近年來(lái),各類黑客攻擊和大規(guī)模的個(gè)人信息泄露事件頻發(fā),互聯(lián)網(wǎng)安全問(wèn)題日益凸顯。據(jù)相關(guān)數(shù)據(jù)研究,企業(yè)數(shù)據(jù)泄露的數(shù)量和損失持續(xù)增長(zhǎng),平均損失已超過(guò)386美元。如何打通云上與本地系統(tǒng)的身份體系,對(duì)內(nèi)外部用戶進(jìn)行統(tǒng)一管控,成為企業(yè)新的安全需求。
什么是IDaaS
IDaaS:身份認(rèn)證即服務(wù)(Identity as a Service)。通常代表一個(gè)服務(wù)或者平臺(tái),通過(guò)單點(diǎn)登錄或訪問(wèn)控制等方式,有效保證跨多系統(tǒng)的用戶身份一致性,允許用戶僅訪問(wèn)自己權(quán)限內(nèi)的數(shù)據(jù)。換句話說(shuō),IDaaS就是云時(shí)代的身份與訪問(wèn)控制平臺(tái)(IAM),即 IAM+SaaS=IDaaS。
隨著全球化的快速推進(jìn),企業(yè)的用戶范圍已經(jīng)超越了以往組織機(jī)構(gòu)的邊界,辦公時(shí)間也不再受限于8小時(shí),客戶、供應(yīng)商和經(jīng)銷商以及其他的組織機(jī)構(gòu)外的用戶都有可能需要訪問(wèn)企業(yè)的內(nèi)部應(yīng)用。
IDaas基于云計(jì)算和微服務(wù)架構(gòu)的集中式身份管理服務(wù),圍繞統(tǒng)一的身份賬號(hào)為企業(yè)用戶構(gòu)建統(tǒng)一的訪問(wèn)入口,且為身份認(rèn)證帶來(lái)了SaaS的成本優(yōu)勢(shì)。真正實(shí)現(xiàn)用戶安全、簡(jiǎn)單地從任何地方、任何時(shí)間訪問(wèn)他們所需的應(yīng)用資源。
行為分析(UEBA),持續(xù)校驗(yàn)
由于用戶的范圍和邊界的模糊,在IDaaS下的單點(diǎn)登錄及身份管理中對(duì)用戶的行為進(jìn)行分析,基于機(jī)器學(xué)習(xí)的算法對(duì)于用戶行為進(jìn)行分析,通過(guò)身份管理系統(tǒng)對(duì)于用戶行為發(fā)生變化時(shí)進(jìn)行持續(xù)校驗(yàn);
標(biāo)準(zhǔn)協(xié)議(OAuth,OIDC,SAML)
IDaaS需要制定標(biāo)準(zhǔn),并提供標(biāo)準(zhǔn)認(rèn)證協(xié)議的認(rèn)證能力,系統(tǒng)之間協(xié)議對(duì)接是非常重要的一環(huán),一般涉及的標(biāo)準(zhǔn)協(xié)議類型有:OAuth,OIDC,SAML等;
多因素認(rèn)證(MFA)
豐富的多因素認(rèn)證能力,成為IDaaS的必要能力,可以分類為:傳統(tǒng)的UKey、OTP、CA證書(shū);生物認(rèn)證人臉、指紋、聲紋、掌紋;以及最新標(biāo)準(zhǔn)FIDO等。
零信任架構(gòu)
基于身份的零信任架構(gòu)最佳實(shí)踐中,圍繞身份管理系統(tǒng)為中心結(jié)合可信終端、安全代理、細(xì)粒度授權(quán)等相關(guān)組件建設(shè)一個(gè)安全高效的整體企業(yè)數(shù)字化平臺(tái),在傳統(tǒng)的IAM功能上需要新增如下功能服務(wù):
CARTA:一致的持續(xù)自適應(yīng)風(fēng)險(xiǎn)和信任評(píng)估(continuous adaptive risk and trust assessment, CARTA)方法;持續(xù)評(píng)估用戶生命周期內(nèi)的風(fēng)險(xiǎn),并結(jié)合API認(rèn)證及多因素能力來(lái)要求用戶進(jìn)行二次認(rèn)證或多次認(rèn)證,從而達(dá)到可以降低用戶風(fēng)險(xiǎn)可以更全面的保護(hù)能力;在進(jìn)行高價(jià)值數(shù)據(jù)、服務(wù)、API操作時(shí)根據(jù)實(shí)時(shí)的風(fēng)險(xiǎn)計(jì)算結(jié)合多因素系統(tǒng)讓訪問(wèn)主體重新出示身份或出示更高安全性身份驗(yàn)證方式,用來(lái)規(guī)避主動(dòng)或被動(dòng)的風(fēng)險(xiǎn)攻擊,從而整體保護(hù)客戶的系統(tǒng)安全、網(wǎng)絡(luò)安全及數(shù)據(jù)安全;
