从SIEM与IAM的集成看SOC与4A的整合

【序】这篇文章是我去年发表在赛迪博客上的一篇旧文了。前段时间，在TT安全上，有一篇文章——《事件响应机制探讨：合并SIM系统和IAM系统》——讲到了SIM/SIEM和IAM的整合问题，跟那篇文章中引用的Gartner的观点基本一致。事实上，IAM，或者叫做3A，或者在叫做4A，其复杂性不亚于SOC，都属于横向贯穿整个IT系统的集成性平台，是木桶的两个箍。我觉得，对于企业和组织的安全管理和维护人员而言，他们一定不希望去管理分散的安全设施，也不希望出现多个管理中心，他们需要一个整合的、一体化的管理中心，叫 SOC也好，不叫SOC也罢，重要的是安全信息的集中化、安全分析和展示的一体化、安全响应流程的一致化。
现在把旧文重新发表于此，略有修改。

从SIEM与IAM的集成看SOC与4A的整合

（一）从Gartner的报告说起
2009年9月1日Gartner发布了一份报告，叫做《SIEM与IAM技术集成》（SIEM and IAM Technology Integration）。（注释：SIEM即 Security Information and Event Management，安全信息和事件管理；IAM即Identity and Access Management，身份和访问管理）在这份报告中，Gartner指出，“集成IAM和SIEM将有助于IAM的用户和角色管理能力，发挥SIEM的异常监视功能，提供比IAM自身更强大的审计能力。”Gartner一直将用户行为监视（User Activity Monitoring）作为SIEM的主要驱动因素。Gartner认为“用户行为监视对于威胁管理和合规管理都是十分重要的”。
这份报告列举了如下一些发现和观点：
1)    SIEM提供用户行为和资源访问监视功能，补充了IAM的审计能力。SIEM还能对超出组织中当前部署的IAM范围之外的应用和平台进行身份审计。
2)    SIEM需要IAM提供基本的策略上下文以提供有效的异常监视。如果缺乏IAM和SIEM的集成，组织需要手工地将IAM的策略与SIEM关联起来，当然这样会花费更多的部署和维护成本。
3)    IAM可以利用SIEM的事件数据来驱动用户和角色生命周期管理，并使得异常恢复实现自动化。
4)    同时具备SIEM和IAM的厂家提供了一些集成方案，而第三方的SIEM厂家则不具备。
5)    对于大部分SIEM厂家而言，将SIEM与特定的第三方IAM产品集成出现较少，依然是由大客户的需求驱动。大部分SIEM产品仅仅与微软的AD或者主流的网络认证服务集成。

在这份报告中，详细分析了SIEM和如何与IAM结合到一起的。最重要的就是两点：
1)    SIEM在进行用户行为监视、分析与审计的时候需要IAM提供从IP到自然人的信息，从IP到资源的信息映射。如果缺乏这个输入，那么SIEM的分析结果就可能缺乏责任认定的有效性。在SIEM与IAM集成之前，也有一些尝试，例如手工地将IP与人进行对应，但是工作量巨大，并且一旦变更，又要牵涉大量的变更，缺乏可行性。而将SIEM与IAM集成，则可以改善这方面的问题。
2)    SIEM的用户行为审计结果可以被IAM所利用。因为SIEM的审计告警（预警）信息能够告诉IAM在当前的帐号（身份）和访问策略之下，谁违规了。根据SIEM提供的违规信息，IAM能够通过帐号或策略变更进行安全调整与改进。

对于SIEM与IAM的集成，Gartner其实很早就注意到了。在2005年，Gartner发布了一个《Security and Identity Management Auditing Converge》的报告，明确指出了SIEM可以作为IAM日志审计的工具。

