你好,我是茆正华。欢迎来到派拉软件【数字安全前沿栏目】之解读《新一代身份和访问控制管理》第四讲。
想象一下,当你的衣食住行全部载入物联网,真正的万物互联,这时候世界会怎么样?
我相信很多人会畅想一些科技炫目、高端智能的美好场景;同时,肯定也有人会担忧科幻电影中的人机灾难是否会发生。毕竟,我们已经站在了21世纪,对科技的想象已不再那么贫乏。
而物联网技术的出现与不断普及,又进一步拓展了我们对未来世界的想象!
据权威数据调查显示,2022年底,全球达到 143 亿个活跃物联网端点;到 2025 年,预计物联网连接数量将超过 300 亿,相当于平均每人近四台物联网设备。
如此庞大规模的物联网设备会带来一个什么样的世界呢?
我们不妨从物联网的定义开始探索。据IBM对物联网的定义:物联网(IoT)是将物理世界和互联网紧密连接,从而更好地管理物理世界。物联网是信息技术(IT)和控制技术(OT)的融合,它借助数据采集技术和智能网络对物理世界进行分析、预测和优化,创造新的价值。
也就是说,物联网的加入,会让数字世界更加深刻、直接、广泛地影响着我们生活的物理世界。那些庞大规模的物联网设备,作为连接现实的载体,将互联网的触角不断延伸到物理世界的各个角落,最终让数字世界成为物理世界的孪生体。
事实也证明,物联网对物理世界的影响越来越显著。我们耳熟能详的智慧生活(包括我们的衣食住行)、智慧汽车、工业自动化、智慧医疗、智慧交通、智慧城市、智慧农业、环境监测等等,正在现实逐步呈现。曾经在科幻小说或电影里存在的世界,正在被人们用技术一幕幕的搬到现实上演!
然而,物联网,这样一个多元化且复杂的生态系统,囊括了各种传感器、设备、网关、云端服务和应用程序等。这些设备和组件不仅规模数量庞大,位置分布全球各地、各角落,需联网且注重实时性,还涵盖不同的制造商和协议、数据共享等等。
这些都使其管理变得非常复杂、困难,并带来各种安全问题。例如,急速扩大的网络攻击面、更多的潜在漏洞、隐私安全问题等。据Forrester Research在《2023年物联网安全状况》报告调查显示:物联网设备是报告最多的外部攻击目标,比移动设备或计算机受到的攻击更多。
而另一项基于对全球260万个智能家居采样的威胁情报,调查了近1.2亿个物联网设备的《2023年物联网安全形势报告》的研究数据显示:物联网设备每天在全球范围内产生多达36亿起安全事件。
这意味着每个家庭有20台联网设备,每24小时就会发生8起网络攻击。而这样的攻击数量还会随着你的物联网设备的增加,呈指数级增长。
这就是为什么当下的人们在畅想技术带来的美好智慧化未来的同时,也在时刻担忧着技术带来的潜在安全威胁与破坏性。
那么,问题来了,要如何做好物联网安全?首先,我们来看看物联网技术带来了哪些网络安全新特征:
01
物联网规模与复杂性问题
众所周知,物联网通常涉及海量的设备,而这些设备呈现明显的分散性,如地理维度和时间维度的分散、设备类型的分散(不同厂商的传感器、嵌入式设备、网关等)。
这样庞大、多样化的生态系统进行访问控制时就非常复杂,需要处理大规模、复杂的身份验证和授权操作等。此外,还要兼顾跨平台、跨网络、跨地域的兼容性问题。
02
物联网设备身份管理问题
随着物联网发展和深入,越来越多设备被接入互联网。这就意味着要对这些接入的设备进行唯一性识别,赋予其一一映射的数字身份标识,并处理庞大数量设备的身份管理和生命周期管理,包括设备注册、上线、替换、下线、密钥管理、设备证书等。
此外,物联网设备面临着被访问和访问其他资源,都需要身份和访问控制管理。而许多物联网设备还没有可交互的用户界面,需要采用自动化机制帮助身份验证和授权。
03
物联网设备连接与网络问题
物联网设备通常连接到不稳定的网络,可能在某些情况下无法直接访问。因此,与传统在相对稳定的网络环境运行的IAM对比,物联网IAM需要处理不稳定的连接、离线操作和网络故障等问题。
04
物联网数据安全与隐私问题
物联网IAM往往还涉及到大量不断生成的传感器数据,这些数据可能是非结构化的,而且需要在实时或接近实时的情况下处理。
这种始终在线、近乎实时的数据分析处理,又会带来更大的安全与控制问题。一旦这些海量设备使用的控制权落入坏人之手,可能会被武器化/用于违背计划本意的用途,带来巨大的破坏性甚至毁灭性后果。
此外,考虑连接到物联网的个人物联网设备,这些数据的共享处理又会涉及个人隐私安全问题。
面对上述物联网技术带来的种种新特征,IAM技术要如何进一步发展进化,从而坚守其作为网络空间第一道安全“门槛”的重要意义呢?
