网络安全边界的日子早已过去，随着公司越来越多地将数据和运营转移到云，他们还必须保护每个接入点。在当今的分布式工作环境中，来自世界各地的设备、IP地址、 SaaS应用和BYOD策略，使在个人计算设备上工作成为可能和必需。

大多数组织都处于数字化转型或云迁移的某个阶段——Gartner预计，到2026年，75%的组织将采用基于云的数字化转型模式；麦肯锡估计，到2030年，全球2000家最大的公司采用云可能会产生3万亿美元的收入。

那么，如果网络安全对基于云的企业来说已经过时了，那么什么将取代它呢？

随着公司越来越依赖云来运营和存储敏感数据，他们必须建立一个强大的身份体系，以确保正确的用户和设备能够安全访问正确的文件和应用程序。如今，80%的网络攻击都涉及基于身份的技术，这些类型的妥协可以让攻击者像普通有效用户一样侵入目标环境。为了实现零信任，首先要实现零信任的3大支撑技术SIM之一的IAM身份优先的安全策略，让当今的企业可以更好地应对现代攻击技术，并具抵御攻击和风险防范能力。

身份代表组织技术的不同访问点——如用户、设备、应用和其它系统。因此，企业身份标识是管理这些实体并为其提供对整个环境中资源访问权限的整个过程。

在考虑整个企业身份体系结构时，需要构建一个涉及三个主要维度的战略：身份的不同类型、身份生命周期以及身份治理与管理。

1、身份类型：身份可以映射到人、设备和软件。

• 人的身份包括员工——全职员工和合同工——以及顾问与合作伙伴。重点讨论人的身份，但其中许多概念广泛适用于所有身份类型。
• 设备身份标识涵盖机器，如笔记本、电脑、服务器或移动电话，无论是物理的、虚拟的还是容器化的。
• 非人类和软件身份包括服务帐户、API密钥、应用和服务（通常由证书表示）以及共享管理帐户。

2、身份生命周期：指的是数字身份的开始、中途和结束——其创建、正在进行的操作和管理，以及取消与设置，就是删除用户、设备或软件对公司数据的访问的过程。

3、身份治理和管理：是指管理身份生命周期的一组工具、流程和团队，将反映组织的文化、风险承受能力、合规性和监管义务。一个强大的身份识别体系始终是动态活跃的：对员工来说，从入职到离职；对于设备和软件，在更换和迁移期间；以及针对所有身份类型的持续监控、分析、报告与响应。

这些维度的相互作用如下图所示：
 

企业安全的旧方法是信任网络中的所有用户和设备，只要他们通过了最初的一两个检查点——就像海关护照检查，或进入音乐会场的门票和身份证检查一样。但如今的企业远不止一个接入点。多达98%的使用公共云服务的企业已经采用了多云战略，这意味着他们已经使用或计划使用至少两个IaaS提供商。除了基础设施，大多数企业还使用数十或数百种不同的SaaS应用。

IaaS和SaaS的采用使公司能够快速创新和实施新功能，但它也带来了一系列新的安全问题，企业必须积极应对和解决这些问题。零信任的基本原则是“永不信任，始终验证”，任何用户或设备都不应自动受到信任，要求在访问资源时不断重新动态验证访问者的身份并进行实时JIT最小授权。

重新思考企业身份标识方法并使其更加与时俱进的主要原因有四个：

1、支持现代技术和混合工作环境。在今天的远程工作中，使用几乎无处不在的SaaS应用，可以在任何地方和任何设备上工作。强大的企业身份体系支持全方位的工作设置，确保员工可以随时随地访问应用程序——从公司总部到远程办公室、混合设置或完全远程参与。即使是喜欢保持办公室文化的组织也会遇到身份挑战，无论是确保生病的员工可以在家工作，还是合同工、顾问或合作伙伴可以远程访问用户的桌面。

2、改善最终用户体验。现代化的身份体系结构使员工和用户访问公司数据不仅更安全，而且更简单——任何提高安全性和用户体验的机会都使安全团队和最终用户的双赢。

3、防范最新的安全威胁。如今的威胁和攻击者正通过窃取会话、网络钓鱼获取凭据、追踪MFA、SIM交换和攻击SSO来关注身份。使用错误的权限，攻击者也可以通过简单的API调用创建和破坏云环境。

4、实现向零信任的转变。政府机构采用零信任网络安全原则，许多公司也正在向零信任架构迈进。零信任原则“永不信任，始终验证”，任何用户或设备都不应自动受到信任，因为每个网络内外都有潜在的攻击者；零信任采用者要求在访问资源时不断重新动态验证身份。

在身份体系中的任何投资都是向前迈出的一步。但是，考虑到企业身份体系结构有很多方面，很难确定正确的优先顺序。与任何其它安全投资一样，身份投资也有一个合乎逻辑的过程——重要的是为基线功能和能力奠定基础，随着公司的成熟，体系也将逐渐扩大规模和范围。

