大多数组织都制定了零信任信息安全策略,而网络是零信任实施领域的顶级技术。此技术成熟度曲线可以帮助安全和风险管理领导者确定合适的技术,以将零信任原则嵌入其网络中。
战略规划假设
-
到 2026 年,15% 的企业将在企业拥有的局域网上用 ZTNA 取代网络访问控制 (NAC) 和/或嵌入式交换安全功能,而 2024 年初这一比例还不到 2% 。
-
到 2026 年,企业实施的所有 SD-WAN、园区交换和数据中心交换产品中超过 90% 将不支持零信任网络的三个主要要求。
-
到 2027 年,25% 为其扩展员工队伍实施 ZTNA 技术的组织将从静态、一次性基于上下文的身份验证和授权转向持续、动态、基于风险的访问控制。
需要知道的
对于大多数寻求通过减少攻击面、标准化用户访问或启用基于风险的访问策略来降低其环境中的风险的组织来说,零信任是首要任务。此外,网络技术是零信任实施范围的首要领域,略高于用户和设备。
围绕零信任的技术格局瞬息万变。目前,业界对零信任的“噪音”很多,很难区分可靠的实践和营销炒作。零信任不是一项单一的技术、实现或最终目标;相反,它是一种导致特定架构和技术实现的范例。
具体来说,在网络领域,零信任包括:
-
授予访问权限之前确认身份
-
仅限制对必要资源的访问
-
根据风险动态、持续地近乎实时地调整访问权限
SRM 领导者必须与 I&O 领导者密切合作,将零信任原则纳入其网络,因为这需要在人员、流程和技术方面进行投资。此技术成熟度曲线介绍了 SRM 领导者应关注的现有技术和新技术,以将零信任原则嵌入其网络。
炒作周期
此炒作周期描述了与 SRM 领导者最相关且炒作最多的 20 个零信任主题。我们定义每种技术或实践,描述其优势,确定其市场渗透率,并指出其增长的驱动因素和抑制因素。炒作周期中零信任网络技术的集合是动态的,年变化率超过 50%。
今年技术成熟度曲线的亮点如下:
-
新的炒作:MASQUE 、OpenZiti 和零信任数据包路由出现了新的炒作,它们是潜在的基础技术,可加速供应商产品开发和企业采用零信任网络产品。
-
接近峰值:SSE 和 eBPF 接近峰值。由于企业希望整合技术以实现自适应、零信任方法,SSE 受到强烈需求的推动。这种方法可以将用户连接到应用程序。有多个可行的供应商选择和大量的营销炒作。供应商正在大力使用 eBPF 来帮助提高新产品的可见性和安全性。
-
处于低谷:目前,只有物联网身份验证处于低谷,因为物联网安全形势复杂,并且通过物联网平台对身份验证方法的支持不成熟或不完整。
-
接近平台期:随着采用率的提高以及创新越来越多地融入到更广泛的网络安全平台和产品中,ZTNA 和微分段正在接近平台期。
-
进展迅速:零信任策略和 SASE 是技术成熟度曲线中发展最快的创新。SASE 的发展受到企业意识和实施的不断提高以及供应商产品日益成熟的推动。大多数组织的领导层都将零信任策略列为战略方向,并至少使用此技术成熟度曲线中的部分技术进行部分实施。
图 1:零信任网络技术成熟度曲线,2024 年
优先级矩阵
由于企业网络变化的速度和影响,预计未来两年内不会有任何转型技术被主流采用。企业网络通常不会转型;相反,它们会随着时间的推移逐渐发展。
根据目前的发展轨迹,我们预计两项变革性技术将在未来两到五年内实现主流采用——SSE和SASE 。我们预计未来两年内将迅速采用的影响力较大的技术包括EDR终端检测和响应、微分段和 OAuth 2.0。
表1 :2024 年零信任网络优先级矩阵
影响力 | 距离主流采用的时间 | |||
不到 2 年 | 2 - 5年 | 5 - 10 年 | 超过 10 年 | |
颠覆 | SASE SSE | |||
较高 | EDR 微分段 OAuth 2.0 | OpenID 连接 通用 ZTNA | 物联网认证 托管 SASE 零信任策略 | |
中等 | ZTNA | 咖啡店网络 eBPF NDR | CAEP 服务连接层 | |
偏低 | 外联网即服务 MASQUE OpenZiti 零信任数据包路由 |
来源:Gartner(2024 年 7 月)
脱离炒作周期
-
统一终端安全、远程浏览器隔离和企业浏览器已被删除,因为它们更多地被炒作成终端安全技术,而不是网络技术。
-
Kubernetes 网络和网络保证已被删除,因为与这些技术的零信任相关的炒作有限。
-
混合网格防火墙平台和容器安全已被删除,因为它们不像其他零信任网络技术那样受到热捧。此外,防火墙功能是 SASE 和 SSE 的子集。
-
数字体验监控已被删除,因为它通常包含在 SASE 产品中。
技术萌芽期
1、零信任数据包路由
影响力评级:较低
市场渗透率:不到目标受众的 1%
成熟度:孵化
定义:零信任数据包路由 (ZPR) 是一项提议的标准,它将安全嵌入基于互联网协议 (IP) 的网络中。在当前提案中,ZPR 可应用于设备操作系统或网络基础设施中。
为什么重要
大多数组织都在推进零信任战略。然而,互联网协议(几乎所有企业的基础核心网络协议)本身并不包含零信任属性。IP 假设了可信连接,这在实施零信任时带来了挑战。为了帮助解决这个问题,ZPR 是一项拟议标准,用于将零信任原则嵌入 IP 网络中,包括添加基于身份的实施,而不依赖于终端。
商业冲击
零信任是大多数组织的首要任务,因为它们力求降低其环境中某些网络安全威胁的风险。零信任策略可限制事件发生时的影响,并通过在需要保护的资产附近安装灵活的安全控制措施来实现企业的数字化转型。
驱动因素
-
IP 协议缺乏现代机制来本地建立身份或近乎实时地持续调整访问权限。这引发了人们对 ZPR 的兴趣。
-
包括 Oracle 在内的供应商正在推动人们对 ZPR 的兴趣和认识。特别是,Oracle 已公开承诺“发布 Oracle 零信任数据包路由平台”。
-
对 ZPR 的兴趣是由对零信任的更广泛兴趣所驱动,这通常是政府授权、供应商炒作、勒索软件攻击和混合劳动力需求的结果。
-
对 ZPR 的兴趣源于几个固有的技术优势,包括用户身份、机器身份、上下文和端到端加密。该政策旨在让人类可读、易于审计且可在所有网络节点上执行。
障碍
-
ZPR 是一个新兴标准,而不是既定的批准标准。
-
企业对 ZPR 几乎没有任何认识和兴趣。只有极少数供应商向企业推销 ZPR。
-
目前,尚未有使用 ZPR 的商业产品。
-
ZPR 的实现最初专注于 SmartNIC,但企业采用程度有限。
用户建议
-
在标准获得批准或 ZPR 在商业产品中得到更广泛使用之前,避免对该技术进行大量投资。
-
将 ZPR 作为可选组件包含在 RFI 中。
2、OpenZiti
影响力评级:较低
市场渗透率:不到目标受众的 1%
成熟度:孵化
定义:OpenZiti 是一个开源软件项目,致力于将零信任网络原则直接引入任何应用程序。该项目提供实现零信任覆盖网络所需的组件以及将零信任集成到现有解决方案中的工具。
为什么重要
OpenZiti为组织提供了现有零信任网络访问( ZTNA ) 产品的替代方案,使其能够获得更多控制权,同时降低商业许可成本。商业ZTNA 实施通常按用户每年收取使用其软件的订阅费,并要求每个策略执行点 (PEP) 使用托管基础设施或专有虚拟或物理硬件。
商业冲击
企业希望为其组织部署零信任概念,以减少某些网络安全威胁并限制事件发生时的影响,但通常将许可成本视为障碍。对于希望将 ZTNA 技术作为零信任架构一部分的组织,开源替代方案降低了实施的障碍和许可成本。
驱动因素
-
青睐开放方法(包括开源)的组织希望展现更多控制权或降低商业许可成本。
-
OpenZiti 允许组织将 ZTNA 扩展到大量消费者和个人用户。它使他们能够将 ZTNA 客户端嵌入到他们的代码中,并构建可扩展的后端架构,而不受每个用户的许可限制。
-
OpenZiti 通过开源许可模式提供,减少了获取和开始使用该技术的阻力。NetFoundry于 2020 年 12 月创建了 OpenZiti,并根据 Apache-2.0 许可发布。
-
对 OpenZiti 的兴趣源于对零信任的广泛兴趣,而零信任通常是政府授权、供应商炒作、勒索软件攻击和混合劳动力需求的结果。
-
大多数 ZTNA 实施使用基于云的策略决策点 (PDP) 和专有 PEP,使得需要完全内部部署、开源 ZTNA 代码的组织几乎没有选择。
障碍
-
OpenZiti 要求组织构建控制器和路由器,并在本地或云基础架构上维护这些组件。用于连接到结构的终端访问选项仅限于使用可用的软件开发工具包 ( SDK)或引导浏览器将代码嵌入到应用程序中。
-
OpenZiti 是一个新兴的开源项目,但是它并没有基于开放标准来促进与商业软件的集成或迁移。
-
几乎没有企业对 OpenZiti 有认知和兴趣。
-
目前,只有一款由 NetFoundry 支持的商业产品 CloudZiti 可以使用 OpenZiti。目前尚不清楚 OpenZiti 是否会超越“主要由一个人组成的社区”,成为一个充满活力的开源项目,并得到各种参与者的贡献。
-
OpenZiti 的实现缺乏商业 ZTNA 选项中必须建立在框架之上的强大功能,例如为用户和设备构建风险评分以推动自适应访问。
用户建议
-
在商业产品更广泛地采用或支持 OpenZiti 之前,请避免在实施 OpenZiti 方面进行大量投资。