以下是我个人的一些观察与见解:
整体来看,要承载如此大规模数量且动态变化的物联网设备,物联网IAM需要在功能性和非功能性两大维度,具备相应的能力:
物联网IAM功能性能力
1. IoT身份的全生命周期管理
对于IoT设备从被制造出厂一直到下线销毁,IAM需进行全程的身份标识跟踪,并记录各个过程的行为和状态,包括设备注册、唯一身份标识写入、设备变更、设备下线、销毁等。
2. IoT的身份验证
由于IoT中的设备和传感器极易受到攻击,因此强化身份验证至关重要。多因素身份验证,如生物识别、智能卡或令牌等,可能在IoT设备和用户身份验证中更广泛使用。同时,IoT还会涉及边缘计算,其中数据在设备本地进行处理。IAM系统需要适应边缘设备上的身份验证需求,以确保数据在边缘处理过程中受到保护。
3. IoT的访问控制
在访问控制决策上会变得非常复杂,甚至受限于特定的设备版本、一天中的特定时间和其他约束条件等。物联网下的任何IAM系统都必须能够支持快速并精细地允许/禁止共享设备和信息的动态访问控制环境,实时调整访问控制策略,以适应设备状态的变化,确保只有合适的设备或用户可以访问数据或控制设备。
而为了进一步简化设备的管理与维护,IAM系统要与自主设备管理技术集成,从而使IoT设备更加智能,能够自行管理其身份和访问控制。
物联网IAM非功能性能力
1. IoT身份平台的云原生化
未来物联网下的IAM基础设施在设计上必须根据组织最终将支持的设备数量进行随需扩展,这个数字可能比现有的高出几个数量级。
所以,IAM基础底座,必须在高可用、高扩展、兼容性等能力上进一步提升,并能与云服务集成,从而更好地支持IoT设备的身份验证、注册等,包括使用证书、令牌或其他身份验证机制,以确保设备的唯一身份。
2. 超大规模的认证边缘化
物理网设备指数增长的情况,靠中心化认证系统进行集中认证已经变得越来越吃力,需要借助边缘计算的技术能力,把海量IoT设备的认证分散到各个边缘系统和组件,保障IoT设备要求的快速响应特征;
3. 非连续性特征的影子化
针对一些非智能类IoT设备或处于恶劣环境下的设备,无法实时并连续的接入互联网,需要利用影子设备的技术,把显示世界的IoT设备复刻到数字世界形成影子设备,可以更好的从中心对影子设备进行维护和管理以及指令的下达。
此外,为进一步确保IoT设备和数据的完整性和安全性,IAM系统还需要集成智能合同和区块链等技术,用于建立更高信任,提供更强的安全性和可验证性,从而更有效的应对个人隐私保护问题。
随着技术的不断发展与完善,杰勒恩特提出的“镜像世界”还会远吗?当现实世界一步步被软件的数字模拟所取代,当一切都有一个数字孪生体,并被赋予一个唯一身份,IAM技术又会进化到什么程度?
显然,我们都知道未来会朝着“YES”的方向前行。我们也都应该知道,这个融合了真实与虚拟的镜像世界,一方面给我们的生活、工作、娱乐等带来了无限的可能性与想象空间;
但与此同时,也会带来各种安全问题,甚至对人产生生理和心理影响。这点,我们已经在当下的网络世界中深刻体会到了。
镜像世界肯定不远了,IAM技术肯定也会进一步进化的。你是否做好了准备,无论是从技术维度还是心理维度?
以上就是本期全部内容,我们下期内容再见,也欢迎你在文末留言,对本期内容进行探讨。