你好,我是茆正華。
歡迎來(lái)到派拉軟件【數(shù)字安全前沿欄目】之解讀《新一代身份和訪問(wèn)控制管理》。
今天我們來(lái)聊一聊云身份的訪問(wèn)控制管理之SaaS的IAM。
后續(xù),我將繼續(xù)展開(kāi)解讀IaaS的IAM與云原生架構(gòu)下的IAM。
說(shuō)到云計(jì)算,大家都很熟悉了。
簡(jiǎn)單來(lái)說(shuō),云計(jì)算是一種按使用量付費(fèi)的模式。
用戶可通過(guò)其提供的可用的、便捷的、按需的網(wǎng)絡(luò)訪問(wèn),進(jìn)入可配置的計(jì)算資源共享池,進(jìn)行資源按需使用。
這些資源包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)空間、應(yīng)用軟件、各種服務(wù)等。
這種模式可以幫助企業(yè)實(shí)現(xiàn)管理成本和與服務(wù)供應(yīng)商交互的最小化。
1.
云計(jì)算帶來(lái)云端資源訪問(wèn)安全
隨著云計(jì)算技術(shù)的發(fā)展,在線訪問(wèn)云服務(wù)不斷被普及。
人們通過(guò)云服務(wù)就能隨時(shí)隨地訪問(wèn)個(gè)人文檔、照片、消費(fèi)記錄,甚至銀行賬號(hào)、醫(yī)療記錄等敏感信息;
企業(yè)借助云服務(wù)豐富的資源、強(qiáng)大的算力和快速可擴(kuò)展的特性,將企業(yè)數(shù)據(jù)計(jì)算和存儲(chǔ)服務(wù)紛紛外包給云服務(wù)提供商......
這些使得越來(lái)越多不同安全級(jí)別的數(shù)據(jù)和服務(wù)充斥云端。
云端資源的訪問(wèn)及其安全問(wèn)題成為新的關(guān)注焦點(diǎn)。
為了保障云端資源的安全,鑒別訪問(wèn)者身份,保障資源被合法使用,成為云服務(wù)首當(dāng)其沖的安全目標(biāo)。
以SaaS應(yīng)用為例。
越來(lái)越多企業(yè)開(kāi)始使用SaaS,如ERP、CRM、信息運(yùn)維系統(tǒng)等。
這些系統(tǒng)各有一套獨(dú)立的賬號(hào)體系。
這就意味著企業(yè)IT管理員要維護(hù)每個(gè)員工在不同系統(tǒng)間的身份賬號(hào)、密碼、權(quán)限、審計(jì)等。
分散、不統(tǒng)一的管理方式又間接帶來(lái)管理成本浪費(fèi)、用戶體驗(yàn)不佳、安全危機(jī)暗藏等問(wèn)題。
這時(shí),就需要使用IDaaS(Identity asaService,身份即服務(wù))。
2.
什么是lDaaS ?
IDaaS簡(jiǎn)單理解就是一個(gè)基于云的統(tǒng)一身份管理平臺(tái)。
它能幫助企業(yè)實(shí)現(xiàn)一個(gè)賬號(hào)打通所有SaaS系統(tǒng),完成單點(diǎn)登錄、多因素認(rèn)證、權(quán)限控制、操作審計(jì),甚至流量監(jiān)測(cè)、安全威脅監(jiān)測(cè)、行為分析等。
Gartner將IDaaS定義為管理、賬號(hào)配置、認(rèn)證與授權(quán)、報(bào)告等功能的結(jié)合。
基于云端的IAM能同時(shí)管理SaaS應(yīng)用和企業(yè)內(nèi)部應(yīng)用。
目前,IAM云安全服務(wù)的主要增長(zhǎng)動(dòng)力來(lái)自中小企業(yè)日益增長(zhǎng)的需求。
例如,擴(kuò)展基礎(chǔ)IAM功能,為越來(lái)越多訪問(wèn)SaaS應(yīng)用和企業(yè)內(nèi)部Web應(yīng)用員工提供服務(wù)等。
越來(lái)越多中小企業(yè)開(kāi)始部署IDaaS云服務(wù)取代原來(lái)內(nèi)部部署的IAM工具。
大企業(yè)則更傾向以混合云和內(nèi)部部署共存的方式使用IAM。
3.
IDaaS 需要具備哪些能力?
和許多云服務(wù)一樣,IDaaS的一個(gè)主要優(yōu)勢(shì)是節(jié)約成本。
企業(yè)本地化部署意味著IT部門必須維護(hù)服務(wù)器購(gòu)買、升級(jí)和安裝軟件,定期備份數(shù)據(jù),支付托管費(fèi),確保網(wǎng)絡(luò)安全,設(shè)置VPN等。
而有了IDaaS,訂閱費(fèi)和管理工作的成本會(huì)大幅度降低。
此外,IDaas還可以改進(jìn)網(wǎng)絡(luò)安全、節(jié)省時(shí)間、用戶體驗(yàn)更佳等。
無(wú)論用戶通過(guò)機(jī)場(chǎng)開(kāi)放Wi-Fi登錄,還是辦公室登錄,整個(gè)過(guò)程都是無(wú)縫安全的。
要做到這些,IDaaS需要具備哪些能力?