-
当需要完全控制基础设施、零许可成本、开源或支持完全断开连接的基础设施时,包括使用 OpenZiti 开发 ZTNA。
-
当直接客户端到应用程序的使用案例要求使 ZTNA 对用户透明并且每个用户的许可成本过高时(例如,将 ZTNA 扩展为面向消费者或公民的应用程序中的安全应用程序到服务),实施 OpenZiti。
3、外联网即服务
影响力评级:较低
市场渗透率:不到目标受众的 1%
成熟度:孵化
定义:外联网即服务 (ExtranetaaS) 是一种提供外联网即服务的网络软件产品。外联网是一个逻辑网络区域,可将多个独立方连接在一起,这些方通常属于不同的管理域,并且通常具有不同的要求。这些有时也称为 B2B 网络。
为什么重要
ExtranetaaS 改进了公司在其环境中启用外联网的方式。随着企业越来越多地使用公共云和 SaaS 服务,它简化了在现代时代设置和保护外联网运行的能力。
商业冲击
ExtranetaaS 允许公司、合作伙伴、客户和其他外部方访问网络上的数据和系统,并以服务形式提供。它允许这些方连接并交换所需的信息(例如应用程序组件或金融交易),并有助于连接具有共同利益的独立方。
驱动因素
-
传统上,外联网是在数据中心、应用程序和数据附近建立的,使用专用电路或 IPsec VPN。将应用程序迁移到公共云和SaaS正在促使组织重新考虑其现有的外联网方法。
-
本土公有云提供商不提供强大的高级网络配置来支持复杂的外联网连接场景,从而迫使企业采用ExtranetaaS解决方案。
-
企业希望用更面向 API 和软件的解决方案来简化和替换物理基础设施,包括路由器、防火墙和 VPN 设备。
-
人们还希望取消昂贵的专用线路,例如 MPLS 或专用宽带。
-
ExtranetaaS提高了连接外部业务实体的速度。
-
随着企业将其应用程序迁移到云服务,规模较小和初创的网络供应商正在积极瞄准企业,以帮助他们解决技术和安全挑战。
-
需要连接且 IP 地址重叠的企业正在将ExtranetaaS视为一种选择。
障碍
-
ExtranetaaS对于大多数企业来说是一个陌生的技术和术语。
-
外联网通常支持任务关键型环境,因此需要适度渐进式变革。这与向ExtranetaaS的转变形成鲜明对比,后者需要由知名度较低的供应商提供纯软件即服务。
-
公有云提供商的本机功能足以满足某些外联网用例的需求。
-
企业可以在云数据中心使用主机托管,使服务更接近公共云、SaaS 和合作伙伴服务,而无需使用ExtranetaaS 。
-
大多数企业网络团队对于外联网部署持“设置完毕后就忘掉”的态度,不愿意重新构建整个部署。这推动了现有外联网的适度增量现代化,而不是转换为 ExtranetaaS。
-
供应商解决方案的供应还不成熟,因为许多专注于这项技术的供应商都是未经证实的小公司。
用户建议
-
如果本机云提供商构建不支持您的 B2B 网络要求,请调查ExtranetaaS。
-
如果要将现有的内部部署、基于硬件的外部网或 B2B 网络迁移到公有云环境,请选择 ExtranetaaS。
-
将ExtranetaaS产品列入候选名单,作为以安全方式连接大量客户数据的选项。
-
探索 ExtranetaaS 作为 B2B 用例的 MPLS 替代方案,或用于标准化机构和业务合作伙伴跨地区的连接。
供应商:Alkira;Graphiant;Trustgrid
4、MASQUE
影响力评级:较低
市场渗透率:不到目标受众的 1%
成熟度:孵化
定义:基于 QUIC 加密的多路复用应用程序底层 (MASQUE) 是一个 IETF 标准草案,可实现流量的安全传输和代理。
为什么重要
MASQUE是替代现有加密协议(例如 IPsec、WireGuard 和TLS)的替代方案。MASQUE 可提高两个终端之间通信的性能、安全性和隐私性。因此,MASQUE 有可能为多种产品类别提供统一的基础,包括基于 VPN 的远程访问、SSLVPN和零信任网络访问 ( ZTNA ) 产品。
商业冲击
零信任是大多数组织的首要任务,因为它们力求降低其环境中某些网络安全威胁的风险。MASQUE 提供统一协议来支持零信任网络部署,包括 ZTNA。MASQUE使组织能够在受到传统协议限制的情况下扩展其 ZTNA 实施的范围。
驱动因素
-
MASQUE 建立在现有的广为人知的标准协议之上,包括 HTTP 和快速 UDP 互联网连接(QUIC )。
-
QUIC 是 Microsoft Office 和Google Workspace的默认传输协议,但被许多安全设备/服务阻止,包括安全服务边缘 ( SSE)和防火墙。MASQUE 有助于解决这一问题,因为它为企业提供了一种检查和监管基于 QUIC 的流量的机制,这是现有技术无法做到的。
-
思科、爱立信和 Cloudflare 等供应商正在推动人们对 MASQUE 的兴趣和认识。
-
三星、谷歌和苹果等移动操作系统供应商都在其操作系统中加入了 MASQUE。
-
MASQUE 可以提高安全性,因为它可以加密流元数据,并且还允许代理连接而不被拦截,此外还提供加密来保护传输中的数据。
-
MASQUE 通过确保任何一方都无法看到流量的来源和目的地,增强了最终用户发起的加密流量的隐私性。
-
与其他协议相比, MASQUE应该可以提高性能和吞吐量,因为它利用了性能卓越的 QUIC。
-
MASQUE 与协议无关,这意味着中间节点不必了解封装的协议。这将有助于解决NAT和防火墙兼容性问题。
障碍
-
MASQUE 目前是一个草案标准,尚未获得批准。
-
MASQUE 中的企业意识有限。
-
网络硬件(包括负载均衡器、网络防火墙和网络接口卡)对 MASQUE 的原生支持有限。
-
为了实现最佳性能,需要支持 HTTP/3 和 QUIC,但目前 HTTP/3 的采用有限。
用户建议
-
将 MASQUE 纳入 RFI,作为 ZTNA 、SASE和远程访问项目的可选组件。MASQUE 将成为这些产品的底层技术,可以提供优于传统传输协议的竞争优势。
-
在投资使用 MASQUE 的产品时,优先考虑可以恢复到现有且易于理解的机制的选项(假设它尚未批准)。
供应商:Akamai;苹果;思科;Cloudflare;Fastly;谷歌;微软;三星
5、咖啡店网络
影响力评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:“咖啡店网络”是一种技术组合,无论员工身在何处,都能提供简化且一致的员工体验。用户体验是:找个座位,连接,随时随地工作。无论员工是在办公室、咖啡店还是在家工作,体验都是一样的。企业通常在简化其分支机构网络的背景下提到“咖啡店网络”。
为什么重要
网络团队希望模仿员工在咖啡店工作的体验,并将这种体验扩展到分支机构的员工。因此,“咖啡店网络”可以改善员工访问应用程序的体验,简化分支机构网络基础设施,并可能优化网络投资。这在一定程度上是对混合工作环境和酒店式办公安排的回应,在这种安排下,员工越来越多地在任何地方工作,并访问主要从云端提供的应用程序。
商业冲击
咖啡店网络允许灵活地选择工作地点,并可以简化和优化员工访问应用程序时的体验。无论用户选择在哪里工作,这还可以实现单一一致的安全态势。这一点尤其重要,因为 Gartner 的研究表明,45% 的员工是混合型员工(平均每周远程工作时间不到一天到四天)。
驱动因素
-
几乎一半的员工都是混合型员工,他们越来越多地使用基于互联网的 SaaS 和公有云资源。
-
无论员工身在何处,他们访问公司应用程序时都喜欢简单、一致的用户体验。
-
网络和安全团队希望为混合工作员工提供简单、安全和一致的体验。
-
企业通常具有实现咖啡店网络的底层技术的经验,包括轻量级 SD-WAN、零信任网络访问 (ZTNA)、数字体验监控和本地Wi-Fi。
-
一些供应商正在积极地向用户推销这一概念,作为一种新颖的创新方法。
-
网络团队正在寻找降低或优化分支机构和远程工作人员成本的方法,而咖啡店网络承诺通过减少专用电路或网络/安全设备来降低成本。然而,这一承诺是否真正实现取决于用例。
-
租用办公空间(而非自有)并将互联网接入作为一项公用设施的公司会寻求在咖啡店建立网络。这也适用于酒店式办公安排,即员工被分配一张办公桌,但每周至少有几天必须在现场工作,因此需要在其他地方工作。
-
已经投资 ZTNA/安全服务边缘解决方案的企业希望在分支机构中利用这项投资,不仅仅针对远程工作人员。
障碍
-
咖啡店网络并不太符合尚未采用混合工作模式的企业的要求。
-
咖啡店网络不能有效满足大量非用户连接到网络的需求,包括物联网 (IoT)和运营技术 (OT),例如打印机、徽章阅读器、数字标牌等。
-
缺乏 SaaS 或公有云服务的采用降低了咖啡店网络的价值。
-
如果已经在下一代防火墙、SD-WAN 等方面进行了投资,并且这些投资运行良好且不需要更新,那么很难证明转向咖啡店方式的合理性。
-
由于隐私、安全或性能问题而避免使用互联网连接的企业不太可能采用这种模式。
-
企业缺乏对这种交付方式的认识,这种交付方式往往与对现有基础设施进行渐进式调整而不是重新考虑架构的愿望相一致。
-
无线覆盖和/或容量挑战阻碍了咖啡店网络的成功部署。
-