为了帮助构建，思考一系列映射到成熟度曲线的特征是很有帮助的。就像一株正在生长的植物一样，在三个关键的发展阶段——播种、发芽和开花结果——思考身份现代化。首先，形成身份体系（播种），然后帮助它成长（发芽），最后支持它的成熟（开花结果）。虽然这种方法不包括所有可能的身份功能，但它旨在为规划和实现企业身份策略提供一个可用的模型。

我们将使用Seed（播种）、Sprout（发芽）和Bloom（开花结果）框架来研究这个成熟度曲线和实现进展。 

1、播种Seed

播种阶段的主要指示是建立身份体系的基础，即构建和完善的元素。播种阶段的主要活动包括：

• HRIS与身份基础设施集成，以支持在员工和合同工等入职和离职时自动提供身份。
• 身份存储集中到一个身份提供者（IdP），这是员工身份的真实来源，这个过程可以从识别任何需要迁移的身份孤井开始。
• 收集员工访问资源的上下文，例如SaaS应用、云基础设施、数据存储和客户应用。在构建身份识别体系时，由使用这些资源的团队交叉引用资源清单将非常有用。

2、发芽Sprout

一旦身份验证的基础就绪，就应该完善体系操作流程，加强安全措施，并将身份验证作为公司综合安全战略的重点。发芽阶段的主要优先事项包括：

• 在所有资产中实现无处不在的SSO。SSO通过消除身份孤井和不同的证，简化员工的访问体验，提高安全性。
• 增强的MFA。MFA提供了额外的保护，以抵御与受损凭证相关的风险。请注意，MFA的强度各不相同，可以根据自己的需求和能力进行调整——例如，基于短信或短信的MFA比FIDO2标准弱，后者包括无密码身份验证方法，如Apple Touch ID和Face ID。
• 通过秘密管理和特权访问管理PAM管理共享和特权身份。某些身份具有更高的价值，可供多方使用，这些功能能够更安全、更高效地支持这些类型身份和访问。
• 集中请求和审查对企业资源的访问。有效管理不断变化的访问需求是提供积极的员工安全体验的关键，确保访问不会出现不必要的过度规划，保障合规义务得到履行。
• 部署密码管理器以改善整个企业的密码健全。

3、开花结果Bloom

随着公司的成熟，身份识别体系也会逐渐成熟。在开花结果阶段，是时候最大化和成熟身份投资和能力了。在这个阶段，利用身份数据实现各种目的，员工对身份系统的体验应该越来越简便和用户友好。开花结果阶段的主要议程项目包括：

• 支持连续和有条件的访问控制，以提高安全性并支持零信任。当一个成熟的组织的系统做出身份验证和授权决策时，可以利用多个信号，包括访问时间和位置、设备是否在使用以及设备的历史活动。如果团队在进行授权之前发现了“黄灯”，可以实现诸如增强身份验证或其它验证身份的机制之类的功能。
• 利用身份日志和数据来支持检测和响应工作，包括更复杂的用例，如异常检测和行为分析。这些功能可以帮助识别各种问题，从身份泄露到内部威胁，再到规划的访问。
• 自动化和集中身份相关证据和数据，以支持审计和调查。
• 向企业资源提供自动化的自助访问请求和授权。了解员工需要访问的系统、应用和数据，并能够在员工或合同工聘用的第一天根据需要、角色变化或业务需求提供这些信息。
• 在整个环境中启用最低权限和实时访问JIT，以确保用户只拥有他们需要的访问权限，并且规划的访问不会导致安全问题。此外，具有与最小权限相一致的微调权限为检测和响应的高保真度信号提供基础。
• 通过密钥、生物识别或其它方式提供无密码体验，可以显著改善用户体验，并有效抵御网络钓鱼和其它凭证攻击。虽然对无密码的支持还不普遍，但一些在线服务、浏览器和密码管理器已经实现了支持，未来几年肯定会看到更广泛的兼容性。
• 集中权限和授权：通过提供跨企业资产（无论是在云中还是在内部部署）表达、配置和授予权限的单一方式。

4、关注转型而非整体变型

就像播种、发芽和开花结果等阶段一样，将任何网络安全现代化项目分解为增量阶段都很重要——这种实施结构有助于使变革更加具体和可渐进，每一项行动都有助于制定长期战略。例如，作为一名创始人或CISO，当组织致力于企业身份现代化时，可能会计划首先进行一些战术转变。

这些过渡看起来可能来自：

• 孤立到集中的身份
• 基于用户名和密码的身份验证到MFA
• 基于SMS的MFA到更强、抗钓鱼的MFA
• 本地身份到SSO
• 分布式和未知身份到维护库

最后，要考虑围绕员工生命周期和日常职责中的特定工作流程制定身份策略，例如，关注员工入职和离职的所有身份需求，以及何时与如何授予和撤销对敏感资产的访问权限。

在网络安全世界里，有太多的风险需要减轻和应对；要实现零信任，保障其基本原则“永不信任，始终验证”，要求任何用户或设备在访问任何资源时，需要不断重新动态验证其身份并进行实时JIT最小授权。因此，尽管考虑开发一个现代的企业级身份识别体系可能会让人望而却步，但它是必需且值得做的；请记住，这是一个过程：不必一次完成，要小步快跑，循序渐进。