（二）说说国内的4A
回到国内，当前始于中国移动针对业务支撑系统提出的4A管理平台，可以看作是将传统的3A（Account、Authentication、Authorization）与审计（Audit）结合的具体实践。其中，3A的核心我们可以对应为IAM和附加的认证管理（PKI/PKM、SSO等）。根据中国移动的规划，4A管理平台的建设能够保障用户合法、安全、方便使用业务支撑系统的特定资源。既有效地保障了合法用户的权益，又能有效地保障业务支撑系统安全可靠地运行。
中国移动业务支撑网4A管理平台的建设目的是将业务支撑系统中的帐号（Account）管理、认证（Authentication）管理、授权 (Authorization)管理和安全审计(Audit) 整合成集中、统一的安全服务系统，简称4A管理平台或4A平台。通过4A管理平台提供统一的基础安全服务技术架构，使新的应用可以很容易的集成到管理平台中。通过该平台对业务支撑系统各种IT资源（包括应用和系统）进行集中管理，为各个业务系统提供集中4A安全服务，提升业务支撑系统安全性和可管理能力。
受到中国移动4A的启发，以及IAM在国内的日益接受，在移动、电信领域之外，也逐渐开始了4A的实践活动。包括金融、保险、证券等行业和一些信息化水平较高的大企业都开始了自身的4A实践。这些行业的4A与中国移动的4A不尽相同，主要是体现在前面的3A上。有的将3A设计的较为完善，也较为复杂，有的则结合行业实际进行了简化。在3A中，IAM——即身份（也就是帐号）和访问控制得到了最多的认可和实施。而SSO则由于牵涉到对现有业务系统的改造，一般都被放到了未来规划之中。
除了前面的3A，最后一个A（审计）也在很多行业得到了极大的认可。独立的审计系统在4A之前就已经存在，而在4A中，审计被赋予了更多的内涵，最关键的一个就是通过对自然人的行为进行监视、分析和审计，实现有效地责任认定，并且，这个审计系统应该由SIEM或者相当的综合性审计系统来承担。这也就是本文开篇引用Gartner的报告的原因所在。

（三）SIEM、SOC、SOC2.0

SIEM 这个词在国内提及不多，更多地是听到安全管理平台、SOC（Security Operations Center）这个词。但是我们已经知道，SIEM是SOC的核心。在以前，我们也分析过，未来，综合性安全审计将逐步与SOC融合。这也就是说，未来，SOC将以SIEM为核心承担对全网IT资源的综合审计功能。这个综合审计既包括各类异构的审计对象，例如主机、网络、应用、用户、数据等；也包括各种审计目标，例如行为审计、内容审计、合规审计等。我们不妨将这个未来的SOC称作SOC2.0。

（四）SOC2.0与4A的关系
那么，未来的SOC与4A是什么关系呢？当前，我们已经知道首先提出4A概念的中国移动也有了SOC的概念和规范。并且，在当前的中国移动整体IT安全蓝图中，4A与SOC之间的关系是松耦合、甚至是极弱相关的。我认为，未来，SOC将与4A依然是松耦合的，但是会发生更多的关联。
如下图所示，展示了未来的SOC——SOC2.0、审计与4A的关系（草稿版）：
 

这幅图显示了未来SOC2.0与审计系统的关系。审计将有很大一部分融入SOC之中，在此我不再展开。这里，我将重点描述SOC2.0与4A的关系。
①    SOC2.0与4A在审计（Audit）上的整合，也即由SOC2.0担当4A中最后一个A的功能实现。
②    SOC2.0与4A在3A方面的结合，也即SOC2.0会提供3A必要的用户资源访问违规信息（预警/告警），从而促进4A的闭环管理过程。

（五）结论
事实上，4A就是一个较大的解决方案，是由多块内容组成的，并且是松耦合的。实现4A的过程是可以分步分期的，也是可以充分利用 SOC这个平台的。在4A中，关于审计（Audit）的技术要求部分，本质上就是SIEM，只不过审计范围限定在了4A系统及其资源之内。也就是说，4A的审计与SOC中的审计是可以基于同一个技术支撑架构的。