如何保障企業(yè)云上資源訪問(wèn)安全？茆正華在線解讀IDaaS（身份即服務(wù)）

你好，我是茆正華。

歡迎來(lái)到派拉軟件【數(shù)字安全前沿欄目】之解讀《新一代身份和訪問(wèn)控制管理》。

今天我們來(lái)聊一聊云身份的訪問(wèn)控制管理之SaaS的IAM。

后續(xù)，我將繼續(xù)展開(kāi)解讀IaaS的IAM與云原生架構(gòu)下的IAM。

說(shuō)到云計(jì)算，大家都很熟悉了。

簡(jiǎn)單來(lái)說(shuō)，云計(jì)算是一種按使用量付費(fèi)的模式。

用戶可通過(guò)其提供的可用的、便捷的、按需的網(wǎng)絡(luò)訪問(wèn)，進(jìn)入可配置的計(jì)算資源共享池，進(jìn)行資源按需使用。

這些資源包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)空間、應(yīng)用軟件、各種服務(wù)等。

這種模式可以幫助企業(yè)實(shí)現(xiàn)管理成本和與服務(wù)供應(yīng)商交互的最小化。

隨著云計(jì)算技術(shù)的發(fā)展，在線訪問(wèn)云服務(wù)不斷被普及。

人們通過(guò)云服務(wù)就能隨時(shí)隨地訪問(wèn)個(gè)人文檔、照片、消費(fèi)記錄，甚至銀行賬號(hào)、醫(yī)療記錄等敏感信息；

企業(yè)借助云服務(wù)豐富的資源、強(qiáng)大的算力和快速可擴(kuò)展的特性，將企業(yè)數(shù)據(jù)計(jì)算和存儲(chǔ)服務(wù)紛紛外包給云服務(wù)提供商......

這些使得越來(lái)越多不同安全級(jí)別的數(shù)據(jù)和服務(wù)充斥云端。

云端資源的訪問(wèn)及其安全問(wèn)題成為新的關(guān)注焦點(diǎn)。

為了保障云端資源的安全，鑒別訪問(wèn)者身份，保障資源被合法使用，成為云服務(wù)首當(dāng)其沖的安全目標(biāo)。

以SaaS應(yīng)用為例。

越來(lái)越多企業(yè)開(kāi)始使用SaaS，如ERP、CRM、信息運(yùn)維系統(tǒng)等。

這些系統(tǒng)各有一套獨(dú)立的賬號(hào)體系。

這就意味著企業(yè)IT管理員要維護(hù)每個(gè)員工在不同系統(tǒng)間的身份賬號(hào)、密碼、權(quán)限、審計(jì)等。

分散、不統(tǒng)一的管理方式又間接帶來(lái)管理成本浪費(fèi)、用戶體驗(yàn)不佳、安全危機(jī)暗藏等問(wèn)題。

這時(shí)，就需要使用IDaaS（Identity asaService，身份即服務(wù)）。

IDaaS簡(jiǎn)單理解就是一個(gè)基于云的統(tǒng)一身份管理平臺(tái)。

它能幫助企業(yè)實(shí)現(xiàn)一個(gè)賬號(hào)打通所有SaaS系統(tǒng)，完成單點(diǎn)登錄、多因素認(rèn)證、權(quán)限控制、操作審計(jì)，甚至流量監(jiān)測(cè)、安全威脅監(jiān)測(cè)、行為分析等。

Gartner將IDaaS定義為管理、賬號(hào)配置、認(rèn)證與授權(quán)、報(bào)告等功能的結(jié)合。

基于云端的IAM能同時(shí)管理SaaS應(yīng)用和企業(yè)內(nèi)部應(yīng)用。

目前，IAM云安全服務(wù)的主要增長(zhǎng)動(dòng)力來(lái)自中小企業(yè)日益增長(zhǎng)的需求。

例如，擴(kuò)展基礎(chǔ)IAM功能，為越來(lái)越多訪問(wèn)SaaS應(yīng)用和企業(yè)內(nèi)部Web應(yīng)用員工提供服務(wù)等。

越來(lái)越多中小企業(yè)開(kāi)始部署IDaaS云服務(wù)取代原來(lái)內(nèi)部部署的IAM工具。

大企業(yè)則更傾向以混合云和內(nèi)部部署共存的方式使用IAM。

和許多云服務(wù)一樣，IDaaS的一個(gè)主要優(yōu)勢(shì)是節(jié)約成本。

企業(yè)本地化部署意味著IT部門(mén)必須維護(hù)服務(wù)器購(gòu)買(mǎi)、升級(jí)和安裝軟件，定期備份數(shù)據(jù)，支付托管費(fèi)，確保網(wǎng)絡(luò)安全，設(shè)置VPN等。

