Большинство корпоративных ландшафтов ИБ - это набор разрозненных средств, где контекст и «сигналы доверия» теряются между инструментами. В статье разбирается два ключевых слоя Cybersecurity Mesh Architecture (CSMA), без которых сетчатый подход не работает:
Управление инфраструктурой - прямое двустороннее взаимодействие с ИТ-компонентами для инвентаризации, наблюдаемости и автоматизированных контрмер;
Identity Fabric - составная платформа идентификации, которая предоставляет единый контекст для пользователей и машин, поддерживает непрерывный адаптивный доступ и интегрируется со всеми остальными уровнями CSMA.
Мы обсуждаем, почему IAM нужно строить как «конструктор» по открытым стандартам, как подключать dev/test/preprod-среды к контуру безопасности и чем совместная работа CASB, IAM и аналитики (SAIL) превращает реактивную оборону в упреждающую. Кому понравится статья - присоединяйтесь в Telegram - @zero_trust_SDP).
Уровень управления инфраструктурой
Изначально предполагалось, что CSMA будет интегрирована только с инструментами обеспечения безопасности и идентификации, но быстро стало понятно, что для этого необходимо прямое двустороннее взаимодействие с самой инфраструктурой. Это облегчает:
Видимость и наблюдаемость для обеспечения идентификации и защиты всех цифровых активов с помощью соответствующих инструментов обеспечения безопасности и идентификации.
Сбор данных о запасах активов и создание ориентиров поведения на основе данных непосредственно из компонентов инфраструктуры.
Согласование изменений непосредственно с инфраструктурой в качестве контрмеры для снижения риска.
Управление инфраструктурой должно быть настроено таким образом, чтобы оно соответствовало всем соответствующим моделям среды, включая среды подготовки к производству и тестирования (dev/preproduction/test). Так же необходимо остерегаться технических проблем и использовать рекомендации по обеспечению безопасности и соблюдению правил идентификации для всех систем, которые когда-либо затрагивали ваши производственные среды. Это включает в себя, казалось бы, “тестовые” системы с низким уровнем риска. Злоумышленники все чаще могут использовать эфемерные соединения (см. рисунок ниже).
Identity Fabric Layer
Возможности управления идентификацией и доступом также развиваются и становятся более интегрированными и составными, поскольку современные механизмы контроля доступа недостаточно адаптивны и непрерывны. Система идентификации должна обеспечивать идентификационные данные, права доступа и адаптивные решения о доступе для пользователей и служб, а также средства обеспечения безопасности. В качестве примера давайте рассмотрим интеграцию, необходимую для успешного принятия решения о непрерывном адаптивном доступе для военнослужащего, которому необходимо действовать с очень высоким уровнем безопасности:
Идентификационные данные пользователя, такие как имя пользователя
Учетные данные, такие как пароли или многофакторная аутентификация (MFA)
Близость устройств пользователя, для каждого из которых требуются разные биометрические данные для входа в систему.
Геолокация и другие характеристики каждого устройства, которыми также можно управлять
IP-адреса или доверенная сеть/VPN
Время суток и дата
Типичное поведение группы пользователей.
Только после того, как все вышеперечисленное будет подтверждено как непротиворечивое и корректное, система сможет доверять утверждениям солдата относительно идентификации. Этот же контекст может быть использован для сотрудников, что дает организации уверенность в том, что они узнают устройства своих сотрудников, интернет-провайдера, часы работы и местоположение. В структуре идентификации организации все это объединено для динамической аутентификации в режиме реального времени.
Уровень структуры идентификации позволяет законным пользователям или компьютерам безопасно и удобно получать доступ к авторизованным приложениям или ресурсам любого поколения с разрешенных устройств и утвержденные местоположения. Уровень identity fabric - это распределенная платформа идентификации, которая поддерживает все функции общего управления идентификацией и доступом (IAM), включая службы каталогов, непрерывный адаптивный доступ и управление правами.
Он организует полный спектр вариантов использования идентификационных данных - от доступа клиентов до доступа к API-интерфейсу - и является основополагающим компонентом CSMA. Обратите внимание, что общий подход организации к развертыванию может включать в себя несколько экземпляров определенных типов инструментов IAM, интегрированных в identity fabric, в частности, для удовлетворения требований к домену безопасности или постоянству данных.
