你好,我是茆正华。
欢迎来到派拉软件【数字安全前沿栏目】之解读《新一代身份和访问控制管理》。
今天我们来聊一聊云身份的访问控制管理之SaaS的IAM。
后续,我将继续展开解读IaaS的IAM与云原生架构下的IAM。
说到云计算,大家都很熟悉了。
简单来说,云计算是一种按使用量付费的模式。
用户可通过其提供的可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池,进行资源按需使用。
这些资源包括网络、服务器、存储空间、应用软件、各种服务等。
这种模式可以帮助企业实现管理成本和与服务供应商交互的最小化。
1.
云计算带来云端资源访问安全
随着云计算技术的发展,在线访问云服务不断被普及。
人们通过云服务就能随时随地访问个人文档、照片、消费记录,甚至银行账号、医疗记录等敏感信息;
企业借助云服务丰富的资源、强大的算力和快速可扩展的特性,将企业数据计算和存储服务纷纷外包给云服务提供商......
这些使得越来越多不同安全级别的数据和服务充斥云端。
云端资源的访问及其安全问题成为新的关注焦点。
为了保障云端资源的安全,鉴别访问者身份,保障资源被合法使用,成为云服务首当其冲的安全目标。
以SaaS应用为例。
越来越多企业开始使用SaaS,如ERP、CRM、信息运维系统等。
这些系统各有一套独立的账号体系。
这就意味着企业IT管理员要维护每个员工在不同系统间的身份账号、密码、权限、审计等。
分散、不统一的管理方式又间接带来管理成本浪费、用户体验不佳、安全危机暗藏等问题。
这时,就需要使用IDaaS(Identity asaService,身份即服务)。
2.
什么是lDaaS ?
IDaaS简单理解就是一个基于云的统一身份管理平台。
它能帮助企业实现一个账号打通所有SaaS系统,完成单点登录、多因素认证、权限控制、操作审计,甚至流量监测、安全威胁监测、行为分析等。
Gartner将IDaaS定义为管理、账号配置、认证与授权、报告等功能的结合。
基于云端的IAM能同时管理SaaS应用和企业内部应用。
目前,IAM云安全服务的主要增长动力来自中小企业日益增长的需求。
例如,扩展基础IAM功能,为越来越多访问SaaS应用和企业内部Web应用员工提供服务等。
越来越多中小企业开始部署IDaaS云服务取代原来内部部署的IAM工具。
大企业则更倾向以混合云和内部部署共存的方式使用IAM。
3.
IDaaS 需要具备哪些能力?
和许多云服务一样,IDaaS的一个主要优势是节约成本。
企业本地化部署意味着IT部门必须维护服务器购买、升级和安装软件,定期备份数据,支付托管费,确保网络安全,设置VPN等。
而有了IDaaS,订阅费和管理工作的成本会大幅度降低。
此外,IDaas还可以改进网络安全、节省时间、用户体验更佳等。
无论用户通过机场开放Wi-Fi登录,还是办公室登录,整个过程都是无缝安全的。
要做到这些,IDaaS需要具备哪些能力?
派拉软件认为,需在传统IAM功能基础上新增以下功能:
01
持续自适应风险和信任评估
持续评估用户身份全生命周期风险,对高价值数据、服务、API操作实时风险监测,结合API认证、多因子认证加强用户身份认证,规避主动或被动的风险攻击,保护系统安全、网络安全与数据安全。
02
云访问安全代理
云访问安全代理CASB是一种工具,用于监测和管理云应用与用户之间的流量,帮助保护云环境。“访问”是CASB中最重要的一环。
CASB可提供威胁防护,加强云端数据应用的访问和身份认证控制,通常需要与现有的IDaaS进行交互,监视业务活动并执行规则。
03
统一端点管理
统一端点管理UEM可管理任何端点的全生命周期,并收集终端硬件、操作系统、应用、数据、行为等信息进行终端安全评估。
04
细粒度授权
细粒度授权是定义控制主体访问客体的策略。客体包括单个资源、资源组、用户账号和资源目录等,主体包括授权给用户、组、组织、角色和岗位等。通过定义策略控制主体访问准入、数据获取等。
05
统一会话管理
会话和令牌遵循统一注销和重新验证的控制策略,动态控制用户已认证的会话;根据持续风险评估引擎对已经生成的令牌进行风险等级调整,根据用户上下文及历史数据进行风险计算以阻止高风险行为。
06
社交媒体身份整合
社交媒体身份整合即将来源于多渠道、网站(Web移动、IoT)、不同社交媒体、不同身份信息进行清洗合并,形成统一用户数字身份管理与完整的用户身份画像及标签,并识别虚假账号、高危账号等。
07
API的认证和授权
在零信任架构中,所有面向访问主体的服务、API都必须经过可信代理进行统一管理,在访问代理中依托API技术对访问客体的访问请求进行统一认证和授权,并结合风险评估引擎对API基本的访问进行风险动态控制,结合细粒度授权严格控制访问的API。
4.
