你好�,我是茆正華。
歡迎來到派拉軟件【數(shù)字安全前沿欄目】之解讀《新一代身份和訪問控制管理》���。
今天我們來聊一聊云身份的訪問控制管理之SaaS的IAM�����。
后續(xù)���,我將繼續(xù)展開解讀IaaS的IAM與云原生架構(gòu)下的IAM。
說到云計算����,大家都很熟悉了。
簡單來說�,云計算是一種按使用量付費的模式。
用戶可通過其提供的可用的����、便捷的、按需的網(wǎng)絡(luò)訪問�����,進入可配置的計算資源共享池�����,進行資源按需使用����。
這些資源包括網(wǎng)絡(luò)、服務(wù)器�、存儲空間����、應(yīng)用軟件、各種服務(wù)等。
這種模式可以幫助企業(yè)實現(xiàn)管理成本和與服務(wù)供應(yīng)商交互的最小化。
隨著云計算技術(shù)的發(fā)展�,在線訪問云服務(wù)不斷被普及��。
人們通過云服務(wù)就能隨時隨地訪問個人文檔��、照片���、消費記錄���,甚至銀行賬號�����、醫(yī)療記錄等敏感信息����;
企業(yè)借助云服務(wù)豐富的資源、強大的算力和快速可擴展的特性���,將企業(yè)數(shù)據(jù)計算和存儲服務(wù)紛紛外包給云服務(wù)提供商......
這些使得越來越多不同安全級別的數(shù)據(jù)和服務(wù)充斥云端��。
云端資源的訪問及其安全問題成為新的關(guān)注焦點��。
為了保障云端資源的安全,鑒別訪問者身份���,保障資源被合法使用,成為云服務(wù)首當(dāng)其沖的安全目標(biāo)����。
以SaaS應(yīng)用為例���。
越來越多企業(yè)開始使用SaaS���,如ERP、CRM���、信息運維系統(tǒng)等。
這些系統(tǒng)各有一套獨立的賬號體系����。
這就意味著企業(yè)IT管理員要維護每個員工在不同系統(tǒng)間的身份賬號���、密碼���、權(quán)限�����、審計等�。
分散���、不統(tǒng)一的管理方式又間接帶來管理成本浪費���、用戶體驗不佳�、安全危機暗藏等問題。
這時�,就需要使用IDaaS(Identity asaService�,身份即服務(wù))�����。
IDaaS簡單理解就是一個基于云的統(tǒng)一身份管理平臺。
它能幫助企業(yè)實現(xiàn)一個賬號打通所有SaaS系統(tǒng)����,完成單點登錄�、多因素認(rèn)證�、權(quán)限控制��、操作審計,甚至流量監(jiān)測��、安全威脅監(jiān)測�、行為分析等��。
Gartner將IDaaS定義為管理、賬號配置、認(rèn)證與授權(quán)、報告等功能的結(jié)合��。
基于云端的IAM能同時管理SaaS應(yīng)用和企業(yè)內(nèi)部應(yīng)用�。
目前���,IAM云安全服務(wù)的主要增長動力來自中小企業(yè)日益增長的需求。
例如�,擴展基礎(chǔ)IAM功能,為越來越多訪問SaaS應(yīng)用和企業(yè)內(nèi)部Web應(yīng)用員工提供服務(wù)等��。
越來越多中小企業(yè)開始部署IDaaS云服務(wù)取代原來內(nèi)部部署的IAM工具。
大企業(yè)則更傾向以混合云和內(nèi)部部署共存的方式使用IAM�����。
和許多云服務(wù)一樣,IDaaS的一個主要優(yōu)勢是節(jié)約成本�。
企業(yè)本地化部署意味著IT部門必須維護服務(wù)器購買、升級和安裝軟件��,定期備份數(shù)據(jù)���,支付托管費��,確保網(wǎng)絡(luò)安全���,設(shè)置VPN等。
而有了IDaaS�����,訂閱費和管理工作的成本會大幅度降低�����。
此外���,IDaas還可以改進網(wǎng)絡(luò)安全�����、節(jié)省時間�����、用戶體驗更佳等���。
無論用戶通過機場開放Wi-Fi登錄,還是辦公室登錄����,整個過程都是無縫安全的。
要做到這些��,IDaaS需要具備哪些能力�����?
