@liuhui0803
2016-06-27T15:51:35.000000Z
字数 3232
阅读 2643
体系结构和设计
DevOps
安全
云计算
云安全
摘要:
2016 Cloud Identity Summit(CIS)峰会的主要议题是使用身份代替企业网络范围作为安全边界,借此革新企业安全。本文我们将介绍主题演讲所包含的重点信息。
正文:
2016 Cloud Identity Summit(CIS)峰会的主要议题是使用身份代替企业网络范围作为安全边界,借此革新企业安全。
CIS是一个年度性的活动,由Ping Identity举办,这家公司为超过半数财富百强企业提供“身份即服务”解决方案。专注于身份一致性的研究人员、从业人员,以及咨询顾问会通过该峰会,围绕企业领域的身份和安全话题共同探讨技术趋势、挑战和解决方案。
将有关边界安全的顾虑和身份安全性放在一起讨论是今年CIS的一个主要目标。为了解决这方面问题,Ping Identity与Identity Defined Security Alliance(IDSA)合作伙伴联手发布了一个全新的身份集成框架。该框架详细描述了企业在构建以身份为中心的集成式安全解决方案过程中需要具备的功能和特性。Optiv于今年三月加入IDSA,他们负责将相关指南、使用模式,以及该框架所建议的方式方法顺利投放市场。Optiv在这里进一步分享了有关该框架的细节。
本次峰会于6月6-9日在美国新奥尔良举行。主讲人来自Ping Identity、Google、Microsoft,以及其他几家公司。来自约100家公司的多位发言人组织了多场研讨活动。与会者通过四天的活动收获了丰富的经验、指南和劝解。来自Ping Identity和Google的发言人占到总人数的大约20%,他们还参与了讨论主题的制定工作。其他有关人员,包括Optiv、Microsoft以及Auth0的员工组织了丰富的讨论活动,并介绍了自家技术在这个领域的运用情况。
对于已经采用云技术,希望通过不同构建块为任何应用程序的开发提供便利的企业,身份和访问管理已成为一个关键领域。身份的管理,实际上就是“表征”的管理。Ping Identity的CTO Patrick Harding在主题演讲中详细剖析了区块链(Blockchain)技术的局限,并介绍了 Ping Identity通过分布式会话管理思路解决这个两难困境的方法。
峰会中共举行12场主题演讲,大致内容和相关补充资源如下。
全球企业开始在工作中用到越来越多的服务和设备,这已经造成了不小的安全风险和暴露,Ping Identity公司主席兼首席执行官Andre Durand通过他的主题演讲邀请与会者借助20年来在安全和身份领域积累的经验制定相关的安全战略。
Frank Abagnale以知名图书和电影的名称为题分享了他在FBI做顾问时的经历。他的主题演讲主要围绕伪造、假冒,以及网络犯罪话题。除此之外他还讨论了自己与Trusona的争议,后者是一家致力于建立一种高度信任,确保交易的对方与所宣称身份相符的初创公司。
云和移动技术的发展推动着身份和安全的演进,Patrick Harding的主题演讲为我们传达了这样的信息。在最近的一次采访中,Harding认为企业开始逐渐意识到在物联网和相关技术的实际增速远超预期的世界中,需要专门为这些设备设计相应的身份机制,需要提供自动化、动态的身份验证标准。
Patrick Harding谈论区块链的局限,图片来源:https://twitter.com/robbreck/status/740277490770313216
此外CISNOLA的赞助商Axiomatics也通过名为《身份和访问管理的革新》(The Identity & Access Management (R)evolution)的白皮书介绍了身份和安全的相关问题。
企业对于身份即服务产品的使用率预计到2020年将达40%。在这样的背景下,来自Microsoft的Alex Simmons介绍了行业的前进方向,目前获得的重大成果,以及这一领域的合作机会。
2015年,Forrester通过报告为企业安全项目提供了12个建议。Forrester副总裁兼安全和风险研发总监Stephanie Balaouras在她的演讲中针对企业如何构建更安全的业务给出了12个建议。这些建议的目的都在于改进业务态势和效益。
Ping Identity CTP Andre Durand和David Petraeus将军共同探讨了政府和企业面临的全球化威胁。他们一起讨论了非对称威胁(Asymetric threat)这一全新的网络攻击方式,同时Petraeus将军还斥责了政府要求在软件中预留后门的做法。此外他们还针对应对未来安全挑战的措施提出了自己的建议。
TechCrunch企业记者Ron Miller主持的讨论活动中,安全领域资深专家就信息安全现状展开了讨论。他在这篇文章中介绍了自己对此的看法。他的主要顾虑之一在于,公司内部不同部门和高管之间似乎依然存在隔阂,在这些人看来,身份和安全是两个虽然相关但相互独立的关注点。成功前行需要打破或削弱这样的隔阂:
Cloud and Identity研讨会主持人Andrew Hindle从讨论中总结出一个结论:“密码是一种没人想要的不良资产。”
Optiv战略解决方案副总裁Robert Block和Identity Defined Security Alliance的其他领导人通过这个议题探讨了实现安全性的新方法。将身份作为边界,实际上就是要根据所涉及实体的身份定义安全界限。这种概念已经远远超越了只使用固定的网络参数确定访问和授权的做法。将身份作为边界的详细介绍可参阅这里。
来自Google的Eric Sachs通过这场主题演讲讨论了IDaaS的优势。有关安全和标准的各种争论留给专家就好,企业可以更加专注于自己的核心价值。这也算得上一种标准的“即服务”卖点。这场演讲也介绍了一些高级使用场景用例,借此凸显基于云服务的战略是如何最终胜出的。Sachs还分享了受访用户对于身份验证流的体验和细节的统计信息,相关范例、数据,以及统计信息请参见他的演示文稿。
Marc LeLarge和Jean Bolot在2009年发布的研究论文介绍了互联网安全所产生的经济诱因。他们举了一个网络保险公司的例子。
来自Trusona公司的Ori Eisen通过他的主题演讲介绍了互联网的阴暗面催生的有关互联网保险的需求。
在他介绍的一个案例中,美联社Twitter帐户被黑导致美国股市的市值瞬间蒸发将近1千亿美元。
图片来源:https://twitter.com/Steve_Lockstep/status/740905779486691328
Trusona公司CEO Eisen在白皮书中详细介绍了互联网保险的相关案例。
Pamela Dingle、Bob Blakley和Andre Durand更加关注身份和安全技术的未来。Dingle和Blakley强调,目前青少年的各种活动都是在现有策略和标准所塑造的框架内进行的,青少年需要在年幼时就了解到管理自己数字化身份的必要性,以免在日后遭受各种严重的后果。
Durand和Blakley一起对本次活动进行了总结,并分享了有关未来的想法。
Cloud Identity Summit峰会中还举办了很多研讨会和课程,相关视频尚未发布,但你可以查看不同发言人演讲主题的安排清单。