网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


从SIEM与IAM的应用系统集成看SOC与4A的整合 [转]

2011-04-20 13:08 推荐: 浏览: 110 字号:

摘要:   2009年9月1日Gartner发布了一份报告,叫做《SIEM与IAM技术集成》(SIEM and IAM Technology Integration)。(注释:SIEM即Security Information and Event Management...

  2009年9月1日Gartner发布了一份报告,叫做《SIEM与IAM技术集成》(SIEM and IAM Technology Integration)。(注释:SIEM即Security Information and Event Management,安全信息和事件管理;IAM即Identity and Access Management,身份和访问管理)在这份报告中,Gartner指出,“集成IAM和SIEM将有助于IAM的用户和角色管理能力,发挥SIEM的异常监视功能,提供比IAM自身更强大的审计能力。”Gartner一直将用户行为监视(User Activity Monitoring)作为SIEM的主要驱动因素。Gartner认为“用户行为监视对于威胁管理和合规管理都是十分重要的”。

  这份报告列举了如下一些发现和观点:

  1)IEM提供用户行为和资源访问监视功能,补充了IAM的审计能力。SIEM还能对超出组织中当前部署的IAM范围之外的应用和平台进行身份审计。

  2)IEM需要IAM提供基本的策略上下文以提供有效的异常监视。如果缺乏IAM和SIEM的集成,组织需要手工地将IAM的策略与SIEM关联起来,当然这样会花费更多的部署和维护成本。

  3)AM可以利用SIEM的事件数据来驱动用户和角色生命周期管理,并使得异常恢复实现自动化。

  4)IEM和IAM的厂家提供了一些集成方案,而第三方的SIEM厂家则不具备。

  5)IEM厂家而言,将SIEM与特定的第三方IAM产品集成出现较少,依然是由大客户的需求驱动。大部分SIEM产品仅仅与微软的AD或者主流的网络认证服务集成。

  在这份报告中,详细分析了SIEM和如何与IAM结合到一起的。最重要的就是两点:

  1)IEM在进行用户行为监视、分析与审计的时候需要IAM提供从IP到自然人的信息,从IP到资源的信息映射。如果缺乏这个输入,那么SIEM的分析结果就可能缺乏责任认定的有效性。在SIEM与IAM集成之前,也有一些尝试,例如手工地将IP与人进行对应,但是工作量巨大,并且一旦变更,又要牵涉大量的变更,缺乏可行性。而将SIEM与IAM集成,则可以改善这方面的问题。

  2)IEM的用户行为审计结果可以被IAM所利用。因为SIEM的审计告警(预警)信息能够告诉IAM在当前的帐号(身份)和访问策略之下,谁违规了。根据SIEM提供的违规信息,IAM能够通过帐号或策略变更进行安全调整与改进。

  对于SIEM与IAM的集成,Gartner其实很早就注意到了。在2005年,Gartner发布了一个《Security and Identity Management Auditing Converge》的报告,明确指出了SIEM可以作为IAM日志审计的工具。

  (二)说说国内的4A

  回到国内,当前始于中国移动针对业务支撑系统提出的4A管理平台,可以看作是将传统的3A(Account、Authentication、Authorization)与审计(Audit)结合的具体实践。其中,3A的核心我们可以对应为IAM和附加的认证管理(PKI/PKM、SSO等)。根据中国移动的规划,4A管理平台的建设能够保障用户合法、安全、方便使用业务支撑系统的特定资源。既有效地保障了合法用户的权益,又能有效地保障业务支撑系统安全可靠地运行。

  中国移动业务支撑网4A管理平台的建设目的是将业务支撑系统中的帐号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit) 整合成集中、统一的安全服务系统,简称4A管理平台或4A平台。通过4A管理平台提供统一的基础安全服务技术架构,使新的应用可以很容易的集成到管理平台中。通过该平台对业务支撑系统各种IT资源(包括应用和系统)进行集中管理,为各个业务系统提供集中4A安全服务,提升业务支撑系统安全性和可管理能力。

  受到中国移动4A的启发,以及IAM在国内的日益接受,在移动、电信领域之外,也逐渐开始了4A的实践活动。包括金融、保险、证券等行业和一些信息化水平较高的大企业都开始了自身的4A实践。这些行业的4A与中国移动的4A不尽相同,主要是体现在前面的3A上。有的将3A设计的较为完善,也较为复杂,有的则结合行业实际进行了简化。在3A中,IAM——即身份(也就是帐号)和访问控制得到了最多的认可和实施。而SSO则由于牵涉到对现有业务系统的改造,一般都被放到了未来规划之中。

  除了前面的3A,最后一个A(审计)也在很多行业得到了极大的认可。独立的审计系统在4A之前就已经存在,而在4A中,审计被赋予了更多的内涵,最关键的一个就是通过对自然人的行为进行监视、分析和审计,实现有效地责任认定,并且,这个审计系统应该由SIEM或者相当的综合性审计系统来承担。这也就是本文开篇引用Gartner的报告的原因所在。

  (三)SIEM、SOC、SOC2.0

  SIEM这个词在国内提及不多,更多地是听到安全管理平台、SOC(Security Operations Center)这个词。但是我们已经知道,SIEM是SOC的核心。在以前,我们也分析过,未来,综合性安全审计将逐步与SOC融合。这也就是说,未来,SOC将以SIEM为核心承担对全网IT资源的综合审计功能。这个综合审计既包括各类异构的审计对象,例如主机、网络、应用、用户、数据等;也包括各种审计目标,例如行为审计、内容审计、合规审计等。我们不妨将这个未来的SOC称作SOC2.0。

  (四)SOC2.0与4A的关系

  那么,未来的SOC与4A是什么关系呢?当前,我们已经知道首先提出4A概念的中国移动也有了SOC的概念和规范。并且,在当前的中国移动整体IT安全蓝图中,4A与SOC之间的关系是松耦合、甚至是极弱相关的。我认为,未来,SOC将与4A依然是松耦合的,但是会发生更多的关联。

联系站长租广告位!

中国首席信息安全官