派拉軟件認(rèn)為����,需在傳統(tǒng)IAM功能基礎(chǔ)上新增以下功能:
持續(xù)自適應(yīng)風(fēng)險和信任評估
持續(xù)評估用戶身份全生命周期風(fēng)險�,對高價值數(shù)據(jù)�、服務(wù)、API操作實時風(fēng)險監(jiān)測��,結(jié)合API認(rèn)證��、多因子認(rèn)證加強用戶身份認(rèn)證���,規(guī)避主動或被動的風(fēng)險攻擊���,保護系統(tǒng)安全、網(wǎng)絡(luò)安全與數(shù)據(jù)安全����。
云訪問安全代理CASB是一種工具,用于監(jiān)測和管理云應(yīng)用與用戶之間的流量����,幫助保護云環(huán)境。“訪問”是CASB中最重要的一環(huán)��。
CASB可提供威脅防護�,加強云端數(shù)據(jù)應(yīng)用的訪問和身份認(rèn)證控制,通常需要與現(xiàn)有的IDaaS進行交互����,監(jiān)視業(yè)務(wù)活動并執(zhí)行規(guī)則。
統(tǒng)一端點管理UEM可管理任何端點的全生命周期����,并收集終端硬件、操作系統(tǒng)���、應(yīng)用����、數(shù)據(jù)�����、行為等信息進行終端安全評估���。
細(xì)粒度授權(quán)是定義控制主體訪問客體的策略��?����?腕w包括單個資源��、資源組����、用戶賬號和資源目錄等,主體包括授權(quán)給用戶���、組����、組織���、角色和崗位等����。通過定義策略控制主體訪問準(zhǔn)入����、數(shù)據(jù)獲取等。
會話和令牌遵循統(tǒng)一注銷和重新驗證的控制策略����,動態(tài)控制用戶已認(rèn)證的會話;根據(jù)持續(xù)風(fēng)險評估引擎對已經(jīng)生成的令牌進行風(fēng)險等級調(diào)整�����,根據(jù)用戶上下文及歷史數(shù)據(jù)進行風(fēng)險計算以阻止高風(fēng)險行為���。
社交媒體身份整合即將來源于多渠道、網(wǎng)站(Web移動����、IoT)、不同社交媒體�、不同身份信息進行清洗合并,形成統(tǒng)一用戶數(shù)字身份管理與完整的用戶身份畫像及標(biāo)簽��,并識別虛假賬號���、高危賬號等�����。
在零信任架構(gòu)中���,所有面向訪問主體的服務(wù)����、API都必須經(jīng)過可信代理進行統(tǒng)一管理�����,在訪問代理中依托API技術(shù)對訪問客體的訪問請求進行統(tǒng)一認(rèn)證和授權(quán)�����,并結(jié)合風(fēng)險評估引擎對API基本的訪問進行風(fēng)險動態(tài)控制��,結(jié)合細(xì)粒度授權(quán)嚴(yán)格控制訪問的API�����。
SS0360是派拉軟件公司研發(fā)的一款SaaS平臺下的IDaaS身份管理服務(wù)平臺���。
2018年���,派拉軟件統(tǒng)一了IDaaS與微服務(wù)架構(gòu),發(fā)布了派拉SS0360產(chǎn)品��。
該產(chǎn)品全面支持各種身份場景的應(yīng)用,實現(xiàn)公有云PaaS平臺部署��、混合云部署�、私有云部署。
這里���,簡單以企業(yè)常見的四大身份安全管理場景�,介紹派拉軟件IDaaS平臺能力與特點:
◆ 高吞吐量和高性能�����,滿足企業(yè)用戶量大�,達千萬級甚至億級用戶數(shù)�����。
◆ 用戶注冊簡單����,只要提供很少的用戶數(shù)據(jù)即可注冊成功,對于初期引流至關(guān)重要�。
◆ 用戶登錄操作便利,提供豐富的身份認(rèn)證方式�����,如人臉識別、指紋識別����、聲紋識別、短信驗證碼等����,增強用戶體驗且加強安全保護。
