物聯網設備正以創紀錄的數量在世界各地部署。據IDC估計，到2025年，將有416億臺互聯設備產生79．4ZB的數據。隨著其中許多設備運行關鍵基礎設施組件或收集、訪問和傳輸敏感業務或個人信息，物聯網身份驗證和訪問控制變得更加重要。

物聯網設備身份驗證是確保連接的設備可以被信任為它們所聲稱的那樣的基礎。因此，訪問控制可以監控哪些資源可以被訪問和使用，以及在何種情況下最大限度地降低未經授權的行為的風險。

物聯網訪問控制面臨的挑戰

在物聯網環境中部署身份驗證和訪問控制機制時，有許多方面會使任務復雜化。這是因為大多數設備的處理能力、存儲空間、帶寬和能量都是有限的。由于常見身份驗證協議的通信開銷，大多數傳統身份驗證和授權技術過于復雜，無法在資源受限的物聯網設備上運行。另一個問題是，設備有時部署在可能無法或無法提供物理安全的區域。

還有非常廣泛的硬件和軟件堆棧需要考慮。這導致大量設備通過多種標準和協議進行通信－－這與更傳統的計算環境不同。例如，研究人員確定了物聯網環境中至少84種不同的身份驗證機制，這些機制要么是在2019年提出的，要么是在2019年投入生產的。由于缺乏標準和物聯網特定的訪問控制模型，保護設備和網絡安全的任務變得更加復雜。

改進物聯網訪問控制的3種方法

任何試圖管理數千個分布廣泛的物聯網設備的集中訪問管理模型都有其局限性；沒有一種方法適用于所有場景。尋求開發去中心化物聯網訪問控制服務的供應商正在研究區塊鏈技術如何消除集中式系統造成的問題。網絡管理員和安全團隊必須緊跟最新發展，因為它們可能在不久的將來帶來真正可擴展的服務產品。

在此之前，每一個物聯網設備必須有一個唯一的身份，當設備試圖連接到網關或中央網絡時，可以對其進行身份驗證。有些設備僅根據其IP或MAC（媒體訪問控制）地址進行標識，而其他設備則可能安裝了證書。但是識別任何類型設備的更好方法是通過機器學習。除了行為分析（如API、服務和數據庫請求）之外，還可以使用靜態特性來完成此任務，以更好地確保設備的身份。身份和身份驗證行為的結合使用還提供了根據上下文不斷調整訪問控制決策的能力——即使對于資源有限的設備也是如此。

這種基于屬性的訪問控制模型根據對設備、資源、操作和上下文進行分類的一系列屬性來評估訪問請求。它還提供更多動態訪問控制功能。可以基于上下文屬性中的更改實時更新對操作和請求的批準。但是，它確實需要管理員選擇和定義一組屬性和變量，以構建一套全面的訪問控制規則和策略。

物聯網訪問控制如何加強信息安全戰略

強大的物聯網訪問控制和身份驗證技術可幫助抵御攻擊。但這只是一個更大的集成物聯網安全戰略的一個重要方面，該戰略可以檢測和響應可疑的基于物聯網的事件。要使任何身份驗證和訪問控制策略發揮作用，物聯網設備必須可見。因此，需要建立關鍵設備庫存和生命周期管理程序，以及實時掃描物聯網設備的能力。

物聯網設備成功識別和驗證后，應將其分配到嚴格受限的網段。在那里，它將與主生產網絡隔離，主生產網絡具有專門配置的安全和監控控制，以防范潛在的物聯網威脅和攻擊載體。這樣，如果特定設備被標記為受損，暴露的表面積就會受到限制，橫向移動也會受到控制。這些措施使管理員能夠識別和隔離受危害的節點，并使用安全修補程序和補丁程序更新設備。

物聯網正在改變世界以及IT安全需要如何運作。安全供應商仍在追趕物聯網環境的規模和復雜性。理想情況下，下一代服務產品將更好地匹配物聯網身份和訪問管理的需求。

責任編輯：gt