Одной из ключевых характеристик структуры идентичности является то, что она повышает доверие, освобождая IAM. Например, когда в организации отсутствует система идентификации, проверка подлинности клиентов часто осуществляется по разным каналам и/или приложениям, которые управляются разными бизнес-подразделениями или субагентствами. В таких случаях организации сложнее эффективно использовать расширенный анализ идентификационных данных для выявления нарушений аутентификации и обеспечения отличного пользовательского
опыта (UX).
Ощутимые преимущества подхода с использованием структуры идентификационных данных включают в себя более централизованное управление политикой и ее более последовательное применение, а также более широкое использование оповещений о рисках и доверии. Для многих организаций преобразование IAM в более совершенную структуру идентификации предполагает расширение развертывания IAM для более надежной поддержки всех пользователей и цифровых активов. У многих организаций есть пробелы в охвате IAM-системами. Например, некоторые из них не включают MFA для пользователей с особыми ограничениями (например, для работы в колл-центре или в с информацией ограниченного доступа) или поддерживают не все приложения. Часто организации используют множество инструментов для управления доступом обычных пользователей, но при этом оставляют без управления гораздо более многочисленные и часто чувствительные компьютерные системы. Это приводит к неправильному распределению ресурсов IAM. Подход identity fabric - это динамичный подход, основанный на оценке рисков.
По мере того как средства идентификации и защиты становятся все более интеллектуальными и интегрируются в систему кибербезопасности, появляется возможность получать больше сигналов о рисках из других источников и обеспечивать непрерывную авторизацию в инструментах и средах, которые традиционно недоступны инструментам IAM. Например, средство управления доступом может защитить периметр приложения "программное обеспечение как услуга" (SaaS). В этом случае брокер безопасности облачного доступа (CASB) может постоянно оценивать, что пользователи делают в сервисе, и при необходимости запрашивать дополнительные разрешения доступа с использованием identity fabric, поскольку вместе эти инструменты работают эффективнее (см. рисунок).
Важно адаптировать развертывания IAM к подходу identity fabric, поскольку многие существующие реализации IAM чрезмерно разрознены и часто имеют ненужное дублирование. По мере роста числа пользователей и машин, получающих доступ к цифровым ресурсам, а также расширения спектра, типов и местоположения цифровых сервисов, структура идентификации повысит безопасность, улучшит поток данных и снизит сложность эксплуатации. Более эффективное управление сложностью IAM имеет решающее значение, поскольку многие нарушения происходят из-за неправильной настройки политик доступа.
Слой identity fabric должен быть интегрирован со всеми другими компонентами CSMA. Он должен:
Предоставлять потоки данных (включая данные журнала) в SAIL (и в любые другие продукты analytics point), а также получать сигналы о рисках и события с этого уровня.
Использовать конфигурации политик и предоставлять идентификационную информацию на уровне централизованного управления политиками, позициями и playbook.
Основные требования и характеристики слоя identity fabric можно сгруппировать в несколько категорий. Например, identity fabric должен распространяться на все цифровые активы организации:
Рабочие станции всех типов, включая API-интерфейсы.
Мобильные приложения
Одностраничные приложения (SPA), контейнерные сервисы и микросервисы.
и др
Identity fabric обеспечивает работу с современными рабочими нагрузками, основанными на стандартах, а также с приложениями и службами, основанными на более старых технологиях. Это важно для организаций, переходящих к архитектуре с нулевым уровнем доверия (ZTA), где все пользователи проходят проверку подлинности и авторизуется доступ к каждой службе. Например, identity fabric обеспечивает:
Доступ для пользователей-людей и компьютеров на общей платформе
Все соответствующие конечные пользователи, независимо от того, кто или какая система работает в качестве их поставщика идентификационных данных (IdP). Это включает предоставление служб каталогов для всех групп пользователей, для которых организация является IdP. Обратите внимание, что CSMA организации может быть распределен по нескольким отдельным доменам безопасности. Кроме того все привилегированные пользователи используют подходы, поддерживающие нулевые постоянные привилегии (ZSP).
Службы каталогов и хранилища прав доступа, которые при необходимости могут быть организованы с использованием сервера виртуальных каталогов или интеграционного центра системы междоменного управления идентификацией (SCIM).
Управление жизненным циклом Identity (Внедрение/регистрация, восстановление удостоверений, предоставление доступа к другим подсистемам/приложениям)
Центры аутентификации, которые проверяют личность пользователя и выдают токены доступа.