派拉軟件認(rèn)為,需在傳統(tǒng)IAM功能基礎(chǔ)上新增以下功能:
01
持續(xù)自適應(yīng)風(fēng)險(xiǎn)和信任評(píng)估
持續(xù)評(píng)估用戶身份全生命周期風(fēng)險(xiǎn),對(duì)高價(jià)值數(shù)據(jù)、服務(wù)、API操作實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)測(cè),結(jié)合API認(rèn)證、多因子認(rèn)證加強(qiáng)用戶身份認(rèn)證,規(guī)避主動(dòng)或被動(dòng)的風(fēng)險(xiǎn)攻擊,保護(hù)系統(tǒng)安全、網(wǎng)絡(luò)安全與數(shù)據(jù)安全。
02
云訪問(wèn)安全代理
云訪問(wèn)安全代理CASB是一種工具,用于監(jiān)測(cè)和管理云應(yīng)用與用戶之間的流量,幫助保護(hù)云環(huán)境。“訪問(wèn)”是CASB中最重要的一環(huán)。
CASB可提供威脅防護(hù),加強(qiáng)云端數(shù)據(jù)應(yīng)用的訪問(wèn)和身份認(rèn)證控制,通常需要與現(xiàn)有的IDaaS進(jìn)行交互,監(jiān)視業(yè)務(wù)活動(dòng)并執(zhí)行規(guī)則。
03
統(tǒng)一端點(diǎn)管理
統(tǒng)一端點(diǎn)管理UEM可管理任何端點(diǎn)的全生命周期,并收集終端硬件、操作系統(tǒng)、應(yīng)用、數(shù)據(jù)、行為等信息進(jìn)行終端安全評(píng)估。
04
細(xì)粒度授權(quán)
細(xì)粒度授權(quán)是定義控制主體訪問(wèn)客體的策略。客體包括單個(gè)資源、資源組、用戶賬號(hào)和資源目錄等,主體包括授權(quán)給用戶、組、組織、角色和崗位等。通過(guò)定義策略控制主體訪問(wèn)準(zhǔn)入、數(shù)據(jù)獲取等。
05
統(tǒng)一會(huì)話管理
會(huì)話和令牌遵循統(tǒng)一注銷和重新驗(yàn)證的控制策略,動(dòng)態(tài)控制用戶已認(rèn)證的會(huì)話;根據(jù)持續(xù)風(fēng)險(xiǎn)評(píng)估引擎對(duì)已經(jīng)生成的令牌進(jìn)行風(fēng)險(xiǎn)等級(jí)調(diào)整,根據(jù)用戶上下文及歷史數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)計(jì)算以阻止高風(fēng)險(xiǎn)行為。
06
社交媒體身份整合
社交媒體身份整合即將來(lái)源于多渠道、網(wǎng)站(Web移動(dòng)、IoT)、不同社交媒體、不同身份信息進(jìn)行清洗合并,形成統(tǒng)一用戶數(shù)字身份管理與完整的用戶身份畫(huà)像及標(biāo)簽,并識(shí)別虛假賬號(hào)、高危賬號(hào)等。
07
API的認(rèn)證和授權(quán)
在零信任架構(gòu)中,所有面向訪問(wèn)主體的服務(wù)、API都必須經(jīng)過(guò)可信代理進(jìn)行統(tǒng)一管理,在訪問(wèn)代理中依托API技術(shù)對(duì)訪問(wèn)客體的訪問(wèn)請(qǐng)求進(jìn)行統(tǒng)一認(rèn)證和授權(quán),并結(jié)合風(fēng)險(xiǎn)評(píng)估引擎對(duì)API基本的訪問(wèn)進(jìn)行風(fēng)險(xiǎn)動(dòng)態(tài)控制,結(jié)合細(xì)粒度授權(quán)嚴(yán)格控制訪問(wèn)的API。
4.