CASB:云訪問(wèn)安全代理(CASB)是一種工具,用于監(jiān)聽(tīng)和管理云應(yīng)用與用戶之間的流量,可以幫助保護(hù)云環(huán)境,CASB的“四個(gè)支柱”包括——可視化、合規(guī)性、數(shù)據(jù)安全和威脅防護(hù);“訪問(wèn)”是CASB中的一環(huán),這類產(chǎn)品可以提供威脅防護(hù),加強(qiáng)云上數(shù)據(jù)應(yīng)用的訪問(wèn)和身份驗(yàn)證控制。在許多情況下,CASB通過(guò)和現(xiàn)有的IDaaS進(jìn)行交互,可以監(jiān)視業(yè)務(wù)活動(dòng)并執(zhí)行規(guī)則。
UEM:統(tǒng)一端點(diǎn)管理(UEM),管理任何端點(diǎn)的整個(gè)生命周期:移動(dòng)(Android、iOS)、桌面(Windows 10、macOS、Chrome OS)、強(qiáng)固型設(shè)備甚至 IoT(Linux 和其他);收集終端硬件、操作系統(tǒng)、應(yīng)用、數(shù)據(jù)、行為等信息進(jìn)行終端安全評(píng)估;
細(xì)粒度授權(quán):更細(xì)粒度的會(huì)話管理功能,基于單個(gè)資源、資源組、用戶賬號(hào)和資源目錄的范圍,授權(quán)給用戶、組、組織、角色和崗位,控制其訪問(wèn)準(zhǔn)入、數(shù)據(jù)獲取能力;并建立角色互斥模型;
Session管理:Token統(tǒng)一注銷和重新驗(yàn)證的控制策略,動(dòng)態(tài)控制用戶已認(rèn)證的會(huì)話;根據(jù)持續(xù)風(fēng)險(xiǎn)評(píng)估引擎對(duì)已經(jīng)生成的Token進(jìn)行風(fēng)險(xiǎn)等級(jí)調(diào)整,根據(jù)用戶上下文及歷史數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)計(jì)算可以阻止高風(fēng)險(xiǎn)行為;
BYOI:BYOI(社交媒體身份整合),管理數(shù)字、面向客戶、多渠道網(wǎng)站(Web、移動(dòng)、IoT)上的客戶身份,用戶來(lái)源是未知的(注冊(cè)前)并可能創(chuàng)建多個(gè)虛假帳戶,不能假定身份。并且可以整合不同社交媒體不同身份信息,對(duì)多來(lái)源身份進(jìn)行清洗合并,并管理用戶身份畫(huà)像及標(biāo)簽;
API Auth:API的認(rèn)證和授權(quán)(使用OAuth/OIDC),在零信任架構(gòu)中所有面向訪問(wèn)主體的服務(wù)、API都必須經(jīng)過(guò)可信代理進(jìn)行統(tǒng)一管理,在訪問(wèn)代理中依托API技術(shù)對(duì)訪問(wèn)客體的訪問(wèn)請(qǐng)求進(jìn)行統(tǒng)一的認(rèn)證和授權(quán),并結(jié)合風(fēng)險(xiǎn)引擎對(duì)API基本的訪問(wèn)進(jìn)行風(fēng)險(xiǎn)動(dòng)態(tài)控制,還可以結(jié)合細(xì)粒度授權(quán)能力對(duì)訪問(wèn)的API進(jìn)行控制。
IDaaS身份基礎(chǔ)設(shè)施作為零信任架構(gòu)的關(guān)鍵支撐,提供身份管理服務(wù)和權(quán)限管理服務(wù),以身份為中心進(jìn)行動(dòng)態(tài)訪問(wèn)控制,并基于全面身份化,為零信任網(wǎng)絡(luò)的人、設(shè)備、應(yīng)用、系統(tǒng)等物理實(shí)體建立統(tǒng)一的數(shù)字身份標(biāo)識(shí)和治理流程。