当您的IAM政策遇到物联网

在所有新兴技术趋势中，物联网可能会提供最大的商机，但它也为信息安全带来了最大的风险，以及公司的IAM政策最大的挑战。

老化身份和访问管理（IAM）技术已经在努力处理云和虚拟环境以及物联网（IoT）只会随着控制软件在物理世界上发挥作用而加重该问题。身份需要成为物联网环境的核心方面，企业需要重新评估其IAM政策和架构，以安全地充分利用物联网革命。物联网身份和访问管理是必不可少的，不仅可以保护物联网生成的数据，但要保护网络的其余部分免受这个新的攻击向量。

物联网改变了日常生活和企业运作方式。从简单传感器到家庭自动化设备以及更复杂的自动驾驶设备（如智能汽车）的对象都可以连接到Internet。分析师估计到2020年，从200亿到2000亿个设备都可以连接到Internet。但是，安全仍然令人担忧，有56％的高管担心许多物联网设备内置的身份验证和授权功能缺乏身份验证和授权功能。连接到网络的每个设备都会增加其攻击表面，并且物联网设备有可能显着增加进入网络的入口点的数量。

例如，WhitesCope找到了连接到Internet的50,000个建筑管理系统，其中2,000个在线没有密码保护。与黑客式台式机相比，物联网设备和数据有可能造成更严重的损害：对关键的民事基础设施服务的破坏，医疗设备折衷和被劫持的汽车只是几个例子。

部署端到端加密可以帮助阻止黑客并保护运输和休息中的数据。但是，由于物联网设备的数量和多样性，身份验证的问题更加复杂，并且由于具有多种用途和上下文的人，设备和应用程序之间的无数互动。现在，有效的IAM政策必须认识到，许多物联网设备需要与人类身份相关的数字身份。这些设备必须能够确保物联网生态系统中的众多相互关系，包括基于上下文的身份委托和访问控制。

传统的IAM管理人类的身份，控制企业网络资源的访问，基于广泛定义的工作角色和标题，这些作用和标题无法扩展到物联网世界。那些试图迅速发现自己无法提供安全和积极的物联网用户体验的人。大多数物联网设备没有输入/输出机制来支持复杂的密码，而仅基于IP地址的身份验证对于任何移动设备来说都是有问题的。物联网设备也是双向的，不仅是输出数据，但还接受命令和信息请求，这些数据可以跨多个系统分发，每个系统都需要授权访问。

物联网身份和访问管理工具必须比以用户为中心更为以设备为中心，从而使设备可以对其他设备进行身份验证。在IP地址时，媒体在控制地址，基于OEM的标识符和设备行为将要在身份，设备身份验证和安全性中发挥作用，很可能会通过物联网启用使用API​​呼叫，公共密钥基础架构证书或利用安全管理平面OAuth 2.0协议授权实体（无论是用户，服务还是其他设备）访问资源或应用程序。对于面向客户的物联网用例，可以实现单个签名，生物识别技术或社交登录功能的IAM解决方案对于平衡便利性和有效身份验证至关重要。

在任何IOT IAM策略中包括的另一个至关重要的功能必须是将从不同设备捕获的用户质量数据汇总到单个配置文件中，同时允许用户自我管理隐私偏好，例如授予跨不同设备和服务的数据共享的同意。管理用户和设备之间的动态关系与管理身份的能力一样重要。用户管理的访问，这允许用户为自己的IoT设备执行自助服务，随着连接设备的增殖并变得更加聪明，将变得至关重要。如果没有这种控制，隐私问题可能会减缓物联网的接受和采用。

首先使用最新的物联网设备或服务推销的商业压力意味着隐形安全功能被忽略了，而不是捕捉引人注目的用户功能。支持物联网所需的后端系统通常也缺乏安全性和隐私控制，使企业网络和物联网用户容易受到安全攻击和侵犯隐私权的影响。物联网身份验证必须在物联网发挥其全部潜力之前进行解决。没有它，物联网世界将很快成为一个危险的世界，用于恶意监视和大规模攻击。

对物联网的有效政策至关重要；对IOM的IAM上的螺栓不是一个选择。必须在每个连接的设备中内置可信赖的身份，尤其是因为物联网设备中的固件更难修补或升级。企业需要寻找基本设备和用户配置，注册和身份验证任务的设备，并提供了适当的安全性和用户体验的组合。这将需要了解制造商的开发过程中如何包含信息安全性。IAM策略将需要一个提供硬化IAM API的平台，并解决可伸缩性和高可用性的独特物联网要求，以及对设备和用户的完整生命周期支持。