咖啡店网络缺乏引人注目的财务投资回报率。
用户建议
-
当组织是云优先、互联网优先、专注于混合工作且 用户具有南北流量模式时,请优先考虑使用咖啡店网络。
-
在构建、更新和/或现代化分支机构或园区基础设施时,将咖啡店网络作为企业领导者的架构选项之一
6、托管 SASE
影响力评级:较高
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:托管SASE (MSASE) 以托管服务的形式提供 SASE 功能的整个生命周期。这包括设计、迁移、安装、配置、运营和管理。这些服务涵盖 SD-WAN、SWG、CASB、防火墙、零信任网络访问 (ZTNA) 元素以及安全态势和漏洞评估的核心 SASE 组件。
为什么重要
SASE 管理通常由企业执行,因此 SASE 适合具有成熟安全和网络运营能力的客户。大多数企业缺乏管理和保护网络的专业知识,这表明 MSASE 是他们的更好选择。Gartner 估计,全球 60 % 至70% 的 SD-WAN 买家使用托管服务(例如MNS );因此,我们预计 MSASE 可能也会如此。在过去两年中,Gartner客户接到了数千次问询,他们对 SASE 的兴趣日益浓厚。
商业冲击
MSASE 可以缩短企业实现价值的时间,减少内部资源压力,同时降低运营风险以获得 SASE 效益。目前,绝大多数 SASE产品都要求客户拥有熟练且经验丰富的网络和安全团队,并掌握新兴技术。与拥有自己的内部网络和安全专业知识的组织相比,MSASE服务可帮助这些客户更快地采用 SASE 并获得可比效益。
驱动因素
-
企业对 SASE 有着浓厚的兴趣,因为它允许他们减少雇用的安全供应商的数量并降低复杂性,同时支持关键转型计划,包括云和混合工作。
-
大多数企业无法聘用并留住具有关键技能的员工来支持不断扩大的安全运营的需求。
-
MSASE为企业提供了优化其安全架构的机会,并通过雇用内部资源减少了投资挑战。
-
在供应商整合趋势强劲的背景下,企业纷纷寻求加强其资产中安全供应商的整合。
-
企业正在寻求利用 SD-WAN 作为 MSASE 解决方案的一部分来保护其现代化网络,这提供了利用连接、网络和安全需求组合的机会。
-
MSASE 提供商将企业对 SASE 和供应商整合的兴趣视为利用趋势、增加收入和提高保留率的绝佳机会,从而为客户提供更多选择。
-
MSASE 提供商的增加导致了价格下行压力,对于考虑购买不带托管组件的 SASE 的客户来说,这使其成为更具吸引力的替代方案。
障碍
-
供应商的报价正在扩大,但在市场采用的这个阶段,生产环境中的解决方案证明点仍然有限。
-
许多网络和安全供应商都提供 SASE 解决方案,但很少有产品具有单一管理平面、统一数据模型、数据湖和简化的定价。
-
从点解决方案迁移到 MSASE 需要有运营支出预算,该预算通常用于现有合同并受合同条款的约束。
-
供应商概括特定的企业用例并首先提供他们的解决方案,而不符合企业特定的挑战和所寻求的业务成果,从而疏远了一些潜在客户。
-
供应商缺乏与客户一致的迁移计划。
-
由于提供商提供的服务缺乏标准化,SLA 仍然处于分散状态。
用户建议
-
如果网络和安全专业知识是组织采用 SASE 的主要制约因素,则评估 MSASE 提供商。
-
投资 MSASE 以加速部署、简化安全集成、实现生命周期管理并降低人员配备风险。
-
寻找 MSASE 供应商,将其底层 SASE 产品与您组织的主要用例相结合,并重点关注业务成果,例如分支机构转型、混合工作支持或一流的安全功能。
-
在评估MSASE服务与 OEM SASE 产品时,请对组织内部配置和运营所需的时间和资源设定切合实际的期望。
-
在评估 MSASE 报价时,应优先考虑操作的简单性、统一管理、采购的便利性和降低的开销。
-
根据提供商的网络和安全功能和生命周期流程的标准化级别、MSASE SLA 的成熟度以及可用的商业条款来评估 MSASE 服务。
7、CAEP持续访问评估配置文件
影响力评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:持续访问评估配置文件 (CAEP) 概述了共享信号和事件 (SSE) 框架,该框架定义了在受信任方之间传递事件的机制,以实现持续的运行时访问决策。CAEP 是一种标准,它使身份和访问管理 (IAM)、安全工具以及它们保护的应用和服务能够持续共享安全事件,从而实现会话管理、缓解违规行为并在分散的环境中加强政策。
为什么重要
-
单点登录在组织的混合环境中已经很成熟,但单点注销和会话管理迄今为止还难以实现。
-
工具和应用之间的风险事件共享需要标准化的基于事件的协议和消息格式。
-
CAEP 有助于解决长令牌寿命、逐步身份验证、保证级别和设备态势的持续评估等挑战,并提供沟通和响应身份生命周期事件的机制。
商业冲击
共享CAEP事件可提高松散连接服务的安全性,并实现混合和分散 IT 环境中的持续控制、更高的保证级别和更好的用户体验。利用 CAEP 事件作为对变化或检测到的威胁的响应,应用和 IAM 工具可以采取诸如终止会话、重新评估索赔、加强用户身份验证和管理以及授权生命周期等操作。
驱动因素
-
组织的混合和多云环境中应用和服务的日益分散使得持续会话管理势在必行,但很难或不可能实现。例如,单点注销集成在历史上无法大规模部署。
-
组织需要持续自适应信任 (CAT) 和可互操作的方式来应对会话期间发生的风险事件,以了解用户通过身份验证后应用中发生的情况。从规模上讲,这只能使用身份标准来实现。
-
现代 IAM 需要基于事件和运行时的通信机制来评估和建立信任,并根据用例安排合适的工具。例如,如果某个事件表明有关用户的声明不再有效,或者设备的安全状况不合规,则必须触发其他 IAM 工具来响应该事件,以管理受影响的身份并在运行时重新评估访问决策。
-
CAEP 是著名的 OpenID 基金会定义的SSE框架的配置文件。
-
使用CAEP将信号连续输入自适应接入引擎,使得引擎能够获得更多数据,从而做出更准确的接入决策。
-
IAM 社区开始实施 CAEP,通常是在自己的孤岛内,但也提供 CAEP 测试平台(如caep.dev)来提供教育,并测试 CAEP 实施情况,从而推动采用。
-
Gartner与 OpenID 基金会联合在 2024 年于伦敦举行的 Gartner IAM 峰会上成功举办了互操作性会议,会议中有七种 CAEP 实施,展示了协议的实用性、互操作性和可实施性。在会议期间和会议结束后,Gartner 客户强调了这一尚未满足的市场需求的重要性。
障碍
-
IAM 专业人士或应用和服务开发人员仍然不太了解和理解 CAEP。
-
所有身份标准都需要很长时间才能普遍实施。身份标准在广泛部署之前会遇到“先有鸡还是先有蛋”的问题。目标应用等待着看标准是否会流行起来,而 IAM 供应商则等待着目标应用程序的广泛支持。CAEP 也是如此。实施者的数量现在正在从少数增加。部署是在供应商自己的工具内或在密切的合作伙伴之间进行的。
-
新身份标准市场饱和度缓慢的另一个影响是,市场需要能够通过将 CAEP 事件代理和翻译到非支持环境来帮助实现旧工具和集成现代化的工具。Gartner 目前只知道一个这样的代理。
用户建议
-
通过采用开放标准,定义支持在分散环境中进行集中控制的 IAM 架构。CAEP是其他现代身份协议(例如 OpenID Connect、跨域身份管理系统 (SCIM)、JSON Web 令牌 (JWT) 和支持它的开放策略代理)旁边的协议。
-
询问 IAM 供应商他们的路线图并开始要求 CAEP。Gartner预计 CAEP 和其他相关标准(如 OpenID SSE 框架规范的风险事件共享和协调 (RISC) 配置文件,用于在分散系统之间共享安全和风险事件)将在未来变得越来越重要。
-
在采购新应用(尤其是 SaaS 应用程序)时,将 CAEP 添加为可选的 RFP 标准。支持仍在不断涌现,但 Gartner 预计 CAEP 的采用将不断增长。随着时间的推移,在 IAM 工具中配置新应用应该包括标准化生命周期管理、单点登录和事件共享。
供应商:AWS;博通;思科;谷歌;Helisoft ;微软;Okta;SailPoint ;SGNL;VeriClouds
8、服务连接层SCL
影响力评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:服务连接层 (SCL) 抽象化了将应用服务连接在一起所需的必要网络管道和安全控制,无论位置或 IP 地址如何。该技术简化了非网络专家的开发人员的服务拼接,并可以提供发现和注册、连接、授权、身份和可观察性等设施。
为什么重要
SCL 技术(例如服务网格、云私有终端和服务连接结构)允许开发人员和应用程序架构师在假设网络是扁平的且服务可访问的情况下配置他们的服务,而无需担心底层网络基础设施的细节。SCL还提供东西向微分段,这是零信任网络的支柱。
商业冲击
构建或运行现代分布式应用程序的组织将受益于缩短的周期时间、提高的生产力和简化的操作。SCL 将通过抽象服务及其之间的连接来帮助更快地交付软件。开发人员可以更多地专注于业务功能,而不是网络细节。SCL 还可以通过实施第 7 层微分段来促进零信任网络。
