近年來,各類黑客攻擊和大規(guī)模的個人信息泄露事件頻發(fā),互聯(lián)網(wǎng)安全問題日益凸顯。據(jù)相關(guān)數(shù)據(jù)研究,企業(yè)數(shù)據(jù)泄露的數(shù)量和損失持續(xù)增長,平均損失已超過386美元。如何打通云上與本地系統(tǒng)的身份體系,對內(nèi)外部用戶進(jìn)行統(tǒng)一管控,成為企業(yè)新的安全需求。
什么是IDaaS
IDaaS:身份認(rèn)證即服務(wù)(Identity as a Service)。通常代表一個服務(wù)或者平臺,通過單點登錄或訪問控制等方式,有效保證跨多系統(tǒng)的用戶身份一致性,允許用戶僅訪問自己權(quán)限內(nèi)的數(shù)據(jù)。換句話說,IDaaS就是云時代的身份與訪問控制平臺(IAM),即 IAM+SaaS=IDaaS。
隨著全球化的快速推進(jìn),企業(yè)的用戶范圍已經(jīng)超越了以往組織機(jī)構(gòu)的邊界,辦公時間也不再受限于8小時,客戶、供應(yīng)商和經(jīng)銷商以及其他的組織機(jī)構(gòu)外的用戶都有可能需要訪問企業(yè)的內(nèi)部應(yīng)用。
IDaas基于云計算和微服務(wù)架構(gòu)的集中式身份管理服務(wù),圍繞統(tǒng)一的身份賬號為企業(yè)用戶構(gòu)建統(tǒng)一的訪問入口,且為身份認(rèn)證帶來了SaaS的成本優(yōu)勢。真正實現(xiàn)用戶安全、簡單地從任何地方、任何時間訪問他們所需的應(yīng)用資源。
行為分析(UEBA),持續(xù)校驗
由于用戶的范圍和邊界的模糊,在IDaaS下的單點登錄及身份管理中對用戶的行為進(jìn)行分析,基于機(jī)器學(xué)習(xí)的算法對于用戶行為進(jìn)行分析,通過身份管理系統(tǒng)對于用戶行為發(fā)生變化時進(jìn)行持續(xù)校驗;
標(biāo)準(zhǔn)協(xié)議(OAuth,OIDC,SAML)
IDaaS需要制定標(biāo)準(zhǔn),并提供標(biāo)準(zhǔn)認(rèn)證協(xié)議的認(rèn)證能力,系統(tǒng)之間協(xié)議對接是非常重要的一環(huán),一般涉及的標(biāo)準(zhǔn)協(xié)議類型有:OAuth,OIDC,SAML等;
多因素認(rèn)證(MFA)
豐富的多因素認(rèn)證能力,成為IDaaS的必要能力,可以分類為:傳統(tǒng)的UKey、OTP、CA證書;生物認(rèn)證人臉、指紋、聲紋、掌紋;以及最新標(biāo)準(zhǔn)FIDO等。
零信任架構(gòu)
基于身份的零信任架構(gòu)最佳實踐中,圍繞身份管理系統(tǒng)為中心結(jié)合可信終端、安全代理、細(xì)粒度授權(quán)等相關(guān)組件建設(shè)一個安全高效的整體企業(yè)數(shù)字化平臺,在傳統(tǒng)的IAM功能上需要新增如下功能服務(wù):
CARTA:一致的持續(xù)自適應(yīng)風(fēng)險和信任評估(continuous adaptive risk and trust assessment, CARTA)方法;持續(xù)評估用戶生命周期內(nèi)的風(fēng)險,并結(jié)合API認(rèn)證及多因素能力來要求用戶進(jìn)行二次認(rèn)證或多次認(rèn)證,從而達(dá)到可以降低用戶風(fēng)險可以更全面的保護(hù)能力;在進(jìn)行高價值數(shù)據(jù)、服務(wù)、API操作時根據(jù)實時的風(fēng)險計算結(jié)合多因素系統(tǒng)讓訪問主體重新出示身份或出示更高安全性身份驗證方式,用來規(guī)避主動或被動的風(fēng)險攻擊,從而整體保護(hù)客戶的系統(tǒng)安全、網(wǎng)絡(luò)安全及數(shù)據(jù)安全;
CASB:云訪問安全代理(CASB)是一種工具,用于監(jiān)聽和管理云應(yīng)用與用戶之間的流量,可以幫助保護(hù)云環(huán)境,CASB的“四個支柱”包括——可視化、合規(guī)性、數(shù)據(jù)安全和威脅防護(hù);“訪問”是CASB中的一環(huán),這類產(chǎn)品可以提供威脅防護(hù),加強(qiáng)云上數(shù)據(jù)應(yīng)用的訪問和身份驗證控制。在許多情況下,CASB通過和現(xiàn)有的IDaaS進(jìn)行交互,可以監(jiān)視業(yè)務(wù)活動并執(zhí)行規(guī)則。
UEM:統(tǒng)一端點管理(UEM),管理任何端點的整個生命周期:移動(Android、iOS)、桌面(Windows 10、macOS、Chrome OS)、強(qiáng)固型設(shè)備甚至 IoT(Linux 和其他);收集終端硬件、操作系統(tǒng)、應(yīng)用、數(shù)據(jù)、行為等信息進(jìn)行終端安全評估;
細(xì)粒度授權(quán):更細(xì)粒度的會話管理功能,基于單個資源、資源組、用戶賬號和資源目錄的范圍,授權(quán)給用戶、組、組織、角色和崗位,控制其訪問準(zhǔn)入、數(shù)據(jù)獲取能力;并建立角色互斥模型;
Session管理:Token統(tǒng)一注銷和重新驗證的控制策略,動態(tài)控制用戶已認(rèn)證的會話;根據(jù)持續(xù)風(fēng)險評估引擎對已經(jīng)生成的Token進(jìn)行風(fēng)險等級調(diào)整,根據(jù)用戶上下文及歷史數(shù)據(jù)進(jìn)行風(fēng)險計算可以阻止高風(fēng)險行為;
BYOI:BYOI(社交媒體身份整合),管理數(shù)字、面向客戶、多渠道網(wǎng)站(Web、移動、IoT)上的客戶身份,用戶來源是未知的(注冊前)并可能創(chuàng)建多個虛假帳戶,不能假定身份。并且可以整合不同社交媒體不同身份信息,對多來源身份進(jìn)行清洗合并,并管理用戶身份畫像及標(biāo)簽;
API Auth:API的認(rèn)證和授權(quán)(使用OAuth/OIDC),在零信任架構(gòu)中所有面向訪問主體的服務(wù)、API都必須經(jīng)過可信代理進(jìn)行統(tǒng)一管理,在訪問代理中依托API技術(shù)對訪問客體的訪問請求進(jìn)行統(tǒng)一的認(rèn)證和授權(quán),并結(jié)合風(fēng)險引擎對API基本的訪問進(jìn)行風(fēng)險動態(tài)控制,還可以結(jié)合細(xì)粒度授權(quán)能力對訪問的API進(jìn)行控制。
IDaaS身份基礎(chǔ)設(shè)施作為零信任架構(gòu)的關(guān)鍵支撐,提供身份管理服務(wù)和權(quán)限管理服務(wù),以身份為中心進(jìn)行動態(tài)訪問控制,并基于全面身份化,為零信任網(wǎng)絡(luò)的人、設(shè)備、應(yīng)用、系統(tǒng)等物理實體建立統(tǒng)一的數(shù)字身份標(biāo)識和治理流程。