由Petteri Ihalainen
从2015年1月/ 2月的问题
我n在内华达州的一个拥挤的购物中心,突然,所有的门都锁,安全大门轰然倒塌,空气循环戛然而止。启动加热系统即使外面95˚F。购物中心变成了桑拿。这是怎么发生的?互联网的一切可以带给我们这个场景和更多的连接设备增殖在未来几年。暖通空调系统、电子锁、下加热,和许多其他技术设备执行的范围现在有互联网连接或连接到一个网络连接的控制中心。
报告显示最近的网络安全漏洞包括零售商Target一度通过空调系统涉及的未经授权的访问。添加事实上几乎每个业务正在扩大其在线服务选区,并很明显,设施上的边界是模糊的。
从IT安全的角度来看,这些连接是一个风险。如果连接不好保护,它可以提供访问所有的其他系统连接到同一个网络。与物理破坏和进入,未经授权的访问是最简单的路径通过后门一个贫穷的锁。连接就没有虚拟锁,特别是如果默认密码的制造商从未改变。
继续隐喻、身份和访问管理(IAM)一直提供一个坚固的锁在门上企业IT资源。它保护设施系统通过使用适当的身份验证,并在很多情况下,适当的授权。身份验证只给我们的信息是谁穿过门,但授权会告诉我们他们能做什么。当操作多个设施,设施经理的复杂性的增长,和简单的错误会导致大量比例的问题。
我可以减少复杂性在身份验证和授权。如果可以建立一个中央系统,每个政党(内部或外部)是适当的身份验证和授权使用测试访问策略,这不仅可以减少“有针对性的”攻击的风险,但它也将使生活更容易设施利益相关者通过技术,如单点登录(SSO)和联邦。
SSO技术消除需要多个密码登录。身份验证用户身份提供者作为把关人,然后让他们获得适当的服务在同一水平的保证。与此同时,联邦是一种机制来创建不同的网络(当用户之间的信任关系从他或她自己的网络向客户或合作伙伴网络。
传统我解决方案主要集中在配置员工提供SSO身份和内部应用程序。这些关注内部资源,因为传统上认为,只有内部人士在一个组织中或在一个设施允许对it资源的访问。但是现如今交通通常从外部来源,包括远程员工、合作伙伴网络,分包商,供应商和客户。自动化系统由计算机与嵌入式操作系统再加上,并可能允许连接到其他系统内的设施。
更重要的是,一些连接消费设备制造商可能更关注赢得“武器”“锁定”在促进消费者减少他们的品牌和隐藏身份和安全的特点,本身不出售产品。
尽管存在有商业和开源标准实施适当的访问控制,如SAML(安全性断言标记语言)OAuth,实现这些通常不是一个高优先级设备vendors-although当然应该。SAML是一个近十岁的标准指定的组件是必要的身份提供者之间交换身份信息和在线服务。OAuth是一个更新的认证协议,在某些方面更容易应用虽然不太特定的身份授权。
不断扩大的看法我出现了,包括外部资源和扩展企业的必要性包括商业生态系统与多个利益相关者包括合作伙伴,分包商,客户、所有者和投资者。几乎所有的设施有多个地区运营商想要获得数字信息或设备控制在不同的水平。的国家标准与技术研究院(NIST)描述四个级别的身份保证结合注册过程的身份验证令牌,令牌的强度。(从NIST可以找到最新的文档在这里)。
网络安全控制必须作为主要手段,让只有好人和提供有效的审计跟踪。同时,机构高管可以应用相同的基础设施来创造新的业务服务监控系统维护,计量工具,也许尚未发现的机会。
Ihalainen身份和访问管理(IAM)产品经理GlobalSign身份的互联网服务提供商,调解信任,使安全的商业、通信、在线交易的内容交付和社区互动。GlobalSign我投资组合包括访问控制、单点登录(SSO),联盟,代表团帮助组织和服务提供者的服务为客户创造新的商业模式和合作伙伴交互。