驱动因素
-
安全、透明和受控的连接有利于云服务的日益普及。网状应用和服务架构的采用依赖于应用和服务之间以及服务之间的无处不在的连接。
-
云提供商和第三方供应商提供的扩展云私有终端的新产品验证了 SCL 的出现。
-
Kubernetes 服务网格用户希望将服务网格的优势扩展到集群之外的更静态的环境中。SCL 可以弥合高度动态和静态环境之间的差距。
-
组织越来越多地使用云私有终端与公共云中的服务进行通信。
-
SCL通过将执行推送到服务终端并提供第 7 层微分段,为零信任安全架构建立了一些基础。
-
将身份扩展到服务和流程的技术正在获得发展动力。
-
SCL 与平台工程工作保持一致,因为它减少了应用程序开发人员的网络认知负荷。
障碍
-
供应商生态系统尚处于萌芽阶段且不够成熟,一些来自服务层,一些来自网络层。
-
网络、安全、平台和开发人员之间缺乏明确的买方角色,导致供应商难以获得客户。每笔销售都需要多个团队达成共识,包括网络、安全和应用程序架构师。
-
与现有遗留网络的构造、架构和操作流程的集成使得 SCL 的运营变得困难。
-
对于拥有平台运营团队并采用基础设施即代码的组织来说,SCL 效果更佳。一些开发人员和基础设施及运营 (I&O) 团队并不知道SCL 技术可以解决他们的一些问题。
用户建议
-
当需要简化和精简服务网络时,部署服务连接解决方案以使应用程序开发免受复杂网络技术的影响。
-
与 I&O 和平台运营团队合作,确保服务连接处于正确的抽象级别。
-
将安全、平台、开发和网络团队纳入产品评估和架构流程。
-
在查看第三方产品之前,请先尝试公共云产品的服务连接性。
供应商:AWS;谷歌;Greymatter.io;HashiCorp;IBM;Solo.io;Tetrate
9、通用 ZTNA
影响力评级:较高
市场渗透率:不到目标受众的 1%
成熟度:新兴
定义:通用零信任网络访问 (ZTNA) 将 ZTNA 技术扩展到远程访问以外的用例,以支持园区和分支机构“本地”位置的本地实施。虽然“通用 ZTNA”描述了广泛的 ZTNA 实施,但最初的 ZTNA 定义并不局限于远程访问用例。
为什么重要
通用 ZTNA 统一了访问控制。它将ZTNA 产品从远程访问部署扩展到园区环境,并为企业带来诸多好处,包括消除安全漏洞、统一策略、增强可视性、简化操作和现代化定价模型。
商业冲击
由于网络访问实施不一致,混合工作给员工带来了挑战,这可能导致生产力下降并增加发生安全和网络事故的可能性。通用 ZTNA 有助于简化跨多个环境的网络和安全策略。
驱动因素
-
IT 团队的目标是在访问公司资源时提供一致的最终用户体验,无论其物理位置如何。
-
IT 团队希望管理统一的安全策略,允许访问资源,而不管用户或设备的物理位置如何。
-
已为远程工作人员部署 ZTNA 并希望为本地用户扩展同一产品的组织。
-
组织正在寻求简化园区网络的管理,通过减少交换配置量(例如,VLAN、802.1X、媒体访问控制安全 ( MACsec )、私有 VLAN、访问控制列表 [ACL] 和微分段之间)或减少对网络访问控制 (NAC)的需求。
-
供应商正在积极营销通用 ZTNA 。
-
当与淘汰用于内部部署或远程访问安全的重复系统相结合时,将现有的 ZTNA 实施扩展到远程访问之外,可以使企业实现更低的总拥有成本 (TCO) 。
-
组织正在寻求提高最终用户设备的可见性和控制力,无论其位于何处。
-
组织正在寻求根据用户和设备的风险实现近乎实时的自适应访问控制,而不是依赖于用户或设备的物理位置或 IP 地址。
障碍
-
将流量引导至执行点可能需要重新设计网络,或者造成延迟或复杂性并影响性能。
-
只有少数供应商提供强大的通用 ZTNA 产品。具体而言,缺点包括未管理的设备和未经身份验证的用户,包括未管理的运营技术( OT) 和物联网( IoT)。
-
孤立的网络和安全团队导致组织忽视了统一远程访问和校园安全的机会。
-
由于预算限制、支持内部或外部审计结果的遗留技术以及对现状的管理自满,组织尚未准备好在任何地方采用完全自适应的动态访问策略。
-
用于修补和软件分发的 IT 管理工具可能需要现代化,以支持到达隔离终端,即使是在校园位置。
-
由于 ZTNA 基础设施中的政策不佳、漏洞或运行停机,ZTNA 故障的集中风险增加。
用户建议
-
通过将现有的远程访问部署扩展到园区环境来试行通用 ZTNA 部署,以确定可行性。
-
从安全远程用户访问用例开始,逐步实施通用 ZTNA 部署,然后再扩展到本地用例。
-
选择提供本地和云托管实施点的供应商,以帮助避免次优的流量路由。
-
倾向于基于云的管理进行通用 ZTNA 部署,以便更快地访问供应商的新功能,并避免管理管理系统。
-
将通用 ZTNA 产品选择和部署与安全访问服务边缘 (SASE) 和安全服务边缘 (SSE) 计划相结合。
-
制定并测试弹性计划,为不可用的执行点和无法访问的资源做好准备(例如,当云资源不可用时的本地策略缓存)。
供应商:AIRGAP;Appgate;Extreme Networks;Fortinet;Versa Networks;Zscaler
期望膨胀期
10、eBPF增强型BPF
影响力评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:扩展伯克利数据包过滤器 (eBPF) 是 Linux 操作系统内核的增强功能,允许特定指令集在内核内运行(沙盒化)。它使公司能够向 Linux 添加功能,而无需更改内核源代码或需要内核模块。
为什么重要
eBPF 提高了 Linux 的可扩展性。它允许用户创建由 Linux 内核事件触发的钩子。这提供了一种更安全、更简单的方法来在 Linux 中添加功能,例如性能、安全性和可见性。技术供应商使用 eBPF 来避免内核级模块,因为这些模块具有固有的风险。超大规模企业(包括 Amazon Web Services、 Meta和 Netflix)、内容交付网络(如 Cloudflare)和安全供应商(如 Sysdig)在生产中大规模使用 eBPF 。
商业冲击
eBPF 提高了应用程序的可观察性、安全性和性能。但是,大多数企业不会直接使用 eBPF。技术供应商确实在其产品和服务中使用 eBPF 作为基础技术,以提高在 Linux 上运行的程序的性能和安全性。eBPF允许技术极其精湛的组织安全快速地对 Linux进行更改。它比其他方法(例如使用 Linux 内核模块或上游到 Linux 发行版)有所改进。
驱动因素
-
超大规模企业使用 eBPF 来提供更高效的云产品。网络、监控和安全供应商(包括最大的云原生保护平台 (CNAPP) 供应商)也在其产品中使用它。
-
超大规模服务器使用 eBPF 来修复内核漏洞(无需修补)、解决Day 0漏洞并更有效地处理分布式拒绝服务 (DDoS) 攻击。
-
思科收购了 Isovalent,并宣布推出利用 eBPF 的新型分布式防火墙,提高了企业的可见性和对该技术的认识。
-
各组织正在寻求通过避免在 Linux 发行版中包含上游的要求来加快在 Linux 上运行的软件的开发。
-
各组织正在寻求提高在 Linux 上运行的软件的性能、安全性和监控能力。
-
eBPF 在技术先进的公司中很受欢迎,包括技术供应商和超大规模企业,因为它提供了标准化接口,支持内核可移植性,并且不需要太多深入的内核编程知识。
-
eBPF 有助于克服iptables (Linux 中的默认网络堆栈)的规模和可见性限制。eBPF通过在周期早期处理数据包来帮助优化和定制 Linux 网络数据包处理。
-
供应商越来越多地在其运营商网络基础设施 (CNI) 软件中使用 eBPF 来提高性能、安全性和网络可见性。
障碍
-
虽然 eBPF 对于技术供应商和超大规模企业来说很现实,但大多数企业缺乏构建和集成基于 eBPF 的功能所需的专业知识和技能。
-
大多数企业缺乏直接应对Linux内核挑战的意识、需求或风险承受能力。
-
许多较旧的 Linux 内核不支持 eBPF ,或者仅部分支持最新功能。
-
对安全性和系统可靠性的担忧将严重限制组织愿意使用 eBPF 进行部署,因为编写不佳的 eBPF 程序会直接影响 Linux内核的运行。
-
与现有的不支持 eBPF 的产品的集成和向后兼容性带来了挑战。
用户建议
-
如果组织仍在使用对 eBPF 支持有限或没有 eBPF 支持的 Linux 发行版,请迁移到更现代的平台。
-
当规模、性能、可见性和安全性是首要任务时,请寻求基于 eBBF 的 Kubernetes CNI 解决方案。
-
使用提供eBPF 支持的Linux 变体来实现网络性能、可见性和安全性产品。
-
安全地配置 eBPBF,以使其不会成为攻击路径或漏洞。
-
探索 eBPF 是否可以通过支持技术先进的企业来有效解决您组织的性能、安全性或可见性挑战。
-
如果是网络或网络安全供应商,请投资 eBPF,以提高性能、增强可见性并保持竞争力。
供应商:Aqua Security;Cloudflare;思科;Fastly ;Gigamon;New Relic;Sysdig;Tigera;Wiz
11、安全服务边缘SSE
影响力评级:颠覆
