不断变化的身份网络景观

我被要求今年举行欧洲的2013年InfoSec安全会议，并谈到我在身份网络游戏中看到的趋势，并可能推测在我看到的网络中的网络中的未来。所以我想到了自己：“这可能是什么伟大的博客帖子。”

身份网络的阶段（如像我这样的过度劳累的身份坚果所见）：

阶段1：[大约在1990年末]身份网络源于古老的问题：“如何控制谁获得访问网络？“沿着IEEE 802.1x！802.1X通过局域网（LAN）功能提供可扩展的身份验证协议（EAP），以允许客户端在获取访问之前将其身份凭据传输到网络中。

802.1x [/标题]

• 802.1x提供用户或设备凭据
• 用户允许连接到网络
• 强制可以是VLAN或ACL

802.1x现在提供“谁(例如:雇员、承包商、客人等)。

阶段2：[大约2004年]“拉斯维加斯会发生什么，留在拉斯维加斯。除非你拿起病毒由于破坏性恶意软件的传播，我们在计算机安全行业经历了一个主要的成长期，这也促使我们尝试扩展802.1X提供的“WHO”，以包含更多的信息。仅仅知道你是一个合法雇员是不够的，因为即使是合法雇员也可能在某处感染了病毒。

在允许您对我们的网络进行正常访问之前，我们需要检查您正在使用的设备，并查找更新的修补程序，防病毒软件安装等。

“但我的桌面管理团队告诉我，这就是我们的反病毒管理服务器和修补系统，如微软的SMS / SCCM将处理，所以我们受到保护，对吧？“错误的。

由于各种各样的原因，我已经记不清有多少公司因为反病毒管理或补丁系统不起作用而失败了;通常原因是来自服务器的某种PUSH机制的变体，而不是来自客户端的PULL机制。在这个过程中，服务器在推送更新时失败了。

无论它失败的原因如何，事实是：公司审计失败。因此，他们希望在提供网络访问之前执行更新。输入网络访问控制（NAC）也称为网络准入控制。

NAC背后的想法是确保补丁和反病毒软件都是最新的，并且该系统在允许他们访问网络之前符合公司的安全政策(称为态势评估)。如果姿态评估的任何部分失败，则将用户/设备置于隔离状态(通常是VLAN分配或特殊ACL)，在该状态中修复计算机(固定未通过姿态评估的项目)。修复之后，用户/机器被移回正常的完全访问模式。图3展示了我从多年前的思科网络许可控制(NAC)框架幻灯片中抓取的这一概念。

• 802.1x提供用户或设备凭据
• 常驻代理通常提供姿态数据
• 用户被隔离，直到修复
• 强制可以是VLAN或ACL

所以现在802.1x提供了“谁”，而NAC则提供“什么“（修补程序和安装/运行应用程序的姿势评估......）

阶段3:[大约2007年]“那是什么样的装置??“姿势评估（阅读：传统NAC）很好地哼着。我们在NAC市场空间中看到了非常积极的增长，身份网络继续以悠闲的节奏成长。

然后发生了一些事情开始改变游戏。手机有一个非常酷的加法，无线上网．随着智能手机加入Wi-Fi，我们开始看到大量设备试图加入公司无线网络，但不支持姿势评估(NAC)。这只是社交趋势中一个有趣的上升趋势，但当时并没有太大的压力。然后又出现了一个永远改变了一切的进步:iPhone(随后是iPad)!

不可否认的是，iPhone改变了这个行业的一切。现在，我们必须允许某些高管使用他们的iphone / android /等设备访问公司网络，但不是所有人。这使我们能够扩展和改进现有的技术——端点分析。

最初，Endpoint Profiling被开发为有助于802.1x部署的工具。原始概念是帮助识别无法使用802.1x进行身份验证的设备;端点，如打印机，徽章读者，相机，IP电话等等。一旦识别出这些设备，将其MAC地址（刻录到网络接口卡中的硬件地址）被添加到允许绕过802.1x身份验证和增益访问的设备列表中。

现在，这些移动设备的广泛增殖是启用Wi-Fi的概念，以及带上自己的设备（BYOD）并选择自己的设备（CYOD），我们正在推进802.1x的端点分析。将身份验证策略绑定到设备类型的能力变得普遍和普及。

共同政策可能是：员工在公司无线网络上的802.1x身份验证，工作站符合其姿态=完全访问权限。相同的员工的802.1x身份验证在同一公司无线网络上具有iPad =仅访问Internet。

• 802.1x提供用户或设备凭据
• 端点分析用于确定设备类型
• 工作站被隔离直到修复(NAC)
• 移动设备仅提供仅互联网访问
• 强制可以是VLAN或ACL

在这个阶段，我们仍在看“什么”，但这是一个不同的“什么”。而不是安全策略合规性（姿势），它正在寻找使用端点分析的设备类型。

值得注意的是:据预测，到2015年，将有超过150亿台设备联网。这离我写这篇博客只有两年的时间了!

