2016 Cloud Identity Summit(CIS)峰会的主要议题是使用身份代替企业网络范围作为安全边界,借此革新企业安全。
CIS 是一个年度性的活动,由Ping Identity举办,这家公司为超过半数财富百强企业提供“身份即服务”解决方案。专注于身份一致性的研究人员、从业人员,以及咨询顾问会通过该峰会,围绕企业领域的身份和安全话题共同探讨技术趋势、挑战和解决方案。
将有关边界安全的顾虑和身份安全性放在一起讨论是今年 CIS 的一个主要目标。为了解决这方面问题,Ping Identity 与 Identity Defined Security Alliance(IDSA)合作伙伴联手发布了一个全新的身份集成框架。该框架详细描述了企业在构建以身份为中心的集成式安全解决方案过程中需要具备的功能和特性。Optiv 于今年三月加入 IDSA,他们负责将相关指南、使用模式,以及该框架所建议的方式方法顺利投放市场。Optiv在这里进一步分享了有关该框架的细节。
本次峰会于 6 月 6-9 日在美国新奥尔良举行。主讲人来自 Ping Identity、Google、Microsoft,以及其他几家公司。来自约 100 家公司的多位发言人组织了多场研讨活动。与会者通过四天的活动收获了丰富的经验、指南和劝解。来自 Ping Identity 和 Google 的发言人占到总人数的大约 20%,他们还参与了讨论主题的制定工作。其他有关人员,包括 Optiv、Microsoft 以及 Auth0 的员工组织了丰富的讨论活动,并介绍了自家技术在这个领域的运用情况。
对于已经采用云技术,希望通过不同构建块为任何应用程序的开发提供便利的企业,身份和访问管理已成为一个关键领域。身份的管理,实际上就是“表征”的管理。Ping Identity 的 CTO Patrick Harding 在主题演讲中详细剖析了区块链(Blockchain)技术的局限,并介绍了 Ping Identity 通过分布式会话管理思路解决这个两难困境的方法。
峰会中共举行 12 场主题演讲,大致内容和相关补充资源如下。
主题演讲
重新思考一切
全球企业开始在工作中用到越来越多的服务和设备,这已经造成了不小的安全风险和暴露,Ping Identity 公司主席兼首席执行官 Andre Durand 通过他的主题演讲邀请与会者借助 20 年来在安全和身份领域积累的经验制定相关的安全战略。
逍遥法外(Catch me if you can)
Frank Abagnale 以知名图书和电影的名称为题分享了他在 FBI 做顾问时的经历。他的主题演讲主要围绕伪造、假冒,以及网络犯罪话题。除此之外他还讨论了自己与 Trusona 的争议,后者是一家致力于建立一种高度信任,确保交易的对方与所宣称身份相符的初创公司。
革新:从今天开始
云和移动技术的发展推动着身份和安全的演进,Patrick Harding 的主题演讲为我们传达了这样的信息。在最近的一次采访中,Harding 认为企业开始逐渐意识到在物联网和相关技术的实际增速远超预期的世界中,需要专门为这些设备设计相应的身份机制,需要提供自动化、动态的身份验证标准。
Patrick Harding 谈论区块链的局限,图片来源:https://twitter.com/robbreck/status/740277490770313216
此外 CISNOLA 的赞助商 Axiomatics 也通过名为《身份和访问管理的革新》(The Identity & Access Management (R)evolution)的白皮书介绍了身份和安全的相关问题。
强安全身份无处不在
企业对于身份即服务产品的使用率预计到 2020 年将达 40%。在这样的背景下,来自 Microsoft 的 Alex Simmons 介绍了行业的前进方向,目前获得的重大成果,以及这一领域的合作机会。
提高安全性,一步一个脚印
2015 年,Forrester 通过报告为企业安全项目提供了 12 个建议。Forrester 副总裁兼安全和风险研发总监 Stephanie Balaouras 在她的演讲中针对企业如何构建更安全的业务给出了 12 个建议。这些建议的目的都在于改进业务态势和效益。
全球安全对话
Ping Identity CTP Andre Durand 和 David Petraeus 将军共同探讨了政府和企业面临的全球化威胁。他们一起讨论了非对称威胁(Asymetric threat)这一全新的网络攻击方式,同时 Petraeus 将军还斥责了政府要求在软件中预留后门的做法。此外他们还针对应对未来安全挑战的措施提出了自己的建议。
CISO 对话
TechCrunch 企业记者 Ron Miller 主持的讨论活动中,安全领域资深专家就信息安全现状展开了讨论。他在这篇文章中介绍了自己对此的看法。他的主要顾虑之一在于,公司内部不同部门和高管之间似乎依然存在隔阂,在这些人看来,身份和安全是两个虽然相关但相互独立的关注点。成功前行需要打破或削弱这样的隔阂:
Cloud and Identity 研讨会主持人 Andrew Hindle 从讨论中总结出一个结论:“密码是一种没人想要的不良资产。”
身份定义的安全:为革新赋能
Optiv 战略解决方案副总裁 Robert Block 和 Identity Defined Security Alliance 的其他领导人通过这个议题探讨了实现安全性的新方法。将身份作为边界,实际上就是要根据所涉及实体的身份定义安全界限。这种概念已经远远超越了只使用固定的网络参数确定访问和授权的做法。将身份作为边界的详细介绍可参阅这里。
交给专家处理!
来自 Google 的 Eric Sachs 通过这场主题演讲讨论了 IDaaS 的优势。有关安全和标准的各种争论留给专家就好,企业可以更加专注于自己的核心价值。这也算得上一种标准的“即服务”卖点。这场演讲也介绍了一些高级使用场景用例,借此凸显基于云服务的战略是如何最终胜出的。Sachs 还分享了受访用户对于身份验证流的体验和细节的统计信息,相关范例、数据,以及统计信息请参见他的演示文稿。
网络保险业务案例
Marc LeLarge 和 Jean Bolot在 2009 年发布的研究论文介绍了互联网安全所产生的经济诱因。他们举了一个网络保险公司的例子。
来自 Trusona 公司的 Ori Eisen 通过他的主题演讲介绍了互联网的阴暗面催生的有关互联网保险的需求。
在他介绍的一个案例中,美联社 Twitter 帐户被黑导致美国股市的市值瞬间蒸发将近 1 千亿美元。
图片来源:https://twitter.com/Steve_Lockstep/status/740905779486691328
Trusona 公司 CEO Eisen 在白皮书中详细介绍了互联网保险的相关案例。
关爱儿童,以及闭幕主题演讲
Pamela Dingle、Bob Blakley 和 Andre Durand 更加关注身份和安全技术的未来。Dingle 和 Blakley 强调,目前青少年的各种活动都是在现有策略和标准所塑造的框架内进行的,青少年需要在年幼时就了解到管理自己数字化身份的必要性,以免在日后遭受各种严重的后果。
Durand 和 Blakley 一起对本次活动进行了总结,并分享了有关未来的想法。
Cloud Identity Summit 峰会中还举办了很多研讨会和课程,相关视频尚未发布,但你可以查看不同发言人演讲主题的安排清单。
查看英文原文:Cloud Identity Summit Pushes Change in Identity and Security
注册/登录 InfoQ 发表评论