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:安全服务边缘 (SSE) 可确保对 Web、SaaS 应用程序和私有应用程序的访问安全。功能包括自适应访问控制、数据安全、可见性和合规性。其他功能包括由基于网络和基于 API 的集成实施的高级威胁防御和可接受的使用控制。SSE 主要作为基于云的服务提供,可能包括本地或基于终端代理的组件。
为什么重要
-
SSE产品融合了安全功能,以提高组织灵活性,确保Web 和云服务以及远程工作的使用安全。
-
SSE 产品至少结合了安全 Web 网关 (SWG)、云访问安全代理 (CASB) 和零信任网络访问 (ZTNA),并且主要通过云端交付。
-
当组织追求安全访问服务边缘 (SASE) 架构时,SSE 与软件定义的 WAN ( SD-WAN ) 配对,以简化网络和安全运营。
商业冲击
组织继续采用SaaS 应用程序来满足业务关键型和其他用途。混合工作也继续得到广泛实践。SSE允许组织使用以云为中心的方法在访问 Web、云服务和私有应用程序时实施安全策略,从而支持随时随地工作的员工。同时,SSE 降低了运行多个产品的管理复杂性,并在一个平台上提供了对最终用户操作的更大可见性。
驱动因素
-
组织需要保护分布式且需要安全远程访问的用户、应用程序和企业数据。SSE为混合员工和设备提供了灵活且主要基于云的安全性,而不受本地网络基础设施和连接的约束,而云和 SaaS 正在增强或取代本地应用程序。
-
传统 SWG 和 VPN 解决方案的硬件和虚拟实例限制了支持大量分布式劳动力的能力,并且需要采用基于云的方法来并行实现资源密集型的安全流程以提高性能。
-
对于许多企业来说,大量关键业务流程和数据现在以SaaS 的形式交付。因此,需要对位于、进入和离开这些 SaaS 平台的数据执行数据丢失防护 (DLP)。
-
当用户未连接到企业拥有的网络并且需要保留此流量的配置和监控时,管理员将无法查看用户流量。
-
组织希望降低复杂性和实施安全访问策略的点供应商数量,包括更少的终端代理,并应用 DLP、高级威胁防御和远程浏览器隔离等控制,以从单一提供商处获得更多用例。
-
无法决定其网络边缘提供商(例如SD-WAN )或不想从现有提供商迁移的组织需要灵活地选择集成独立于 SD-WAN 的安全服务以满足其 SASE 要求。
障碍
-
随着市场通过功能融合继续保持高增长轨迹,供应商可能在某些功能上表现强势,而在其他功能上表现较弱。供应商正在迅速扩展到单一供应商 SASE 产品,并且可能缺乏其自身SSE 功能或与 SD-WAN 供应商之间的整体紧密集成。
-
并非所有供应商都提供足够的 DLP 功能来管理业务风险。
-
由于以云为中心,SSE 通常不能满足内部控制支持的所有需求,例如内部防火墙。
-
组织担心其业务所依赖的服务的正常运行时间、可用性和响应能力。一些供应商的 SLA 较弱,而且并非所有供应商都在所有地区本地提供所有功能,这导致性能或可用性问题。有些供应商可能会限制客户可用的接入点 (POP)。
-
从 VPN 迁移到 SSE 中的 ZTNA 功能会增加成本。
用户建议
-
利用这个融合市场,整合供应商,并在 SWG、CASB 和VPN合同续签时通过用 ZTNA 方法取代它们来降低复杂性。
-
通过确定可能已经拥有的元素(例如,现有的基于云的 CASB 或 SWG)来实现 SSE 整合。根据您的使用案例(包括安全的最终用户要求、您使用的云服务和您需要保护的数据),制定一份供应商候选名单。
-
盘点设备和合同,以实施多年的内部边界和分支安全硬件淘汰计划,转而采用基于云的 SSE。
-
如果您是全球性企业,请与所选供应商验证远程办公室是否具有可接受的性能和功能。供应商 POP 位置和服务支持是关键。
-
积极参与分支机构转型、SD-WAN 和多协议标签交换 (MPLS) 卸载计划,将基于云的 SSE 集成到项目规划范围中。
供应商:博通;思科;Cloudflare;Forcepoint;iboss ;Lookout;Netskope;Palo Alto Networks;Skyhigh Security;Zscaler
泡沫破裂低谷期
12、物联网认证
影响力评级:高
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:物联网 (IoT) 身份验证是一种机制,用于建立对与其他实体(例如在 IoT 环境中运行的设备、应用程序、云服务或网关)交互的事物(通常是设备)身份的信任。IoT 中的身份验证考虑了 IoT 设备的潜在资源限制、它们在其中运行的网络的带宽限制以及各种 IoT 实体之间交互的机械化性质。
为什么重要
从汽车到智能家居和智能建筑,再到智能家电市场、工业物联网 (IIoT)和运营技术 (OT) ,物联网市场正在蓬勃发展。然而,这些联网设备可以连接网络和物理世界,并带来全新的威胁载体。完善的物联网安全需要物联网设备拥有强大的身份识别功能以及强大的物联网身份验证,以减轻和减少网络攻击和漏洞。
商业冲击
IoT 身份验证可以缓解:
-
隐私问题直接影响消费设备的责任和品牌声誉。
-
针对联网设备的攻击可能会导致产品或服务中断。
-
针对工业设备的攻击会对安全关键型生产区域的运营造成影响,甚至可能引发灾难性事件。
驱动因素
-
物联网 (IoT) 和工业物联网 (IIoT) 的爆炸式增长正在以前所未有的方式建立人与机器、机器与机器之间的互联互通。
-
预计 2024 年物联网终端电子产品收入将增长 15%。各组织正在投资物联网技术,以推动成本优化和运营效率。这些投资将推动对物联网身份验证方法的关注和支出。
-
正在进行的工作包括为物联网身份验证定义安全凭证存储和轮换方法,以及看到市场上用于识别设备的工具和方法,这些都有助于推动市场发展。
-
物联网带来的许多用例可能会改变传统的商业模式,例如远程医疗的持续发展。然而,这些用例的身份验证要求高度特定于行业,需要行业层面对市场需求的理解。
-
公钥基础设施 (PKI) 作为一种识别方法的普及有助于推动其采用。证书仍然是识别和验证设备的主要方式。PKI 供应商在这一领域的投资和重点包括DigiCert、Entrust、Keyfactor 、Sectigo和 Venafi,它们利用 PKI 功能来解决物联网身份验证用例。
-
有助于提供一致方法并巩固投资、可行性和实用性的标准包括RFC 8628、CSA 的连接标准联盟 (Matter) 、OAuth 2.0 设备授权授予扩展以及互联网工程任务组 (IETF) 内的ACE工作组。后者还指定了如何针对受限设备优化基于 OAuth 2.0 的身份验证和授权交换,以便在受限应用协议 (CoAP)、消息队列遥测传输 (MQTT) 和其他消息传递协议上使用。
障碍
-
物联网安全形势复杂,包括由于市场分散而确定合适的人才、流程和技术,以及由于设备类型和操作环境不一致而导致的产品化困难。
-
许多 IIoT 环境的脆弱性(包括滥用和灾难性影响的可能性)将推动在网络物理环境中继续采用专有和孤立的身份验证方法。
-
由于某些物联网设备的资源或功能受限、计算能力低和安全存储容量有限,因此某些身份验证方法并不理想。
-
通过物联网平台提供的身份验证方法支持尚不成熟或不完整。工业物联网等用例领域的协议彼此之间无法互操作,而且很多时候无法与TCP/IP等标准兼容,这给身份验证方法带来了持续的挑战。
用户建议
-
为物联网网络中的每一类设备编制目录并建立功能。利用基于设备和网络的上下文信息来获得额外的保障。
-
评估并采用支持整个物联网领域中各种设备类型的身份验证框架。
-
确保 IIoT 环境中的身份验证策略和流程继续优先考虑安全性而不是互操作性,包括流量隔离。
-
使用可信计算技术,例如硬件信任根,有助于防止对设备和传感器的物理攻击,以及可能导致未经授权读取、分析和操纵软件代码的外部软件攻击。
-
探索现有方法中人力或流程的高成本能够证明对物联网解决方案的投资合理的用例。
-
使用融合团队来管理物联网项目和实施的不同技术和监管要求。
供应商:A keyless ; DigiCert ;Entrust;IN Groupe (Nexus);Keyfactor ;微软;Sectigo;Venafi ;V-Key;Xage Security
稳步爬升复苏期
13、SASE
影响力评级:颠覆
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:安全访问服务边缘 (SASE) 提供融合网络和安全功能,包括软件定义的 WAN、安全互联网访问、安全 SaaS 访问、防火墙和零信任网络访问功能。SASE 支持分支机构、远程工作人员和本地安全访问用例。SASE 主要以服务形式提供,并根据设备或实体的身份以及实时上下文和安全与合规性策略实现零信任访问。
为什么重要
SASE 是现代数字业务转型的关键推动因素,包括随时随地工作以及采用边缘计算和云交付应用程序。它提高了可见性、敏捷性、性能和安全性。SASE还主要通过云交付模型大大简化了关键网络和安全服务的交付和运营。SASE将安全访问所需的供应商数量减少到一两个明确合作的供应商。
商业冲击
SASE 支持:
-
