有人问我,今年前往欧洲2013资讯安全保障会议,并谈论我的身份的网络游戏看到了趋势,并认同未来可能猜测在网络,我看到它。所以,我心想:“一个伟大的博客张贴的内容这样可以使。”
身份联网的阶段(所看到的劳累身份螺母和我一样):
阶段1:[大约在1990年代后期]身份联网从古老的问题源于“我如何控制谁能够访问到网络?”走来IEEE 802.1X!802.1X提供了可扩展身份验证协议(EAP)在局域网(LAN)功能,允许客户端,以获得访问之前,他们的身份凭证发送到网络中。
802.1X [/字幕]
- 802.1X向用户或设备证书
- 允许用户连接到网络
- 强制执行可以是VLAN或ACL
802.1X现在提供“谁(例如:雇员、承包商、客人等)。
阶段2:[大约2004年]“在拉斯维加斯发生什么,在拉斯维加斯逗留。除非你拿起一个病毒由于破坏性恶意软件的传播,我们在计算机安全行业经历了一个重要的成长时期,这也导致我们试图扩展802.1X提供的“WHO”,包括更多的信息。仅仅知道自己是一名有效的员工是不够的,因为即使是有效的员工也可能在某个地方感染了病毒。
让您对我们的网络正常访问之前,我们需要检查你正在使用的设备,寻找更新的补丁,防病毒软件安装,等等。
“可是我的桌面管理团队告诉我,这就是我们的防病毒管理服务器和微软这样的短信修补系统/ SCCM会处理,所以我们保护的,对不对?”错误。
由于各种原因,我已经记不清有多少审计公司失败了,因为他们的反病毒管理或补丁系统不能工作;通常原因是来自服务器的推机制的某种变体,而不是来自客户端的拉机制。在此过程中,服务器未能成功推送更新。
不管它为什么失败的原因,事实是:公司没有审计。因此,他们正在寻找提供网络访问之前强制更新。输入网络访问控制(NAC),也称为网络准入控制。
NAC背后的想法是确保补丁和反病毒都是最新的,并且系统在允许他们访问网络之前符合公司的安全政策(称为态势评估)。如果姿态评估的任何部分失败,用户/设备将被置于隔离状态(通常是VLAN分配或特殊ACL),机器将在该状态中得到纠正(在姿态评估中失败的项目将被修复)。修复之后,用户/机器将回到正常的完全访问模式。图3展示了这个概念,它来自于我从多年前的Cisco Network Admission Control (NAC)框架幻灯片中截取的一张图片。
- 802.1X向用户或设备证书
- 驻地代理通常提供姿态数据
- 用户被隔离直到已修复
- 强制执行可以是VLAN或ACL
所以现在802.1X提供的“谁”,而南汽提供“什么”(补丁安装/运行的应用程序,等等...状态评估和)
阶段3:[大约2007年]“那是什么装置?”安全状态评估(读:传统NAC)是很好的哼着一起。我们在NAC市场空间看到了非常积极的增长,以及网络身份继续在一个不错的悠闲步伐增长。
然后有些事情开始改变游戏一点。手机有一个非常酷此外,无线上网。随着Wi-Fi加入到智能手机中,我们开始看到越来越多的设备试图加入企业无线网络,但不支持姿态评估(NAC)。这确实是网络潮流中一个有趣的上升趋势,但在当时并没有太大的压力。然后,又出现了一个永远改变了一切的进步:iPhone(接着是iPad)!
不可否认,iPhone改变了这个行业的一切。现在,我们不得不允许某些高管通过他们的iphone / android /等等访问公司网络,但不是每个人。这使我们能够扩展和改进现有的技术——端点分析。
最初,端点分析是作为802.1X部署的辅助工具而开发的。最初的概念是帮助识别无法通过802.1X进行身份验证的设备;诸如打印机、标识阅读器、照相机、ip电话等等。一旦这些设备被识别,它们的mac地址(刻在网络接口卡上的硬件地址)就被添加到允许绕过802.1X认证并获得访问权限的设备列表中。
现在是Wi-Fi功能,与概念一起,如自带设备(BYOD)并选择自己的设备(CYOD)这些移动设备的广泛扩散,我们正在推进端点分析与802.1X使用。绑认证策略的设备类型的能力变得很常见和最重要的。
一个常见的策略可以是:员工在公司无线网络上的802.1X身份验证与工作站的姿态兼容=完全访问。同一员工在同一公司无线网络上的802.1X身份验证,并使用iPad =只能上网。
- 802.1X向用户或设备证书
- 端点分析被用来确定设备类型
- 工作站被隔离直到补救(NAC)
- 移动设备提供互联网访问时才
- 强制执行可以是VLAN或ACL
在这个阶段,我们仍在寻找在“是什么”,但它是一个不同的“什么”。取而代之的安全策略遵从性(姿势)的,它正在使用的端点分析设备类型。
一个重要的提示:据预测,到2015年将有超过150亿台设备联网。这离我写这篇博客只有两年的时间了!