派拉軟件IDaaS 平臺(tái)
SS0360是派拉軟件公司研發(fā)的一款SaaS平臺(tái)下的IDaaS身份管理服務(wù)平臺(tái)。
2018年,派拉軟件統(tǒng)一了IDaaS與微服務(wù)架構(gòu),發(fā)布了派拉SS0360產(chǎn)品。
該產(chǎn)品全面支持各種身份場(chǎng)景的應(yīng)用,實(shí)現(xiàn)公有云PaaS平臺(tái)部署、混合云部署、私有云部署。
這里,簡(jiǎn)單以企業(yè)常見(jiàn)的四大身份安全管理場(chǎng)景,介紹派拉軟件IDaaS平臺(tái)能力與特點(diǎn):
01
面向消費(fèi)者IDaaS服務(wù)
◆ 高吞吐量和高性能,滿足企業(yè)用戶量大,達(dá)千萬(wàn)級(jí)甚至億級(jí)用戶數(shù)。
◆ 用戶注冊(cè)簡(jiǎn)單,只要提供很少的用戶數(shù)據(jù)即可注冊(cè)成功,對(duì)于初期引流至關(guān)重要。
◆ 用戶登錄操作便利,提供豐富的身份認(rèn)證方式,如人臉識(shí)別、指紋識(shí)別、聲紋識(shí)別、短信驗(yàn)證碼等,增強(qiáng)用戶體驗(yàn)且加強(qiáng)安全保護(hù)。
◆ 與互聯(lián)網(wǎng)服務(wù)深度集成,提供互聯(lián)網(wǎng)頭部應(yīng)用作為第三方認(rèn)證,如微信、QQ、支付寶、淘寶、微博等,與微信小程序、釘釘小程序等應(yīng)用無(wú)縫集成。
◆ 能夠進(jìn)行用戶重復(fù)注冊(cè)智能識(shí)別、低頻攻擊識(shí)別、有效用戶智能識(shí)別,防止用戶系統(tǒng)被非法入侵和非法訪問(wèn)。
◆ 同一個(gè)用戶可存在于不同的應(yīng)用中,提供用戶關(guān)聯(lián)功能,通過(guò)唯一ID標(biāo)識(shí)一個(gè)用戶主體在不同應(yīng)用中的不同賬號(hào)屬性。
◆ 具有用戶操作行為的海量數(shù)據(jù)審計(jì)能力,基于大數(shù)據(jù)下的用戶行為分析能力。
◆ 保證7x24小時(shí)的高可用,有效應(yīng)對(duì)促銷、秒殺、出現(xiàn)突發(fā)事件時(shí)登錄操作的暴增;支持秒級(jí)服務(wù)快速擴(kuò)充,支持灰度發(fā)布,緩存降級(jí)限流。
02
面向雇員的IDaaS服務(wù)
除了滿足面向消費(fèi)者的IDaaS服務(wù)所有能力外,增加了以下幾點(diǎn):
◆ 多維組織架構(gòu),有效應(yīng)對(duì)用戶組織架構(gòu)復(fù)雜,不同應(yīng)用沒(méi)有統(tǒng)一的組織架構(gòu)問(wèn)題。
◆ 用戶角色崗位復(fù)雜,存在崗位交織、兼職等情況,提供臨時(shí)分配、臨時(shí)回收權(quán)限的功能。
◆ 對(duì)于跨國(guó)公司,提供全球訪問(wèn)、多認(rèn)證中心聯(lián)邦認(rèn)證等功能。
03
面向供應(yīng)商的IDaaS服務(wù)
◆ 用戶數(shù)量多,供應(yīng)商變化頻率高,供應(yīng)商人員離職率高,嚴(yán)格把控供應(yīng)商僵尸賬號(hào)的控制、離職人員賬號(hào)控制、權(quán)限變更控制等。
◆ 供應(yīng)商網(wǎng)絡(luò)復(fù)雜,可從內(nèi)網(wǎng)訪問(wèn)、外網(wǎng)直接訪問(wèn)、VPN訪問(wèn)等,根據(jù)不同場(chǎng)景下的訪問(wèn)進(jìn)行不同訪問(wèn)控制策略。
◆ 子賬號(hào)管理,即可分配子賬號(hào),并能控制賬號(hào)密碼共享使用等。
04
面向物聯(lián)網(wǎng)的IDaaS服務(wù)
◆ 物聯(lián)網(wǎng)設(shè)備數(shù)量極多,增速又快,設(shè)備網(wǎng)絡(luò)帶寬不穩(wěn)定,網(wǎng)速慢。設(shè)備操作系統(tǒng)異構(gòu)類型多,系統(tǒng)計(jì)算能力有限,提供更好性能的身份管理服務(wù)。
◆ 物聯(lián)網(wǎng)設(shè)備本身安全防護(hù)能力弱,容易被強(qiáng)行刷機(jī),需給物聯(lián)網(wǎng)設(shè)備分配不可偽造、不可篡改的唯一ID,并對(duì)設(shè)備與第三方服務(wù)器的通信加密認(rèn)證、鑒權(quán)。
◆ 物聯(lián)網(wǎng)網(wǎng)關(guān)具有認(rèn)證、鑒權(quán)能力,可對(duì)低電量設(shè)備、無(wú)系統(tǒng)設(shè)備提供設(shè)備影子,統(tǒng)一管理。
以上就是本期派拉軟件《新一代身份和訪問(wèn)控制管理》書(shū)籍解讀內(nèi)容。
如果你想獲取本書(shū),學(xué)習(xí)更多IAM內(nèi)容。
可以掃描下方二維碼,添加派拉軟件官方人員微信。
本書(shū)目前限時(shí)免費(fèi)領(lǐng)取,先到先得,送完為止。
我們下期再見(jiàn)!