数字业务用例(例如分支机构转型和混合劳动力支持)提高了易用性,同时通过供应商整合和专用电路卸载降低了成本和复杂性。
-
基础设施和运营及安全团队以一致和集成的方式提供网络和网络安全服务,以支持数字业务转型、边缘计算和随时随地工作的需求。
驱动因素
-
通过移动劳动力采用基于云的服务实现数字化劳动力转型,边缘计算必须支持 SASE 的灵活、随时随地、安全、基于身份的逻辑边界模型。
-
在管理复杂性的同时,需要转向零信任安全架构,这是采用 SASE 的一个重要因素。
-
越来越多的具有竞争力的单一供应商 SASE 产品可供使用,同时还有来自通信服务提供商和其他供应商的十多种托管 SASE 产品。
-
对于 IT 而言,SASE 可以减少新用户、地点、应用程序和设备的部署时间。
-
对于信息安全,SASE 支持通过单一方式在所有类型的访问(互联网、网络应用程序和私人应用程序)中一致地设置策略实施,从而减少了攻击面并缩短了补救时间。
-
企业希望通过减少策略引擎和管理控制台来简化网络和网络安全部署,这也推动了 SASE 的采用。
障碍
-
组织孤岛、现有投资——SASE实施需要跨安全、网络和数字工作场所团队的协调方法,考虑到更新和续订周期、孤岛和现有员工的专业知识,这具有挑战性。
-
本地部署要求—有些客户不喜欢基于云的检测方法,希望保持控制权。其他客户可能拥有固定的办公室员工队伍。
-
SASE覆盖要求 — SASE 依赖于云交付,而供应商的云足迹可能会阻碍在某些地区(如中国、非洲、南美和中东)的部署。相比之下,一些买家只有区域要求,不需要广泛的覆盖范围。
-
单一供应商SASE 成熟度—敏感数据可视性和控制通常是一项高优先级功能,但功能差异很大。虽然您首选的单一供应商可能缺乏您所需的功能,但双供应商合作伙伴关系可能是一种可行的方法。
用户建议
-
在评估现有和新兴供应商的产品和路线图时,让安全团队和网络团队参与进来,以确保采用综合方法。
-
利用 WAN、防火墙、VPN 硬件更新周期或软件定义的 WAN 部署来更新网络和网络安全架构。
-
投资时探索单一供应商 SASE、双供应商 SASE 和托管 SASE 选项,但避免为所有核心服务部署两个以上供应商的 SASE(无论供应商营销如何),以最大限度地降低复杂性并提高性能。
-
选择双供应商解决方案时,使用具有明确集成的供应商组合,包括交钥匙自动化和可视性,以及理想的管理和数据平面集成。
-
在单一实施中结合分支机构和远程访问,以确保一致的政策并最大限度地减少所需的供应商数量。
-
利用分支机构转型和专用电路卸载项目采用 SASE。
供应商:Cato Networks;思科;Cloudflare ;Forcepoint;Fortinet;惠普企业 (HPE);Netskope;Palo Alto Networks;Versa Networks
14、零信任策略
影响力评级:较高
市场渗透率:超过50%的目标受众
成熟度:早期主流
定义:零信任策略建立并执行程序级活动,以在环境中实施零信任原则。它用显式、自适应的信任取代隐式信任,并与计算出的访问资产敏感度的风险相一致。首席信息安全官 (CISO) 通常会执行零信任策略,以便为组织实现风险优化的安全态势。
为什么重要
零信任策略建立了战略目标,以降低攻击者滥用环境中隐性信任的风险,从而实现横向移动、利用可用漏洞并获得特权升级以实现其目标。它将安全控制级别与资源敏感度相匹配,以改善最终用户体验。此外,它通过建立持续的信任评估来限制攻击者绕过静态控制的能力。
商业冲击
零信任策略根据网络安全原则制定目标,以改善组织的最终用户体验并降低某些网络安全威胁的风险。这将传统安全方法发展为使用细粒度的自适应访问控制。零信任策略通过在需要保护的资产附近安装灵活的安全控制来限制事件发生时的影响并实现企业的数字化转型。
驱动因素
-
对零信任的炒作从概念上推动了组织采用零信任策略,从而导致整个组织甚至非安全领导者都具有很高的可见性。
-
政府授权和私营部门举措建立了零信任策略,以应对勒索软件和数据泄露等重大安全事件,这些事件滥用暴露并导致对用户帐户、设备和工作负载的过度信任。
-
公司的目标是改善最终用户体验,以减少摩擦并提高控制采用率。
-
有必要为账户、设备和工作负载建立更高级别的信任,而不仅仅是位置和接近度作为信任的单一、薄弱因素。
障碍
-
供应商对零信任的炒作往往过分承诺他们实现组织零信任战略愿景的能力。
-
由于战略领导者沟通不畅,组织抵制导致“零信任”一词含义不明确,被解读为组织不信任其员工。
-
零信任策略并不是独立的,必须与整个组织的其他战略举措相结合。
-
业务领域利益相关者和技术人员所需的参与和可用性限制了使用外包战略开发来克服技能和资源限制。
-
外部约束(例如技术债务和来自不同安全供应商的多种技术的集成)限制了战略范围,并且需要比组织预期的更多的实施资源。
用户建议
-
建立身份优先策略作为身份和访问管理计划的一部分,并建立成熟的身份实践。
-
将零信任策略作为网络安全更广泛愿景的一部分,并与数据、终端和应用程序安全等其他网络安全策略相结合。
-
与安全和非安全职能的利益相关者合作,避免对“零信任”一词产生混淆。
-
将零信任策略作为实现数字化转型等业务计划的一种方式。
-
使用零信任架构开发来定义范围和期望的未来状态,对零信任策略定义的投资进行优先排序和合理化。
-
由于许多组织预计建立、管理和维护零信任态势的总体拥有成本会更高,因此运营预算计划会增加。
-
建立一套结果驱动的指标来衡量当前风险并跟踪风险降低的进展情况。
15、网络检测与响应NDR
影响力评级:中等
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:网络检测和响应 (NDR) 产品通过对网络流量应用行为分析来检测异常。它们持续分析内部网络和内部与外部网络之间的网络流量或元数据。NDR 产品直接或通过与网络安全工具集成来提供自动响应。NDR 以硬件和软件传感器的形式提供,其中一些具有基础设施即服务 (IaaS) 支持。管理和编排控制台可以是软件或 SaaS。
为什么重要
NDR提供网络上设备、这些设备的网络活动、典型活动基线和异常活动检测的完整视图,所有这些都无需基于签名的控制。NDR分析异常行为,支持检测横向移动和数据泄露。自动响应功能以本机方式或通过集成提供,事件响应工作流自动化日益成为关注领域。
商业冲击
NDR 产品提供对网络活动的可视性,以发现异常。许多NDR 产品的核心机器学习 (ML) 算法可检测其他检测技术遗漏的事件。自动响应功能可减轻事件响应人员的部分工作量。NDR 产品通过提供有用的上下文和深入分析功能,帮助事件响应人员进行威胁搜寻。
驱动因素
-
调查违规后活动:NDR 通过基于偏离基线的情况检测事件来补充传统的预防控制措施。这使安全团队无需依赖手动控制即可调查违规行为。
-
低风险、高回报:部署 NDR 产品是一个低风险项目,因为传感器部署在带外。它们不会给网络流量注入故障点或“减速带”。将 NDR 产品作为概念验证 (POC) 实施的企业通常报告高度满意,因为这些工具提供了急需的网络流量可见性,甚至使小型团队也能发现异常。
-
监控混合和云流量: NDR 的一项关键功能是能够监控 IaaS 流量和 Microsoft 365。扩展其云业务的组织使用 NDR 来避免在监控所有系统(无论是混合系统还是单一 IaaS)之间的交互的能力方面产生差距。
障碍
-
NDR 在发现问题方面不如 EDR 有效。与检测效果更佳的产品相比,安全运营计划成熟度较低的企业可能难以证明这笔费用的合理性。
-
由于存在误报风险,NDR 产品的响应功能很少部署或专注于特定用例,例如勒索软件。
-
NDR 产品需要根据其部署环境进行调整。这需要持续的人力资源投入才能实现最大效益。
-
NDR日益与安全信息和事件管理 (SIEM) 和扩展检测和响应 (XDR )等整合平台争夺预算。
用户建议
-
深入了解企业网络中的整体流量模式以及特定流量模式,以从 NDR 中获得最大价值。
-
规划传感器类型和部署位置,以便分析最相关的网络流量。正确定位 NDR 传感器对于实现完全可视性、限制误报数量和控制部署成本至关重要。
-
在实施阶段排除误报——漏洞扫描程序、影子 IT 应用程序和其他特定于您的环境的因素可能会触发误报。
-
随着供应商部署新的检测模型,制定持续调整计划。
-
选择适合您的网络的传感器捕获容量。
供应商:思科;Corelight ;Darktrace ;ExtraHop ;MixMode;Stamus Networks;Vectra AI
16、微分段
影响力评级:高
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:微分段(也称为零信任网络分段)可以创建比传统网络分段更细粒度、更动态的访问策略,而传统网络分段仅限于互联网宏分段。
为什么重要
一旦系统被攻破,攻击者就会横向移动(包括勒索软件攻击),这可能会造成严重损害。微分段旨在限制此类攻击的传播和蔓延。它还可以大大减少初始攻击面。
商业冲击
微分段可以减轻网络攻击的风险和影响。它是零信任架构的一个组件,用于控制工作负载之间的访问,并在攻击者入侵企业网络时用于限制横向移动。微分段还使企业能够在本地和基于云的工作负载(包括托管容器的工作负载)中实施一致的分段策略。