Возможности обнаружения угроз идентификации и реагирования на них (ITDR) для защиты самой инфраструктуры идентификации.
IAM надо строить как конструктор. Задачи и требования постоянно меняются, и ни один вендор не закроет всё под ключ. Всегда найдутся узкие места, где придётся подключать сторонние модули - особенно в таких быстро меняющихся вещах, как верификация личности. Поэтому архитектура IAM должна ещё жёстче держаться открытых стандартов: чтобы любые блоки легко стыковались, обменивались данными и быстро дополнялись новыми функциями.
У многих проектов IAM «руки связаны»: слишком много самописных стыковок и изолированных систем, поэтому важные сигналы доверия (о рисках, контексте) не доходят до нужных точек. Выход - опираться на стандарты не формально, а по-настоящему глубоко.
Расширяйте поддержку существующих стандартов, а не только базовые функции:
- в SCIM 2.0 используйте не лишь провижининг, но и обнаружение/описание схем;
- в OIDC - не только JWT, но и обнаружение ключей (JWKS). Это даёт больше автоматизации при интеграциях.Следите за новыми и формирующимися стандартами:
- Уже принятые/широко используемые: JWT, FIDO2, SAML 2.0, OAuth 2.0, OIDC, SCIM 2.0, RADIUS.
- Раннее внедрение: OPA (политики как код) и SPIFFE (удостоверения для сервисов).
- Формирующиеся:CAEP - непрерывная переоценка доступа и обмен сигналами,
DPoP - защита от кражи токенов за счёт «токенов с привязкой к отправителю»,
AuthZEN - совместимость между компонентами авторизации.
CSMA выступает за надлежащий уровень консолидации, но важно не допускать чрезмерной консолидации. CSMA предусматривает более глубокую интеграцию, так что требования всех пользователей и конечных точек могут быть удовлетворены с помощью взаимосвязанной архитектуры, а добавление новых модулей упрощается. Например, крупные организации часто используют в своей структуре идентификации несколько IDP, например, один из них оптимизирован для сотрудников, а другой - для своих клиентов. Это делается для того, чтобы не вынуждать все группы пользователей использовать один IDP, который не оборудован для полной обработки всех вариантов использования и поддержки отдельных доменов безопасности. По моему мнению организациям в будущем настоятельно следует управлять своей дорожной картой по внедрению IAM, используя концепцию CSMA. Со временем это позволит им управлять IAM как интегрированной системой, которая способна обмениваться как данными, так и сигналами о событиях между отдельными компонентами/инструментами IAM.
Хотя многие аспекты и компоненты структуры идентификации уже существуют, они не так хорошо интегрированы и часто еще не развернуты, чтобы максимально использовать свой потенциал. Например, управление жизненным циклом идентификационных данных с использованием нескольких структур для внутренних и внешних пользователей в сочетании с управлением жизненным циклом идентификационных данных для машин сегодня в значительной степени достижимо. Однако это сложно из-за значительного дублирования различных инструментов IAM и проблем интеграции данных, которые необходимо преодолеть. Кроме того, сегодня возможен некоторый поток данных и обмен ими между различными инструментами безопасности и уровнем IAM, но не все инструменты IAM готовы фактически использовать или экспортировать этот дополнительный контекст. И последнее, но не менее важное: новые стандарты, такие как CAEP, сделают возможными многие аспекты структуры идентификации, но пока они не получили широкого распространения.
Заключение
CSMA требует не «ещё одной коробки», а связности: телеметрия и политики должны одинаково проходить через инфраструктуру и идентичности. Практические выводы:
Инфраструктура в контуре безопасности: включите двусторонние интеграции (наблюдаемость, конфиги, контрмеры) для prod и непроизводственных сред - через одну шину событий и единые модели данных.
Identity как платформа: переходите от разрозненного IAM к Identity Fabric - единым политикам, непрерывной аутентификации/авторизации и охвату позователей и машин.
Стандарты вместо кастома: Требуется расширение поддержки SCIM (в т.ч. discovery), OIDC/JWKS, OAuth2, FIDO2.
Не гиперконсолидация: консолидация должна быть «достаточной», а не тотальной - несколько IdP допустимы, если они связаны через Identity Fabric и общий риск-контекст.
Связь с аналитикой (SAIL): все слои обязаны обмениваться сигналами и оценками риска в обе стороны, чтобы включать упреждающие меры (повышение требований к доступу, временное снятие привилегий и т.п.).