而有了IDaaS，訂閱費(fèi)和管理工作的成本會(huì)大幅度降低。

此外，IDaas還可以改進(jìn)網(wǎng)絡(luò)安全、節(jié)省時(shí)間、用戶體驗(yàn)更佳等。

無(wú)論用戶通過(guò)機(jī)場(chǎng)開(kāi)放Wi-Fi登錄，還是辦公室登錄，整個(gè)過(guò)程都是無(wú)縫安全的。

要做到這些，IDaaS需要具備哪些能力？

派拉軟件認(rèn)為，需在傳統(tǒng)IAM功能基礎(chǔ)上新增以下功能：

持續(xù)評(píng)估用戶身份全生命周期風(fēng)險(xiǎn)，對(duì)高價(jià)值數(shù)據(jù)、服務(wù)、API操作實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)測(cè)，結(jié)合API認(rèn)證、多因子認(rèn)證加強(qiáng)用戶身份認(rèn)證，規(guī)避主動(dòng)或被動(dòng)的風(fēng)險(xiǎn)攻擊，保護(hù)系統(tǒng)安全、網(wǎng)絡(luò)安全與數(shù)據(jù)安全。

云訪問(wèn)安全代理CASB是一種工具，用于監(jiān)測(cè)和管理云應(yīng)用與用戶之間的流量，幫助保護(hù)云環(huán)境。“訪問(wèn)”是CASB中最重要的一環(huán)。

CASB可提供威脅防護(hù)，加強(qiáng)云端數(shù)據(jù)應(yīng)用的訪問(wèn)和身份認(rèn)證控制，通常需要與現(xiàn)有的IDaaS進(jìn)行交互，監(jiān)視業(yè)務(wù)活動(dòng)并執(zhí)行規(guī)則。

統(tǒng)一端點(diǎn)管理UEM可管理任何端點(diǎn)的全生命周期，并收集終端硬件、操作系統(tǒng)、應(yīng)用、數(shù)據(jù)、行為等信息進(jìn)行終端安全評(píng)估。

細(xì)粒度授權(quán)是定義控制主體訪問(wèn)客體的策略。客體包括單個(gè)資源、資源組、用戶賬號(hào)和資源目錄等，主體包括授權(quán)給用戶、組、組織、角色和崗位等。通過(guò)定義策略控制主體訪問(wèn)準(zhǔn)入、數(shù)據(jù)獲取等。

會(huì)話和令牌遵循統(tǒng)一注銷和重新驗(yàn)證的控制策略，動(dòng)態(tài)控制用戶已認(rèn)證的會(huì)話；根據(jù)持續(xù)風(fēng)險(xiǎn)評(píng)估引擎對(duì)已經(jīng)生成的令牌進(jìn)行風(fēng)險(xiǎn)等級(jí)調(diào)整，根據(jù)用戶上下文及歷史數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)計(jì)算以阻止高風(fēng)險(xiǎn)行為。

社交媒體身份整合即將來(lái)源于多渠道、網(wǎng)站(Web移動(dòng)、IoT)、不同社交媒體、不同身份信息進(jìn)行清洗合并，形成統(tǒng)一用戶數(shù)字身份管理與完整的用戶身份畫(huà)像及標(biāo)簽，并識(shí)別虛假賬號(hào)、高危賬號(hào)等。

在零信任架構(gòu)中，所有面向訪問(wèn)主體的服務(wù)、API都必須經(jīng)過(guò)可信代理進(jìn)行統(tǒng)一管理，在訪問(wèn)代理中依托API技術(shù)對(duì)訪問(wèn)客體的訪問(wèn)請(qǐng)求進(jìn)行統(tǒng)一認(rèn)證和授權(quán)，并結(jié)合風(fēng)險(xiǎn)評(píng)估引擎對(duì)API基本的訪問(wèn)進(jìn)行風(fēng)險(xiǎn)動(dòng)態(tài)控制，結(jié)合細(xì)粒度授權(quán)嚴(yán)格控制訪問(wèn)的API。

SS0360是派拉軟件公司研發(fā)的一款SaaS平臺(tái)下的IDaaS身份管理服務(wù)平臺(tái)。

2018年，派拉軟件統(tǒng)一了IDaaS與微服務(wù)架構(gòu)，發(fā)布了派拉SS0360產(chǎn)品。

該產(chǎn)品全面支持各種身份場(chǎng)景的應(yīng)用，實(shí)現(xiàn)公有云PaaS平臺(tái)部署、混合云部署、私有云部署。

這里，簡(jiǎn)單以企業(yè)常見(jiàn)的四大身份安全管理場(chǎng)景，介紹派拉軟件IDaaS平臺(tái)能力與特點(diǎn)：

◆ 高吞吐量和高性能，滿足企業(yè)用戶量大，達(dá)千萬(wàn)級(jí)甚至億級(jí)用戶數(shù)。

◆ 用戶注冊(cè)簡(jiǎn)單，只要提供很少的用戶數(shù)據(jù)即可注冊(cè)成功，對(duì)于初期引流至關(guān)重要。

◆ 用戶登錄操作便利，提供豐富的身份認(rèn)證方式，如人臉識(shí)別、指紋識(shí)別、聲紋識(shí)別、短信驗(yàn)證碼等，增強(qiáng)用戶體驗(yàn)且加強(qiáng)安全保護(hù)。