驱动因素
-
随着服务器被虚拟化、容器化或迁移到基础设施即服务 (IaaS),传统防火墙、入侵防御解决方案和防病毒软件等现有防护措施难以跟上新资产的快速部署。这使企业容易受到攻击者的攻击,攻击者可以站稳脚跟,然后在企业网络内横向移动。这引起了人们对现代数据中心中应用程序、服务器和服务之间东西向流量的可视性和细粒度分段的兴趣。
-
零信任正在成为数据中心设计的一项要求,而零信任框架则认为微分段是实现这一目标的一种实用方法。
-
数据中心工作负载日益动态的性质使得传统的以网络为中心的分段策略难以大规模管理,甚至无法应用。
-
一些微分段产品提供丰富的应用程序通信映射和可视化,使数据中心团队能够识别哪些通信路径是有效和安全的。
-
应用程序向微服务容器架构的转变也增加了东西向流量,并进一步限制了网络中心防火墙提供这种隔离的能力。
-
数据中心向 IaaS 的扩展将重点放在基于软件的细分方法上——在许多情况下,使用云提供商的内置细分功能。
-
人们对零信任网络方法的兴趣日益浓厚,也促使人们更加关注使用应用程序和服务身份作为自适应应用程序分段策略的基础。这对于在基于容器的环境中使用的动态网络环境中实施分段策略至关重要。
障碍
-
复杂性——如果没有正确规划和确定范围,微分段项目可能会在完成之前失去组织支持。
-
缺乏知识——安全和风险领导者不知道哪些应用程序应该与其他应用程序通信,从而对自动生成的保护规则产生怀疑。
-
传统网络防火墙 — 一些数据中心拥有网络防火墙,用于更广泛的东西向流量隔离,这对一些组织来说已经足够了。当策略重叠或冲突时,传统防火墙也会给一些基于身份的隔离解决方案带来操作挑战。
-
组织动态— 采用 DevOps 的以云为中心的组织可能更看重敏捷性而非安全性,认为任何额外的安全控制都会带来运营摩擦。自动化和可靠的标记结构可以帮助解决这个问题。
-
费用 — 全面微分段的成本可能很高。许多组织将微分段视为一项净新增预算项目。
用户建议
-
根据最高风险选择要进行微分段的区域。过度分段是导致故障和成本过高的主要原因。
-
寻求一种解决方案,使用基于人工智能的策略建议来映射应用程序通信路径并提出策略建议。
-
不要使用 IP 地址或网络位置作为东西向分段策略的基础。使用逻辑标记、标签、指纹或更强大的身份机制来识别工作负载。
-
使用最适合您环境的微分段样式(例如网络覆盖、基于主机、云原生和基于 API),同时考虑位置(例如本地、混合和 IaaS)和环境(例如容器和虚拟机)。
-
瞄准最关键的资产,并首先对其进行细分。
-
专注于自动化微分段部署以及与 DevOps 持续集成/持续交付管道集成的变更以保持敏捷性。
-
规划传统防火墙和微分段方法的共存,并寻求支持与防火墙集成的微分段产品。
供应商:Akamai;Aqua;博通;思科;ColorTokens;Fortinet;Illumio;Palo Alto Networks;Zero Networks
17、零信任网络访问 ZTNA
影响力评级:中等
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:零信任网络访问 (ZTNA)使用基于身份和上下文的策略,为员工和第三方使用的设备创建自适应、最不合逻辑的基于权限的组织资源访问。ZTNA 通过隐藏基础设施和资源并通过信任代理使用持续自适应访问控制来授予命名实体集合的访问权限,从而限制网络中的横向移动,从而减少攻击面。
为什么重要
ZTNA是一项关键技术,它通过信任代理实现基于最小逻辑特权访问的自适应用户到资源分段。它允许组织隐藏私有资源,避免被发现。它通过混淆组织的基础设施并创建仅包含用户、设备和资源的个性化“虚拟边界”来减少攻击面。
商业冲击
ZTNA 在逻辑上将源用户/设备与目标资源分开,以缓解完全网络访问并减少组织的攻击面。这改善了静态、基于网络的 VPN 路由的一些用户体验(UX)问题,并通过定义为零信任策略的自适应访问控制,通过动态、细粒度的用户到资源分段实现了远程访问灵活性。基于云的 ZTNA 产品提高了安全远程访问的可扩展性和易用性。
驱动因素
-
组织内部采用零信任策略要求用安全远程访问取代传统的基于网络的 VPN,以便对本地和基础设施即服务(IaaS) 中托管的资源进行更精确、更具适应性的访问和会话控制。
-
IaaS 的采用和混合基础设施的兴起需要更灵活的安全远程连接,以便直接访问资源,而不是路由到多个目的地的静态连接。
-
组织需要将第三方(例如供应商、厂商和承包商)直接连接到资源,而无需使用全隧道 VPN 连接到其网络或将资源直接暴露给非军事区 (DMZ) 中的互联网。
-
经历并购的组织需要能够将资源访问扩展到被收购的公司,而无需部署终端或互连其企业网络。
-
供应商大力营销,将 ZTNA 等同于为组织实现“零信任”,从而产生了客户期望,即他们可以按照按用户/按年订阅的许可模式购买“零信任”。
障碍
-
ZTNA 通常按每个用户/每年按指定用户授权,价格大约是传统 VPN 的两倍或三倍。
-
并非所有产品都支持对所有资源的访问,并且一些供应商将VPN 即服务(VPNaaS) 作为 ZTNA进行营销,但缺乏对更成熟的零信任控制的支持。这限制了组织长期采用持续自适应访问控制的能力。
-
基于云的信任代理可能无法在本地扩展策略执行点,与提供本地和异地执行点的 ZTNA 产品相比,使用案例受到限制。
-
组织必须为用户映射资源访问权限。然而,许多组织缺乏这方面的理解,最终得到的访问规则并不比被替换的 VPN 更好。这提供了广泛的访问权限或过于细粒度,这给长期管理解决方案增加了大量开销。
-
ZTNA 只是实现零信任态势的一种技术,必须与其他技术集成和部署才能发挥作用。
用户建议
-
使用无客户端 ZTNA 实现特定资源的访问,而不是针对非托管设备的全隧道网络访问。
-
首先构建粗粒度的访问控制,但努力建立基于狭义、基于风险和动态的访问控制的更成熟的访问策略。
-
将 ZTNA 供应商选择与安全服务边缘供应商选择相结合,以支持组织的零信任策略。
-
通过通用 ZTNA 功能统一访问控制策略,以统一内部和外部的访问控制策略,并增加物联网 (IoT) 支持来取代传统技术。
-
隐藏系统(例如暴露在互联网上的传统 VPN 集中器和协作系统)免受扫描和利用威胁。
-
评估是否需要单独的产品来解决相邻功能(例如远程特权访问管理)、支持非用户设备(例如 IoT)以及桌面即服务替代方案。ZTNA并不能解决所有用例。
供应商:Appgate;Check Point;谷歌;微软;Netskope;Palo Alto Networks;Twingate;Zscaler
18、OpenID 连接
影响力评级:较高
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:OpenID Connect (OIDC) 是一种基于 OAuth 2.0 框架的身份联合协议,可让 Web 服务外部化身份验证功能。它使应用程序(例如基于 Web、移动和 JavaScript)能够对人类最终用户进行身份验证,并通过 API 获取基本个人资料信息。
为什么重要
-
OIDC让应用程序所有者和开发人员能够跨网站和应用程序对人类进行身份验证,而无需创建、管理和维护身份。
-
通过OIDC,您可以提供单点登录(SSO)并重用企业或社交帐户来访问应用程序,从而提高可用性、安全性和隐私性。
-
OIDC 提供加密敏捷性、同意管理、对混合和多云环境的支持,以及对比以前开发的联合协议更多的客户端类型的支持。
商业冲击
OIDC建立在 OAuth 2.0 协议之上,为 SAML 提供了一种灵活、高效的替代方案。其主要优势包括:
-
通过提供轻量级的身份验证、授权和同意管理来改善用户体验。
-
通过 SSO 和联合支持减少用户注册期间的数据输入负担。
-
提供比 SAML 更好的密钥发现和轮换支持。
-
通过移动和单页应用程序有效支持令牌和以 API 为中心的架构。
驱动因素
-
就面向客户的新应用程序和企业应用程序而言,采用 OIDC 来取代SAML 的兴趣持续增长。OIDC为 API 访问控制、隐私监管、同意管理、逐步身份验证、合规性和自适应访问实施带来的好处将加速其达到稳定状态的时间。
-
为 OIDC 构建的扩展建立了联合服务联合(多边联合),该联合通常用于高等教育以及医疗保健等特定行业,其中遵循一套共同的政策。
-
OIDC 是一种使用一组用户凭证访问多个站点的方法,从而提高可用性。
-
事实证明,与基于 XML 的标准(例如 SAML)或纯专有实现相比,OIDC 可以让身份交互更加无缝地进行,对开发人员来说阻力更小,而且比之前的协议具有更高的安全性。
-
金融、政府和医疗保健机构可以从日益增多的工作中受益,以对 OIDC 规范进行配置,以支持垂直行业并对其进行微调以供其使用。
-
我们正在努力扩展 OIDC 以支持更多用例。这包括在 OpenID 提供商和依赖方之间快速建立信任、支持可验证凭证以及建立共享风险信号的标准。
-
OIDC 已经成熟并得到良好支持。组织可以通过OpenID Connect Foundation 找到经过认证的解决方案,该基金会根据 OIDC 的服务器一致性配置文件对解决方案进行认证。
