物联网身份与访问管理解决方案

### 物联网身份与访问管理解决方案 #### 1. 物联网身份与访问管理简介 传统上，安全管理员主要关注管理与技术基础设施相关或与之交互的人员身份，并控制其访问权限。近年来，自带设备（BYOD）概念应运而生，允许授权人员将手机或笔记本电脑与公司账户关联，以便在个人设备上获取网络服务。通常，只有当设备满足某些最低安全保障条件时，才会提供相应的网络服务，例如使用强密码访问账户、安装病毒扫描程序，甚至强制进行部分或全磁盘加密以防止数据丢失。 物联网带来了比 BYOD 更丰富的连接环境。预计一个组织内部署的物联网设备数量将远远超过每位员工通常拥有的一两部手机或笔记本电脑。身份与访问管理（IAM）基础设施的设计必须能够适应组织最终支持的设备数量，这一数量可能比目前高出几个数量级。随着新功能的出现，新的物联网子系统将不断添加到组织中，以实现和简化业务流程。 物联网的矩阵式特性也给工业和企业部署中的安全管理员带来了新挑战。如今，许多物联网解决方案设计为租赁而非购买。以租赁的放射设备为例，它会记录扫描次数，并在达到一定权限数量后停止操作。扫描数据会在线上报，即设备会在组织和制造商之间建立通信渠道。这个渠道/接口必须严格限制，只允许授权用户（即出租方或其代理）访问，并且只允许与出租方相关的特定设备连接。访问控制决策可能变得非常复杂，甚至会受到特定设备版本、时间等因素的限制。 物联网的信息共享需求进一步加剧了其矩阵式特性带来的挑战。这不仅涉及将物联网传感器收集的数据与第三方组织共享，还包括共享对物联网传感器的访问权限。任何物联网 IAM 系统都必须能够支持这种动态访问控制环境，能够快速、精细地允许或禁止设备和信息的共享。 此外，安全管理员还必须考虑连接到其网络的个人物联网设备。这不仅会引入新的攻击途径，带来安全隐患，还会引发与保护个人信息相关的重大隐私问题。例如，一些组织开始支持员工使用 Fitbit 等个人健身设备参与公司的健康和 wellness 计划。2016 年，奥罗尔罗伯茨大学要求所有新生佩戴 Fitbit，并将每日步数和心率信息上报到学校的计算机系统。另一方面，OpenDNS 的一份报告显示，一些公司的员工开始将包括智能电视在内的未经授权的物联网设备带入企业。这些设备通常会与互联网服务共享信息，而制造商设计智能设备时，通常会让其连接到供应商特定的 Web 服务和其他信息基础设施，这通常需要 802.1x 类型的连接。为物联网设备提供 802.1x 式的网络访问控制需要仔细考虑，因为可能连接到网络的设备数量众多。供应商目前正在研究能够对基于 IP 的物联网设备进行指纹识别的解决方案，并通过 DHCP 分配 IP 地址来决定是否允许特定类型的设备访问网络，例如通过对设备的操作系统或其他特征进行指纹识别。 物联网 IAM 是整体安全计划的一个方面，该计划必须旨在缓解这种动态的新环境，满足以下要求： - 新设备能够快速、安全地添加到网络中，并实现多种功能。 - 数据甚至设备不仅可以在组织内部共享，还可以与其他组织共享。 - 尽管会收集、存储和频繁共享消费者数据，但仍能维护隐私。 #### 2. 物联网整体 IAM 计划 一个全面的物联网 IAM 计划包括以下几个方面： - **与现有 IAM 和 GRC 集成**：将物联网融入现有的身份与访问管理以及治理、风险和合规（GRC）体系中。 - **与物理访问控制系统（PACS）集成**：考虑将物联网设备的认证和授权功能与 PACS 集成。PACS 提供电子手段，用于在组织的各个设施中启用和执行物理访问策略。通常，PACS 系统还会与逻辑访问控制系统（LACS）集成，LACS 系统提供管理身份、认证和授权访问各种计算机、数据和网络资源的技术和工具。PACS/LACS 技术是组织以相对可控的方式引入新物联网设备的理想系统。 - **物联网身份管理（IDoT）**：包括设备密码管理、身份关系管理等。 - **相关技术和协议**：如公钥基础设施（PKI）、802.1x、OAuth2.0、物联网协议（如 CoAP、REST、DDS 等）、安全协议（TLS、DTLS、OSCOAP、OSCON）以及 IPvX（4,6）。 以下是物联网整体 IAM 计划的 mermaid 流程图： ```mermaid graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(Integrate the IoT into the existing IAM and GRC):::process --> B(Integration with Physical Access Control System (PACS)):::process A --> C(IoT Identity Management (IDoT)):::process C --> C1(IoT Device Password Management):::process C --> C2(IoT Identity Relationship Management):::process A --> D(PKI):::process A --> E(802.1x):::process A --> F(OAuth2.0):::process A --> G(IoT Protocols (such as CoAP, REST, DDS,..)):::process A --> H(Security Protocols (TLS, DTLS, OSCOAP, OSCON)):::process A --> I(IPvX (4,6)):::process ``` #### 3. 物联网设备身份生命周期 在探讨支持物联网 IAM 的技术之前，了解物联网设备身份的生命周期阶段是很有必要的。物联网设备的身份生命周期从定义设备的命名约定开始，到从系统中移除设备的身份结束。这个生命周期过程应适用于所有采购、配置并最终连接到组织网络的物联网设备。 首先，需要对组织现在和未来将引入的物联网设备和系统的类别有一个协调一致的理解。建立一个结构化的身份命名空间将有助于管理最终添加到组织中的数千甚至数百万台设备的身份。 ##### 3.1 建立命名约定和唯一性要求 唯一性可以是随机的，也可