◆ 與互聯(lián)網(wǎng)服務(wù)深度集成���,提供互聯(lián)網(wǎng)頭部應(yīng)用作為第三方認(rèn)證���,如微信、QQ�、支付寶、淘寶�、微博等,與微信小程序����、釘釘小程序等應(yīng)用無縫集成。
◆ 能夠進行用戶重復(fù)注冊智能識別��、低頻攻擊識別、有效用戶智能識別���,防止用戶系統(tǒng)被非法入侵和非法訪問�。
◆ 同一個用戶可存在于不同的應(yīng)用中�,提供用戶關(guān)聯(lián)功能,通過唯一ID標(biāo)識一個用戶主體在不同應(yīng)用中的不同賬號屬性���。
◆ 具有用戶操作行為的海量數(shù)據(jù)審計能力�,基于大數(shù)據(jù)下的用戶行為分析能力��。
◆ 保證7x24小時的高可用��,有效應(yīng)對促銷�、秒殺����、出現(xiàn)突發(fā)事件時登錄操作的暴增;支持秒級服務(wù)快速擴充��,支持灰度發(fā)布�����,緩存降級限流。
除了滿足面向消費者的IDaaS服務(wù)所有能力外�,增加了以下幾點:
◆ 多維組織架構(gòu),有效應(yīng)對用戶組織架構(gòu)復(fù)雜���,不同應(yīng)用沒有統(tǒng)一的組織架構(gòu)問題����。
◆ 用戶角色崗位復(fù)雜��,存在崗位交織����、兼職等情況,提供臨時分配�、臨時回收權(quán)限的功能。
◆ 對于跨國公司�����,提供全球訪問�、多認(rèn)證中心聯(lián)邦認(rèn)證等功能。
◆ 用戶數(shù)量多�����,供應(yīng)商變化頻率高,供應(yīng)商人員離職率高�,嚴(yán)格把控供應(yīng)商僵尸賬號的控制、離職人員賬號控制�、權(quán)限變更控制等。
◆ 供應(yīng)商網(wǎng)絡(luò)復(fù)雜���,可從內(nèi)網(wǎng)訪問����、外網(wǎng)直接訪問��、VPN訪問等�����,根據(jù)不同場景下的訪問進行不同訪問控制策略�����。
◆ 子賬號管理��,即可分配子賬號�����,并能控制賬號密碼共享使用等����。
面向物聯(lián)網(wǎng)的IDaaS服務(wù)
◆ 物聯(lián)網(wǎng)設(shè)備數(shù)量極多,增速又快�����,設(shè)備網(wǎng)絡(luò)帶寬不穩(wěn)定����,網(wǎng)速慢。設(shè)備操作系統(tǒng)異構(gòu)類型多�����,系統(tǒng)計算能力有限�����,提供更好性能的身份管理服務(wù)��。
◆ 物聯(lián)網(wǎng)設(shè)備本身安全防護能力弱����,容易被強行刷機��,需給物聯(lián)網(wǎng)設(shè)備分配不可偽造���、不可篡改的唯一ID,并對設(shè)備與第三方服務(wù)器的通信加密認(rèn)證�����、鑒權(quán)��。
◆ 物聯(lián)網(wǎng)網(wǎng)關(guān)具有認(rèn)證����、鑒權(quán)能力,可對低電量設(shè)備���、無系統(tǒng)設(shè)備提供設(shè)備影子�,統(tǒng)一管理���。
以上就是本期派拉軟件《新一代身份和訪問控制管理》書籍解讀內(nèi)容。
如果你想獲取本書���,學(xué)習(xí)更多IAM內(nèi)容����。
可以掃描下方二維碼,添加派拉軟件官方人員微信�。
本書目前限時免費領(lǐng)取,先到先得�,送完為止。
我們下期再見��!
.png)
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運維安全
數(shù)據(jù)安全治理
遠程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
熱門文章
7*24小時服務(wù)
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號