障碍
-
支持 OIDC 的 SaaS 应用程序列表不断增长;但是,它的市场渗透率仍然小于 SAML。
-
开发人员经常低估协议的复杂性,并从规范中挑选功能来构建自己的库,从而使实现变得不安全。
用户建议
-
优先选择 OIDC 而不是 SAML。使用 OIDC 进行现代应用程序“绿地”开发。利用集中自适应访问引擎、支持多种协议并可在协议之间(尤其是在 SAML 和 OIDC 之间)和其他专有安全令牌格式之间进行转换的访问管理工具。
-
使用 OIDC 进行人类用户身份验证,而不是机器(工作负载和设备),后者应依赖 OAuth 2.0 框架来获取令牌。
-
使用 OIDC 代替专有API 密钥或身份验证方法来避免供应商锁定,并在构建和部署应用程序和服务时平衡安全性、隐私、可用性和规模。
-
使用经过验证和充分测试的、开源和/或供应商提供的、最新的且符合最新安全建议的库。
-
不要滥用ID 令牌来调用 API。相反,应使用访问令牌和现代授权框架来验证企业 API 网关内部和背后的访问令牌。
供应商:Authlete;Curity;Gluu ;IBM;微软;Okta;Ping Identity;Red Hat;SecureAuth;Thales
生产成熟期
19、终端检测和响应EDR
影响力评级:高
市场渗透率:超过50%的目标受众
成熟度:成熟主流
定义:终端检测和响应 (EDR) 工具可监控终端的异常行为和恶意活动,以检测绕过预防措施的攻击。EDR 使用高级分析、机器学习和威胁情报来监控系统、流程和用户行为。它可以自动清理、检测可疑事件并简化事件响应。在纵深防御策略中,EDR 使用 AI、威胁源和自动化来防止损害并简化针对新兴攻击的操作。
为什么重要
现代安全和风险管理领导者需要 EDR 来在防病毒、防火墙和入侵防御技术被规避时提供广泛的事后意识。
EDR 的高级分析、威胁情报和自动化使团队能够:
-
检测勒索软件等威胁。
-
发现隐藏的对手。
-
利用 EDR 实现丰富的数据驱动的风险管理。
EDR 对于防御不断演变的攻击、减少损害和优化安全操作至关重要。
商业冲击
-
降低违规风险:主动检测威胁和高级攻击者可最大限度地减少损害和数据丢失。
-
更快的事件响应:自动化和威胁情报加快响应时间,节省企业停机时间和金钱。
-
增强监管合规性:EDR 有助于满足网络保险公司和数据隐私法规的合规性要求。
驱动因素
-
不断演变的威胁:传统的预防方法(如签名和启发式方法)难以抵御零日漏洞、勒索软件和高级持续性威胁等复杂攻击。EDR 的高级分析和威胁情报可实现主动检测和快速响应。
-
远程工作激增:远程工作的激增需要基于云的安全解决方案。EDR 为地理上分散的设备提供集中管理和可视性。
-
基于身份的攻击:终端检测和响应与身份威胁检测和响应的结合对于识别和应对普遍存在的凭证和身份盗窃攻击至关重要。
-
快速事件响应:EDR 可自动执行遏制和补救措施,最大限度地减少主动攻击期间的损害和停机时间。实时威胁洞察使安全团队能够及时阻止事件发生。
-
可组合安全:EDR 与防火墙、安全信息和事件管理等其他安全工具集成,形成整体安全结构。这种可组合方法可以全面查看攻击面并促进协调防御策略。
障碍
-
安全技能差距:有效利用 EDR 需要专业知识。安全团队可能需要投资培训或聘请具有威胁搜寻技能的人员,以充分利用 EDR 解决方案的高级功能。
-
云工作负载集成:云原生工作负载和容器化环境的动态特性可能会给传统 EDR 代理带来集成挑战。确保与这些环境的无缝集成需要 EDR 供应商和安全团队的持续努力。
-
多平台支持:EDR 解决方案很难在混合和多平台环境中跨多种平台(包括虚拟化环境、Linux、macOS、移动操作系统等)提供一致的保护功能。在这些多样化的平台上实现一致的保护和功能对等仍然是一项持续的挑战。
用户建议
-
优先考虑轻量级统一代理:专注于具有轻量级终端安全代理的 EDR 解决方案,这些代理可在各种环境(包括最终用户终端、服务器和云工作负载)中轻松部署。
-
自动化以提高效率:选择提供针对常见威胁和事件响应工作流的预建自动化剧本的 EDR 解决方案。这简化了安全操作并减轻了安全团队的手动负担。
-
投资安全专业知识:认识到技术人员有效管理 EDR 的重要性。考虑培训计划或托管安全服务来弥补人才缺口并最大限度地提高 EDR 投资的价值。
-
优化您的安全态势:评估EDR 如何与您的更广泛的安全架构和安全计划(例如安全操作和工作区安全)相适应。
供应商:Bitdefender;Check Point;CrowdStrike;Fortinet;微软;Palo Alto Networks;SentinelOne;Sophos;Trellix;趋势科技
20、OAuth 2.0
影响力评级:较高
市场渗透率:超过50%的目标受众
成熟度:成熟主流
定义:OAuth 2.0 是一种授权协议,旨在授权访问应用程序和服务并保护 API。它允许任何类型的 OAuth 2.0 客户端(例如 Web 应用程序、桌面应用程序、移动应用程序、计算机或内部或外部服务)证明它们有权访问服务。
为什么重要
OAuth 2.0 提供特定的授权流程,并支持其他身份协议,如 OpenID Connect (OIDC)。OAuth 2.0 使组织能够即时、大规模地处理应用程序和服务之间的授权,并常用于保护 API 和服务。它还具有处理隐私的内置功能,并可在需要时启用模拟、委托、同意和混淆个人身份信息。
商业冲击
OAuth 2.0 帮助身份和访问管理领导者:
-
启用对 Web、移动和单页应用程序、API、微服务、跨设备和物联网 (IoT) 用例等目标的授权。
-
通过使用常见的令牌格式(如 JSON Web Token (JWT))来提高安全性并简化 API 网关内部和后面的内部架构,JSON Web Token (JWT)经过数字签名、可能已加密并且值得信赖,可以在各方之间传输数据。
-
共享用户数据,无需发布个人信息。
驱动因素
-
OAuth 2.0 及其衍生标准是访问管理(AM)、API 安全和 API 网关技术中使用的 API 访问控制技术的基础。
-
在 OAuth 2.0 之上构建的 OIDC 越来越多地被采用用于新的开发和实施。
-
越来越需要改进组织的内部身份验证和授权架构,以使实施更容易、部署更灵活,从而实现令牌格式的标准化,以传达用于授权决策的声明。
-
越来越需要启用隐私保护授权并遵守日益普及的区域隐私法规,最终用户可以允许或拒绝访问其数据。
-
支持加密敏捷性的标准需求不断演变,导致对 OAuth 2.0 框架的投资。
-
需要支持金融级API(FAPI)、开放银行等高保证场景,导致对OAuth 2.0框架的持续投入。
-
新兴框架,例如开放策略代理(OPA),正在不断发展以大规模管理和定义授权,并用于验证应用程序通过 OAuth 2.0 收到的 JWT 。
-
使用基于 OAuth 2.0 构建的OIDC 4VC进行 Apple 登录和其他去中心化身份 (DCI)方法的采用日益增多,从而推动了 OAuth 2.0 框架中基于 SD-JWT 的可验证凭证 (SD-JWT VC) 规范的发展。
-
OAuth 2.0 在访问管理市场得到广泛采用。
-
支持 OAuth 2.0 和其他现代身份协议,为更广泛的 AM 程序的成功奠定了基础。
障碍
-
OAuth 2.0 是一个不断发展的框架,在某些特定情况下,缺乏明确定义的最佳实践。Gartner客户经常询问 OAuth 流程的使用、要使用的令牌以及凭证的存储。
-
由于 OAuth 2.0 客户端及其应用程序的性质各异,因此OAuth 2.0 的实施具有挑战性。该框架为不同的用例指定了几种授权类型。组织需要针对每种应用程序类型使用优化的模式和相关的授权类型。他们还需要跟踪最新的使用情况和建议,但很难找到经过验证的模式。
-
许多组织仍然拥有遗留系统,其中轻量级目录访问协议 (LDAP)、Kerberos 、证书、API 密钥或仅仅是用户名和密码等技术将继续被组织采用和部署,直到最后一个需要它们的遗留系统退役的那一天。
用户建议
-
继续使用 OAuth 2.0 来抽象授权并平衡安全性、隐私、可用性和可扩展性。
-
针对正确类型的应用程序使用正确的流程和授权类型。本机应用程序、服务和单页 Web 应用程序具有不同的安全功能,必须区别对待。
-
使用供应商提供的、经过验证的库。对于边缘用例,利用OAuth 2.0 的安全最佳实践规范。
-
利用 OAuth 2.0 规范来更好地保护 OAuth 2.0 交互,例如:
o 针对基于浏览器的应用程序的代码交换证明密钥 (PKCE) 的授权码流。
o OAuth 2.0 丰富的授权请求(RFC 9396)适用于高保证用例中的授权要求。
o OAuth 2.0 递升式身份验证质询协议 (RFC 9470)用于可互操作的递升式身份验证。
o 令牌交换机制并评估交易令牌以保留用户身份和授权上下文并使其可供下游工作负载使用。
供应商:Curity;IBM;Keycloak ;微软;Okta;One Identity;Oracle ;Ping Identity ;SecureAuth;Thales