◆ 與互聯(lián)網(wǎng)服務(wù)深度集成，提供互聯(lián)網(wǎng)頭部應(yīng)用作為第三方認(rèn)證，如微信、QQ、支付寶、淘寶、微博等，與微信小程序、釘釘小程序等應(yīng)用無(wú)縫集成。

◆ 能夠進(jìn)行用戶重復(fù)注冊(cè)智能識(shí)別、低頻攻擊識(shí)別、有效用戶智能識(shí)別，防止用戶系統(tǒng)被非法入侵和非法訪問(wèn)。

◆ 同一個(gè)用戶可存在于不同的應(yīng)用中，提供用戶關(guān)聯(lián)功能，通過(guò)唯一ID標(biāo)識(shí)一個(gè)用戶主體在不同應(yīng)用中的不同賬號(hào)屬性。

◆ 具有用戶操作行為的海量數(shù)據(jù)審計(jì)能力，基于大數(shù)據(jù)下的用戶行為分析能力。

◆ 保證7x24小時(shí)的高可用，有效應(yīng)對(duì)促銷、秒殺、出現(xiàn)突發(fā)事件時(shí)登錄操作的暴增；支持秒級(jí)服務(wù)快速擴(kuò)充，支持灰度發(fā)布，緩存降級(jí)限流。

除了滿足面向消費(fèi)者的IDaaS服務(wù)所有能力外，增加了以下幾點(diǎn)：

◆ 多維組織架構(gòu)，有效應(yīng)對(duì)用戶組織架構(gòu)復(fù)雜，不同應(yīng)用沒(méi)有統(tǒng)一的組織架構(gòu)問(wèn)題。

◆ 用戶角色崗位復(fù)雜，存在崗位交織、兼職等情況，提供臨時(shí)分配、臨時(shí)回收權(quán)限的功能。

◆ 對(duì)于跨國(guó)公司，提供全球訪問(wèn)、多認(rèn)證中心聯(lián)邦認(rèn)證等功能。

◆ 用戶數(shù)量多，供應(yīng)商變化頻率高，供應(yīng)商人員離職率高，嚴(yán)格把控供應(yīng)商僵尸賬號(hào)的控制、離職人員賬號(hào)控制、權(quán)限變更控制等。

◆ 供應(yīng)商網(wǎng)絡(luò)復(fù)雜，可從內(nèi)網(wǎng)訪問(wèn)、外網(wǎng)直接訪問(wèn)、VPN訪問(wèn)等，根據(jù)不同場(chǎng)景下的訪問(wèn)進(jìn)行不同訪問(wèn)控制策略。

◆ 子賬號(hào)管理，即可分配子賬號(hào)，并能控制賬號(hào)密碼共享使用等。

◆ 物聯(lián)網(wǎng)設(shè)備數(shù)量極多，增速又快，設(shè)備網(wǎng)絡(luò)帶寬不穩(wěn)定，網(wǎng)速慢。設(shè)備操作系統(tǒng)異構(gòu)類型多，系統(tǒng)計(jì)算能力有限，提供更好性能的身份管理服務(wù)。

◆ 物聯(lián)網(wǎng)設(shè)備本身安全防護(hù)能力弱，容易被強(qiáng)行刷機(jī)，需給物聯(lián)網(wǎng)設(shè)備分配不可偽造、不可篡改的唯一ID，并對(duì)設(shè)備與第三方服務(wù)器的通信加密認(rèn)證、鑒權(quán)。

◆ 物聯(lián)網(wǎng)網(wǎng)關(guān)具有認(rèn)證、鑒權(quán)能力，可對(duì)低電量設(shè)備、無(wú)系統(tǒng)設(shè)備提供設(shè)備影子，統(tǒng)一管理。

以上就是本期派拉軟件《新一代身份和訪問(wèn)控制管理》書(shū)籍解讀內(nèi)容。

如果你想獲取本書(shū)，學(xué)習(xí)更多IAM內(nèi)容。

可以掃描下方二維碼，添加派拉軟件官方人員微信。

本書(shū)目前限時(shí)免費(fèi)領(lǐng)取，先到先得，送完為止。

我們下期再見(jiàn)！