En 400-6655-581
5
返回列表
> 资源中心 > 文章>主题>云安全> 基于零信任架构的IDaaS实现

基于零信任架构的IDaaS实现

文章

2021-05-12浏览次数:329

近年来,各类黑客攻击和大规模的个人信息泄露事件频发,互联网安全问题日益凸显。据相关数据研究,企业数据泄露的数量和损失持续增长,平均损失已超过386美元。如何打通云上与本地系统的身份体系,对内外部用户进行统一管控,成为企业新的安全需求。

 

 

什么是IDaaS

 

IDaaS:身份认证即服务(Identity as a Service)。通常代表一个服务或者平台,通过单点登录或访问控制等方式,有效保证跨多系统的用户身份一致性,允许用户仅访问自己权限内的数据。换句话说,IDaaS就是云时代的身份与访问控制平台(IAM),即 IAM+SaaS=IDaaS。

 

随着全球化的快速推进,企业的用户范围已经超越了以往组织机构的边界,办公时间也不再受限于8小时,客户、供应商和经销商以及其他的组织机构外的用户都有可能需要访问企业的内部应用。

 

IDaas基于云计算和微服务架构的集中式身份管理服务,围绕统一的身份账号为企业用户构建统一的访问入口,且为身份认证带来了SaaS的成本优势。真正实现用户安全、简单地从任何地方、任何时间访问他们所需的应用资源。

 

行为分析(UEBA),持续校验

 

由于用户的范围和边界的模糊,在IDaaS下的单点登录及身份管理中对用户的行为进行分析,基于机器学习的算法对于用户行为进行分析,通过身份管理系统对于用户行为发生变化时进行持续校验;

 

标准协议(OAuth,OIDC,SAML)

 

IDaaS需要制定标准,并提供标准认证协议的认证能力,系统之间协议对接是非常重要的一环,一般涉及的标准协议类型有:OAuth,OIDC,SAML等;

 

多因素认证(MFA)

 

丰富的多因素认证能力,成为IDaaS的必要能力,可以分类为:传统的UKey、OTP、CA证书;生物认证人脸、指纹、声纹、掌纹;以及最新标准FIDO等。

 

 

零信任架构

 

基于身份的零信任架构最佳实践中,围绕身份管理系统为中心结合可信终端、安全代理、细粒度授权等相关组件建设一个安全高效的整体企业数字化平台,在传统的IAM功能上需要新增如下功能服务:

 

 

#01

CARTA:一致的持续自适应风险和信任评估(continuous adaptive risk and trust assessment, CARTA)方法;持续评估用户生命周期内的风险,并结合API认证及多因素能力来要求用户进行二次认证或多次认证,从而达到可以降低用户风险可以更全面的保护能力;在进行高价值数据、服务、API操作时根据实时的风险计算结合多因素系统让访问主体重新出示身份或出示更高安全性身份验证方式,用来规避主动或被动的风险攻击,从而整体保护客户的系统安全、网络安全及数据安全;

#02

CASB云访问安全代理(CASB)是一种工具,用于监听和管理云应用与用户之间的流量,可以帮助保护云环境,CASB的“四个支柱”包括——可视化、合规性、数据安全和威胁防护;“访问”是CASB中的一环,这类产品可以提供威胁防护,加强云上数据应用的访问和身份验证控制。在许多情况下,CASB通过和现有的IDaaS进行交互,可以监视业务活动并执行规则。

#03

UEM:统一端点管理(UEM),管理任何端点的整个生命周期:移动(Android、iOS)、桌面(Windows 10、macOS、Chrome OS)、强固型设备甚至 IoT(Linux 和其他);收集终端硬件、操作系统、应用、数据、行为等信息进行终端安全评估;

#04

细粒度授权:更细粒度的会话管理功能,基于单个资源、资源组、用户账号和资源目录的范围,授权给用户、组、组织、角色和岗位,控制其访问准入、数据获取能力;并建立角色互斥模型;

#05

Session管理:Token统一注销和重新验证的控制策略,动态控制用户已认证的会话;根据持续风险评估引擎对已经生成的Token进行风险等级调整,根据用户上下文及历史数据进行风险计算可以阻止高风险行为;

#06

BYOI:BYOI(社交媒体身份整合),管理数字、面向客户、多渠道网站(Web、移动、IoT)上的客户身份,用户来源是未知的(注册前)并可能创建多个虚假帐户,不能假定身份。并且可以整合不同社交媒体不同身份信息,对多来源身份进行清洗合并,并管理用户身份画像及标签;

#07

API Auth:API的认证和授权(使用OAuth/OIDC),在零信任架构中所有面向访问主体的服务、API都必须经过可信代理进行统一管理,在访问代理中依托API技术对访问客体的访问请求进行统一的认证和授权,并结合风险引擎对API基本的访问进行风险动态控制,还可以结合细粒度授权能力对访问的API进行控制。

 

IDaaS身份基础设施作为零信任架构的关键支撑,提供身份管理服务和权限管理服务,以身份为中心进行动态访问控制,并基于全面身份化,为零信任网络的人、设备、应用、系统等物理实体建立统一的数字身份标识和治理流程。