派拉软件IDaaS 平台
SS0360是派拉软件公司研发的一款SaaS平台下的IDaaS身份管理服务平台。
2018年,派拉软件统一了IDaaS与微服务架构,发布了派拉SS0360产品。
该产品全面支持各种身份场景的应用,实现公有云PaaS平台部署、混合云部署、私有云部署。
这里,简单以企业常见的四大身份安全管理场景,介绍派拉软件IDaaS平台能力与特点:
01
面向消费者IDaaS服务
◆ 高吞吐量和高性能,满足企业用户量大,达千万级甚至亿级用户数。
◆ 用户注册简单,只要提供很少的用户数据即可注册成功,对于初期引流至关重要。
◆ 用户登录操作便利,提供丰富的身份认证方式,如人脸识别、指纹识别、声纹识别、短信验证码等,增强用户体验且加强安全保护。
◆ 与互联网服务深度集成,提供互联网头部应用作为第三方认证,如微信、QQ、支付宝、淘宝、微博等,与微信小程序、钉钉小程序等应用无缝集成。
◆ 能够进行用户重复注册智能识别、低频攻击识别、有效用户智能识别,防止用户系统被非法入侵和非法访问。
◆ 同一个用户可存在于不同的应用中,提供用户关联功能,通过唯一ID标识一个用户主体在不同应用中的不同账号属性。
◆ 具有用户操作行为的海量数据审计能力,基于大数据下的用户行为分析能力。
◆ 保证7x24小时的高可用,有效应对促销、秒杀、出现突发事件时登录操作的暴增;支持秒级服务快速扩充,支持灰度发布,缓存降级限流。
02
面向雇员的IDaaS服务
除了满足面向消费者的IDaaS服务所有能力外,增加了以下几点:
◆ 多维组织架构,有效应对用户组织架构复杂,不同应用没有统一的组织架构问题。
◆ 用户角色岗位复杂,存在岗位交织、兼职等情况,提供临时分配、临时回收权限的功能。
◆ 对于跨国公司,提供全球访问、多认证中心联邦认证等功能。
03
面向供应商的IDaaS服务
◆ 用户数量多,供应商变化频率高,供应商人员离职率高,严格把控供应商僵尸账号的控制、离职人员账号控制、权限变更控制等。
◆ 供应商网络复杂,可从内网访问、外网直接访问、VPN访问等,根据不同场景下的访问进行不同访问控制策略。
◆ 子账号管理,即可分配子账号,并能控制账号密码共享使用等。
04
面向物联网的IDaaS服务
◆ 物联网设备数量极多,增速又快,设备网络带宽不稳定,网速慢。设备操作系统异构类型多,系统计算能力有限,提供更好性能的身份管理服务。
◆ 物联网设备本身安全防护能力弱,容易被强行刷机,需给物联网设备分配不可伪造、不可篡改的唯一ID,并对设备与第三方服务器的通信加密认证、鉴权。
◆ 物联网网关具有认证、鉴权能力,可对低电量设备、无系统设备提供设备影子,统一管理。
以上就是本期派拉软件《新一代身份和访问控制管理》书籍解读内容。
如果你想获取本书,学习更多IAM内容。
可以扫描下方二维码,添加派拉软件官方人员微信。
本书目前限时免费领取,先到先得,送完为止。
我们下期再见!