阶段4:[大约2012]“我不这样做“或”!“或”让你选择!” 802.1X是一个梦幻般的技术。它使用可扩展认证协议(EAP)来提供身份验证设备。让我们的状态了,但重点的关键词:“它使用EAP提供一个身份验证设备"。这是正确的;EAP在每个事务中只携带一个凭证。因此,使用Microsoft的Active Directory管理其Windows工作站的企业对每个工作站有两个选项来对网络进行身份验证:Machine-Auth *或* User-Auth。
为什么Windows有两个认证选项?早在当802.1X已开始回暖采用了1990年代后期,微软来到了一个重要的实现:如果在用户登录到Windows框之前没有提供网络连接,那么Active Directory和工作站之间的连接将被破坏!在辉煌的举动,他们创造了一个机器状态和用户态的概念,他们的请求者(软件“驱动程序”这充分说明802.1X)。所以,当用户未登录到Windows中,机器本身可以被登录到使用任一计算机帐户和当机器加入AD创建的密码的网络;或者甚至可以使用Active-目录颁发的证书。然后,一旦用户键入CTRL-ALT-DEL与登录到工作站,端点将启动,将使用而不是本机的凭证的用户凭据新的EAP会话。
很像郑肯博士在零度可乐商业,我们不希望“OR”,我们要“AND”。随即,管理员试图想办法联系在一起的机器认证和用户认证,是一个单一授权的一部分。这样的组织可以放心,这是一个有效的企业资产和有效的用户。思科创建的计算机访问限制的(MAR)的一个概念 - 它认为通过机器验证MAC的地址的高速缓存。然后,当用户认证进入RADIUS服务器,它着眼于缓存,看看如果一台机器已经从MAC地址认证和如果是的话,访问将被允许。还有更多的比刚才那个,但我们不会专注于MAR - 因为有局限性。我想和。并且意味着我不想限制,我希望它的工作无论什么!
输入EAP链接!EAP链接是增强,其允许在单个事务中发送的多个EAP凭据。思科创建为EAP-FASTv2的一部分,这是为即将到来的通过了IETF隧道EAP (TEAP)标准。我可以写上EAP链接整个博客(可能会),但我们只是解释说,在一个单一的交易,我们能够结合计算机和用户身份验证和基于该组合授权。该组合可以是证书或名称及密码中的任意组合,这对802.1X和EAP一个梦幻般的和长期需要的增强。
- 802.1X提供用户和设备凭据
- 可继续使用NAC /姿势,其中工作站将被隔离直到已修复
- EAP链接是不依赖于基础设施,因为EAP不终止那里,它终止在策略服务器。
- 只有思科的AnyConnect和思科ISE支持EAP链接在博客发布的日期
- 强制执行可以是VLAN或ACL
在这个阶段,我们仍在寻找在“谁”和“什么”。我们使用802.1X同时提供,并且它可以与剖析和姿势进行组合。
第5阶段:[大约2013]“移动设备管理”提供互联网访问时才到移动设备可能是一些可行的政策,但肯定不是全部。这些移动设备将继续以非常激动人心率采用和扩散增长。由于这些正在成为每天进行商业交易更重要的是,它也成为重要的管理这些设备。我觉得这个趋势将真正耐人寻味的,因为像RIM公司不得不下来到科学 - 不,不是科学 - RIM制造管理BlackBerry的一种艺术形式!这是绝对的漂亮,仍然是见仁见智。
然而,黑莓的移动设备并不是终端用户想要的。终端用户希望使用他们最高效的终端。如果我发现使用iPhone或Android设备提高了我的工作效率,那么天哪——让我使用iPhone或Android设备吧!移动设备管理公司包括:AirWatch、ZenPrise(被Citrix收购)、Mobile Iron、Good Technologies、SAP Afaria,以及黑莓企业服务10 (Blackberry Enterprise Service 10),后者现在也将管理iOS和Android。
虽然这个博客是不是集中在MDM,有必要讨论这些简单的,因为它们为移动设备提供的姿态能力的水平!具体来说,您的策略服务器可能需要有一个端点的知识通过MDM进行管理或由该公司与一个雇员刚刚购买了他最喜欢的邻里电子商店的货架拥有。
随着MDM整合到你的策略服务器,你能够建立一个新型的姿态,希望看到设备的所有权,如果设备已经打破监狱/扎根,如果设备有加密功能,如果销锁被启用,等等。这更增加了我们的身份决定,我们可以根据这些属性的设备提供不同的访问级别。
- 802.1X向用户或设备证书
- 当他们访问网络的移动设备的异形。
- 策略服务器能够查询MDM,查找“状态”
- 强制执行可以是VLAN或ACL
在这个阶段,我们仍在寻找这是由MDM服务提供的“什么”。
第六阶段:[〜2013]“位置,位置,位置另一个通常被要求/关注的因素。有能力看源网络接入设备来确定如果是有线,无线,或VPN以及网络中,设备,甚至与位置服务集成在无线基础设施,或地理位置怎么样w / GPS单位在这些移动设备上启用。现在,让我们看看物理安全控制:标识系统等等。如果用户没有登录到该大楼,是否应该允许他们登录到网络?如果那栋楼目前有火警警报,是否允许他们登录?极限是无止境的!
- 使用终端的位置作为政策决策的一部分
- 标识包括在校园,分支机构
- 访问类型是有线,无线或VPN
- 属性甚至可以包括广告位置
- 物理安全控制可以列入为属性,如贴牌或状态的火灾警报器的聚集的一部分。
- 在正常营业时间内尝试或者是它,而位置应关闭的认证?
目前我们正在进行研究。”哪里”,“什么时候“和”怎么样“这是开始完善了我们的身份或企业集团“背景“。
带领我们到一个上下文标识的路径
当你开始把所有这些阶段一起,你就会意识到,一个身份是增长方式不仅仅是用户名凭据 - 它引领我们进入一个身份的路径,包括:何人,何事,何地,何时,如何;我喜欢称之为“上下文标识“。
将使用上下文标识来代替传统的单个凭据。现在,我们将能够构造考虑用户访问的整个上下文的业务相关策略,提供粒度级别的访问甚至批量访问。