方连接到任何地方的规则。您只需要知道港口即可到达通往该王国其他地区的宽阔隧道。

您的“安全”边界从未像您想像或计划的那样安全。

身份成为焦点

上周,我最喜欢的同事和公认的安全机构Mark Simos之一说:“身份是新的安全边界。”

他是完全正确的。从来没有过新天地棋牌或防火墙。那是一种幻想。如果有人可以使用任何身份登录到您的新天地棋牌,操作系统或应用程序,那么他们已经成功通过了保护性安全边界。在当今的多云,多身份世界中,尤其如此。

毫无疑问,正确的身份管理是确保任何环境安全的关键。过去,我们控制着哪些身份进入我们的新天地棋牌和应用程序。这是我们的目录空间。不再如此。

今天,我们必须在我们的私有名称空间之上,在我们的新天地棋牌和应用程序上已经存在或将要存在的所有外部全局名称空间和凭据进行分层。我正在谈论的是目前在世界范围内广泛使用的外部单点登录身份验证方法,包括Facebook,Twitter,Gmail,Microsoft帐户,Microsoft Passport,OpenID和所有Liberty Alliance Identity Framework SAML令牌。

使用有效身份,攻击者可以使用合法身份持有者的所有权利和权限来访问新天地棋牌,操作系统或应用程序。有时,获得非特权身份是攻击者获得完全访问身份的第一步。在其他时候,只有正常身份才能访问所需的信息。如果您无法阻止攻击者窃取身份帐户,则所有其他安全措施都是徒劳的。

身份是新的安全边界。

版权 © 2015 IDG通讯 ,Inc.