关于物联网你必须了解的—物联网身份管理
作为科技市场最新的一大变革,物联网提供了一种将设备无线连接到网络并进行数据传输的方式,而无需人与人或人机之间的交互。
过去几年,科技市场一直致力于推出物联网(IoT)这项最新的科技。作为一个概念,物联网提供了一种将设备无线连接到网络并传输数据的方式,而不需要人对人或人对计算机的交互。
在物联网的实际应用中,远程控制设备的能力已经受到消费者的欢迎。而如今,安全系统、恒温器、汽车、电子设备、扬声器等都将能够提供物联网服务。
除了家庭以外,企业也可以在其工作流程中使用互联设备,进而构建特定于市场的产品和服务。事实上,根据统计门户网站Statista的一份报告,到2025年全球将有超过750亿台联网设备。
连接设备数量的空前增长将大程度地影响安全性、成本和身份标识。这是因为传统的身份验证系统是为人类身份而设计的,而物联网设备和对象只使用唯一的标识符。
身份标识与访问管理,及其对于物联网的重要性
身份接入和管理(IAM)在物联网中的作用正以前所未有的速度扩大。IAM侧重于识别人员并对不同数据类型(如敏感数据、非敏感数据或设备数据)的访问进行管理。IAM还可以帮助识别设备,同时管理用户对数据的访问,从而防止入侵和恶意活动。
在物联网时代,问题不在于毫不费力地获取联网的东西,而在于获取这些东西会带来的潜在风险,因此必须加以保护。
那么,物联网身份管理的主要挑战是什么?
数字身份管理是物联网的短板之一。一个主要的原因是,安全问题可能会导致灾难性的后果,如经济损失、机密性泄漏和数据篡改等。
在整合物联网身份管理的过程中,要注意以下可能出现的挑战:
1、凭证滥用
凭证滥用是指蓄意使用窃取的凭证(如用户名和密码)来访问敏感数据。在工作场所,这种情况可能发生在员工不知情地与同事分享密码的情况下。他们这样做可能是为了帮助同事们避免在更新密码时可能出现的IT延迟。
大多数情况下,非法的意图是导致凭证滥用的主要原因。缺乏适当的IAM或CIAM解决方案将会给黑客入侵创造机会。
BeyondTrust发布的一份报告发现,64%的受访者遭受了直接或间接的破坏,原因是员工滥用访问权限。
对于物联网,并不是大多联网设备都具有强大的密码管理系统来保护公司层面的数据。ABI 调查分析师的一项研究指出,缺乏这类服务意味着将使入侵者有机可乘。
2、默认密码的风险
IAM和物联网设备的一个主要问题是,很多设备都有默认密码。尽管用户被告知以后要修改它,但并不是每个人都是负责任的。
然而,那些更改默认密码的人通常使用常见的、容易猜到的用户名/密码对,这是个危险的习惯。
为了解决这一日益严重的问题,加州立法者通过了CCPA(从2020年1月1日起生效)。该法案规定,如果联网物联网设备是在加利福尼亚州生产或销售的,则必须对唯一密码进行加密。
这似乎是保护隐私的正确一步,但它也有不利的一面。
当企业中的每个人都知道密码时,那么就会有一部分人拥有本不该属于自己的访问权限,而这种特权往往并不需要。
3、虚拟窃听
大多数物联网设备都与虚拟个人助理相连,后者总是在倾听和收集信息。但没有多少公司清楚它们如何利用这些信息。因此,担心私人助理泄露公司机密总是可以理解的。
要真正解决这些挑战,企业可以利用以下几个关键的安全功能来设计专用的解决方案:
- 端到端加密,以保护在端点和其他任何地方之间的数据。
- 为用户控制物联网生态系统提供完备的优先和授权管理系统。
- 上下文控制的自适应认证和数据访问规则。
物联网时代的身份管理
过去,基于员工的身份和访问管理(IAM)或客户身份和访问管理(CIAM)平台是为智能手机和计算机等用户设备而设计的。今天,这个概念已经急剧地发展到包括IT生态系统中可用的每个智能设备、对象和服务。
当物联网与访问管理工具集成时,你应该考虑以下步骤:
- 为物联网设备创建一个灵活的身份生命周期。
- 确定物联网设备的注册流程。
- 设立安保措施。
- 概要保护个人身份信息(PII)的政策。
- 建立公司的访问控制程序。
- 为连接的设备创建定义良好的身份验证和授权过程。
结语
物联网设备打开了获取大量有价值数据的通道。因此,身份管理在物联网体系结构中的作用必须包括稳健的数据保护策略。为了保护公司的安全,你将很有必要关注物联网与CIAM和IAM平台集成的问题。
原文作者:Rakesh Soni
本文来自翻译,如需转载,请先获得本站授权。