物聯(lián)網(wǎng)設(shè)備正以創(chuàng)紀(jì)錄的數(shù)量在世界各地部署。據(jù)IDC估計(jì)，到2025年，將有416億臺(tái)互聯(lián)設(shè)備產(chǎn)生79．4ZB的數(shù)據(jù)。隨著其中許多設(shè)備運(yùn)行關(guān)鍵基礎(chǔ)設(shè)施組件或收集、訪問(wèn)和傳輸敏感業(yè)務(wù)或個(gè)人信息，物聯(lián)網(wǎng)身份驗(yàn)證和訪問(wèn)控制變得更加重要。

物聯(lián)網(wǎng)設(shè)備身份驗(yàn)證是確保連接的設(shè)備可以被信任為它們所聲稱(chēng)的那樣的基礎(chǔ)。因此，訪問(wèn)控制可以監(jiān)控哪些資源可以被訪問(wèn)和使用，以及在何種情況下最大限度地降低未經(jīng)授權(quán)的行為的風(fēng)險(xiǎn)。

物聯(lián)網(wǎng)訪問(wèn)控制面臨的挑戰(zhàn)

在物聯(lián)網(wǎng)環(huán)境中部署身份驗(yàn)證和訪問(wèn)控制機(jī)制時(shí)，有許多方面會(huì)使任務(wù)復(fù)雜化。這是因?yàn)榇蠖鄶?shù)設(shè)備的處理能力、存儲(chǔ)空間、帶寬和能量都是有限的。由于常見(jiàn)身份驗(yàn)證協(xié)議的通信開(kāi)銷(xiāo)，大多數(shù)傳統(tǒng)身份驗(yàn)證和授權(quán)技術(shù)過(guò)于復(fù)雜，無(wú)法在資源受限的物聯(lián)網(wǎng)設(shè)備上運(yùn)行。另一個(gè)問(wèn)題是，設(shè)備有時(shí)部署在可能無(wú)法或無(wú)法提供物理安全的區(qū)域。

還有非常廣泛的硬件和軟件堆棧需要考慮。這導(dǎo)致大量設(shè)備通過(guò)多種標(biāo)準(zhǔn)和協(xié)議進(jìn)行通信－－這與更傳統(tǒng)的計(jì)算環(huán)境不同。例如，研究人員確定了物聯(lián)網(wǎng)環(huán)境中至少84種不同的身份驗(yàn)證機(jī)制，這些機(jī)制要么是在2019年提出的，要么是在2019年投入生產(chǎn)的。由于缺乏標(biāo)準(zhǔn)和物聯(lián)網(wǎng)特定的訪問(wèn)控制模型，保護(hù)設(shè)備和網(wǎng)絡(luò)安全的任務(wù)變得更加復(fù)雜。

改進(jìn)物聯(lián)網(wǎng)訪問(wèn)控制的3種方法

任何試圖管理數(shù)千個(gè)分布廣泛的物聯(lián)網(wǎng)設(shè)備的集中訪問(wèn)管理模型都有其局限性；沒(méi)有一種方法適用于所有場(chǎng)景。尋求開(kāi)發(fā)去中心化物聯(lián)網(wǎng)訪問(wèn)控制服務(wù)的供應(yīng)商正在研究區(qū)塊鏈技術(shù)如何消除集中式系統(tǒng)造成的問(wèn)題。網(wǎng)絡(luò)管理員和安全團(tuán)隊(duì)必須緊跟最新發(fā)展，因?yàn)樗鼈兛赡茉诓痪玫膶?lái)帶來(lái)真正可擴(kuò)展的服務(wù)產(chǎn)品。

在此之前，每一個(gè)物聯(lián)網(wǎng)設(shè)備必須有一個(gè)唯一的身份，當(dāng)設(shè)備試圖連接到網(wǎng)關(guān)或中央網(wǎng)絡(luò)時(shí)，可以對(duì)其進(jìn)行身份驗(yàn)證。有些設(shè)備僅根據(jù)其IP或MAC（媒體訪問(wèn)控制）地址進(jìn)行標(biāo)識(shí)，而其他設(shè)備則可能安裝了證書(shū)。但是識(shí)別任何類(lèi)型設(shè)備的更好方法是通過(guò)機(jī)器學(xué)習(xí)。除了行為分析（如API、服務(wù)和數(shù)據(jù)庫(kù)請(qǐng)求）之外，還可以使用靜態(tài)特性來(lái)完成此任務(wù)，以更好地確保設(shè)備的身份。身份和身份驗(yàn)證行為的結(jié)合使用還提供了根據(jù)上下文不斷調(diào)整訪問(wèn)控制決策的能力——即使對(duì)于資源有限的設(shè)備也是如此。

這種基于屬性的訪問(wèn)控制模型根據(jù)對(duì)設(shè)備、資源、操作和上下文進(jìn)行分類(lèi)的一系列屬性來(lái)評(píng)估訪問(wèn)請(qǐng)求。它還提供更多動(dòng)態(tài)訪問(wèn)控制功能?？梢曰谏舷挛膶傩灾械母膶?shí)時(shí)更新對(duì)操作和請(qǐng)求的批準(zhǔn)。但是，它確實(shí)需要管理員選擇和定義一組屬性和變量，以構(gòu)建一套全面的訪問(wèn)控制規(guī)則和策略。

物聯(lián)網(wǎng)訪問(wèn)控制如何加強(qiáng)信息安全戰(zhàn)略

強(qiáng)大的物聯(lián)網(wǎng)訪問(wèn)控制和身份驗(yàn)證技術(shù)可幫助抵御攻擊。但這只是一個(gè)更大的集成物聯(lián)網(wǎng)安全戰(zhàn)略的一個(gè)重要方面，該戰(zhàn)略可以檢測(cè)和響應(yīng)可疑的基于物聯(lián)網(wǎng)的事件。要使任何身份驗(yàn)證和訪問(wèn)控制策略發(fā)揮作用，物聯(lián)網(wǎng)設(shè)備必須可見(jiàn)。因此，需要建立關(guān)鍵設(shè)備庫(kù)存和生命周期管理程序，以及實(shí)時(shí)掃描物聯(lián)網(wǎng)設(shè)備的能力。

物聯(lián)網(wǎng)設(shè)備成功識(shí)別和驗(yàn)證后，應(yīng)將其分配到嚴(yán)格受限的網(wǎng)段。在那里，它將與主生產(chǎn)網(wǎng)絡(luò)隔離，主生產(chǎn)網(wǎng)絡(luò)具有專(zhuān)門(mén)配置的安全和監(jiān)控控制，以防范潛在的物聯(lián)網(wǎng)威脅和攻擊載體。這樣，如果特定設(shè)備被標(biāo)記為受損，暴露的表面積就會(huì)受到限制，橫向移動(dòng)也會(huì)受到控制。這些措施使管理員能夠識(shí)別和隔離受危害的節(jié)點(diǎn)，并使用安全修補(bǔ)程序和補(bǔ)丁程序更新設(shè)備。

物聯(lián)網(wǎng)正在改變世界以及IT安全需要如何運(yùn)作。安全供應(yīng)商仍在追趕物聯(lián)網(wǎng)環(huán)境的規(guī)模和復(fù)雜性。理想情況下，下一代服務(wù)產(chǎn)品將更好地匹配物聯(lián)網(wǎng)身份和訪問(wèn)管理的需求。

責(zé)任編輯：gt