身份管理成巩固应用经济安全关键方案
2015-12-13VicMankotia
文/Vic Mankotia
身份管理成巩固应用经济安全关键方案
文/Vic Mankotia
各式各样的应用已经渗透到生活的方方面面,人们已经进入到了“应用经济”时代。然而,应用给人们带来方便的同时,也带来了新的挑战,安全性就是一个重要的方面。
当今旅行应用软件促使旅行手续变得更简单,人们在出行前无需打印任何票据或文件,只要出示各种应用生成的电子票据,便可以完成登机手续抵达目的地。随着越来越多不同行业的企业开始通过开发适用于不同设备,如笔记本电脑、智能手机等的应用与客户进行互动交流,人们的生活方式已经悄然改变。
各式各样的应用已经渗透到生活的方方面面,人们已经进入到了“应用经济”时代。然而,应用给人们带来方便的同时,也带来了新的挑战,安全性就是一个重要的方面。安全保护是关系企业能否成功的差异化成因,也是一个能够保障企业无缝顺畅运作的业务推动器。昔日“严格封锁”的安全保护时代已不复存在,应用经济时代的安全性是关于正确的人员获得恰当的访问权限,身份的滥用往往是招致黑客攻击网络的共同原因。
图 应用经济战略分布图
身份认证是安全性的核心内容
尽管应用和设备都在不断变化,但用户的身份是不变的,不受装置制约的用户身份作为应用经济的核心,在管理中尤其重要,身份认证自然成为安全性的核心内容。近期在新加坡举行的亚太及日本地区RSA大 会上,身份认证议题成为了焦点,RSA大会主席Amit Yoran先生也在他的主题演讲中反复强调了这点。
在两三年以前,大多数企业都是处于封闭的状态,因为有防火墙和外界进行隔离,而现在,由于云计算的火热发展以及社交网络和移动技术的出现,很多企业都变成了一种开放性的企业。API集成应用将引领手机应用、智能设备及云的发展方向。
根据最近的调查研究报告,在亚太及日本地区,74%的受访者已经开放企业数据,支持API加速移动装置及网络应用交付、更好的管理流入和流出企业的信息、完善客户互动交流的体验,并开拓全新收入渠道和机遇。此举增加了安全保障的挑战性,要求人们重新考虑如何达到业务需求与数据保护的最佳平衡。
随着全球数字化转型的演进发展,应用经济敦促安全领导者们与时俱进、转变观念。企业对安全保护的概念由以前的“无知”演进至现在的“无所不知”,不再只专注于拒绝访问,而是识别正在访问特定信息及位置的用户身份。这种全新的观念不只与数据保护相关,更是与经济效益密切相关。
因此身份认证具有前所未有的重要性,尤其是在欠缺数据参数、安全性参考定位有限的环境里。允许对在企业外部的数据进行端对端检测,在保障安全使用移动设备本身的同时,必须保证只有通过核实、拥有权限的用户才能获取数据,成为保障安全性的重要方法。
图 API管理布局
有效的API管理是保障安全性的关键
在应用经济时代,企业要取得成功就要更快速地开发与发布应用,而通过核实及认证执行托管API应用的装置,则可保障企业的安全。API是在这些应用搭建起来的无形的信息网络之间重要的通讯方式,而不同的API,其安全性也不尽相同。
私有API为已知用户组服务,每个开发人员的身份也是已知的。公有API包括一个开发者门户来促进(外部)开发人员使用API,这些开发人员会在公司想要最大化API使用规模的时候开始使用API。
通常,私有API是为了内部使用,公有API是为了将业务应用扩展到其他用户,而且可以构建新用户和客户流水线。对于私有API来说,API本身由公司内部控制,可以选择公开信息或关闭信息,一旦公开,别人就可以在私有的API上建一些新的应用。
图 新“应用经济”
对公有API而言,地点信息和搜索引擎的信息包括地理位置的信息,都是公开的。这种公有API的开发者可能也需要在公开的API上开发新的应用或更新。随着移动应用以及智能设备爆发增长,越来越多的零售商、媒体、政府和金融服务公司开始公开Web API,未来API将会使用得越来越多,包括更多的M2M(机器到机器)的通信。如何能够安全有效将这些API管理起来对于企业而言并不容易。
开放带来的机遇令API相关数据必然面临曝露于内部及外部的风险。现在针对API的攻击也越来越多,特别是对于移动应用而言,API是其首要的安全软肋。
我们也已经看到很多API安全漏洞,在每种情况下可能都会使用不同的安全规则,包括OAuth、OpenIDConnent和其他标准。API要支持这些安全标准对于公司而言挑战巨大。因此API管理必须对其进行严格保障,身份是保证应用安全、便捷进行数据交换的基础。
我们需要一个安全的环境来更好更有效地管理公有和私有API。有效的API管理工具应该能够聚合和提供吸引人的移动用户体验,使得SOA/ESB的体系架构现代化的同时保障开源企业的安全性,另一方面,也能够帮助开发者加速开发,构造合作者生态圈,帮助外部开发者通过数据与服务实现盈利的增加。而API管理套件正是基于这样的需求升级改进的,最新的CA API管理工具将助力企业更好地管理和保护API,能够更从容、更快速地交付现今业务服务必需的云、移动和复合应用。
一个企业的任何闪失都有可能成为国际新闻头条。云计算、社交网络、移动应用的深入发展促使更多企业向开放型转变,但开放带来的机遇令API相关数据面临曝露于内部及外部的风险,因此API管理必须对访问数据的用户进行严格的身份认证,保障正确的人员获得恰当的访问权限,才能充分保障企业的安全性。后端存储了海量的高度敏感数据,企业对于特权身份保障以及数据保护不仅仅是出于谨慎的考虑,更是防患于未然的关键行动。“助力及保护开放企业”是时下应用经济的理念,因此身份管理也成为新的安全防线。
责任编辑:吴崝
wu.zheng@softic.com.cn
Vic Mankotia
CA Technologies亚太及日本地区安全及API管理副总裁