阶段4:[大约2012年]“我不做'或'！'或'让你选择！“802.1x是一个梦幻般的技术。它使用可扩展认证协议（EAP）来为验证设备提供标识。让我们再说一遍，但专注于关键词：“它使用EAP提供一个身份对验证设备“。这是正确的;EAP仅携带每次交易单一凭据。因此，使用Microsoft的Active Directory来管理其Windows工作站的企业每个工作站都有两个选项，用于对网络进行身份验证：machine-auth *或*用户-eive。

为什么Windows有两种Auth选项？回到20世纪90年代后期，当802.1x开始接受采用时，微软来到了一个重要的实现：如果在用户登录到Windows框之前没有提供网络连接，那么Active Directory和工作站之间的连接将被破坏！！在一个辉煌的举动中，他们为他们的请求者创造了一个机器状态和用户状态的概念（讲述802.1x的软件'驱动程序'）。因此，当用户未登录到Windows框时，可以使用机器加入AD时创建的机器帐户和密码，将计算机本身登录到网络;或者它甚至可能使用Active Directory颁发的证书。然后，一旦用户键入Ctrl-Alt-Del和登录工作站，端点将开始使用用户凭据而不是机器凭据的新EAP会话。

很像Ken Jeong博士在焦炭零广告中，我们不想要“OR”，我们想要“AND”。立即，管理员试图找到将机器身份验证和用户身份验证结合在一起的方法，使其成为单个授权的一部分。通过这种方式，可以确保组织是有效的企业资产和有效的用户。思科创造了一个机器访问限制(MAR)的概念——它维护了一个通过机器认证的mac地址缓存。然后，当用户身份验证进入RADIUS服务器时，它会查看缓存，看看一台机器是否已经从该mac地址进行了身份验证&如果是，则允许访问。除此之外还有很多，但我们并没有把重点放在MAR上——因为它有局限性。我想要和。这意味着我不想要限制，我希望它无论如何都能工作!

进入EAP链接！EAP链接是一种增强，允许在单个事务中传输多个EAP凭据。由Cisco创建作为EAP-Fastv2的一部分，它是由IETF采用即将到来的隧道EAP (TEAP)标准．我可以在EAP链接（并且可能会）上编写整个博客，但让我们在一个事务中解释一笔交易，我们能够将机器和用户身份认证和基于该组合的授权组合。混合可以是证书或名称和密码的任何组合，这是802.1x和EAP的一个很棒而长的所需增强。

• 802.1x提供用户和设备凭据
• 可以继续使用NAC /姿势，其中工作站被隔离，直至修复
• EAP链接不依赖于基础架构，因为EAP不会终止于那里，它终止于策略服务器。
• 只有思科AnyConnect和Cisco ISE支持EAP在博客发布日期链接
• 强制可以是VLAN或ACL

在这个阶段，我们仍在看“谁”和“什么”。我们使用802.1x提供两者，它可以与分析和姿势相结合。

第5阶段：[大约2013年]“移动设备管理“只提供对移动设备的互联网访问可能是一些可行的策略，但肯定不是全部。这些移动设备在非常激动的速率下继续增长和增殖。由于这些设备对开展业务交易变得越来越重要，因此管理这些设备也很重要。我觉得这一趋势是真正的迷恋，因为像RIM这样的公司对科学的公司来说 - 没有，不是科学 - RIM管理黑莓的艺术形式！这绝对是美丽的，仍然是一个意见问题。

然而，黑莓移动设备并不是终端用户想要的。终端用户希望使用任何他们最具生产力的端点。如果我发现使用iPhone或Android设备提高了我的工作效率，那么天哪，让我使用iPhone或Android设备吧!移动设备管理公司包括:AirWatch、ZenPrise(已被Citrix收购)、Mobile Iron、Good Technologies、SAP Afaria，以及黑莓企业服务10 (Blackberry Enterprise Service 10)，后者现在也将管理iOS和Android。

虽然此博客没有专注于MDM，但有必要简要讨论这些，因为它们为移动设备提供了姿势的姿势能力！具体而言，您的策略服务器可能需要了解由MDM管理的端点或公司拥有，而员工刚刚购买了他最喜欢的邻里电子商店的架子。

使用MDM集成到您的策略服务器，您可以建立一种新型的姿势，寻求查看设备所有权，如果设备已被禁止/扎根，如果设备启用了加密，则启用PIN锁是否已启用。这甚至增加了我们的身份决策，我们可以根据这些属性提供不同级别的设备访问。

• 802.1x提供用户或设备凭据
• 移动设备在访问网络时是分布的。
• Policy Server能够查询MDM，查找“姿势”
• 强制可以是VLAN或ACL

在这个阶段，我们仍在看“什么”，由MDM服务提供。

第6阶段：[〜2013]“位置，位置，位置另一个经常被问及的因素。有能力看源网络接入设备来确定如果是有线,无线,或VPN以及网络中,设备,甚至与位置服务集成在无线基础设施,或地理位置怎么样w / GPS单位在这些移动设备上启用。现在，让我们看看物理安全控制:标识系统等。如果用户没有进入那栋大楼，他们应该被允许登录到网络吗?如果现在大楼里有火警，他们应该被允许登录吗?极限是无穷无尽的!

• 使用端点的位置作为策略决策的一部分
• 在校园内包括地点，分支机构的身份
• 接入类型是有线，无线或VPN的
• 属性甚至可以包括地理位置
• 物理安全控制可以作为属性集团的一部分包括在内，例如火灾报警的徽章或状态。
• 在正常工作时间内尝试的身份验证是否在该位置关闭时是它的？

在这个阶段，我们正在研究在哪里“，”什么时候“ 和 ”如何“这一开始围绕我们的身份集团或”背景“。

导致我们走向上下文身份的道路

当您开始将所有这些阶段放在一起时，您就会意识到身份越来越多的方式，超越了用户名凭据，它导致我们的身份路径，包括：谁，什么，何时，何种方式和方式;我喜欢称之为“语境身份”。

该语境身份将无法使用传统的单一凭据。现在，我们将获得构建业务相关政策的能力，以考虑到用户访问的整个上下文，提供粒度的访问水平甚至批量访问。