如何保障企业云上资源访问安全？茆正华在线解读IDaaS（身份即服务）

你好，我是茆正华。

欢迎来到派拉软件【数字安全前沿栏目】之解读《新一代身份和访问控制管理》。

今天我们来聊一聊云身份的访问控制管理之SaaS的IAM。

后续，我将继续展开解读IaaS的IAM与云原生架构下的IAM。

说到云计算，大家都很熟悉了。

简单来说，云计算是一种按使用量付费的模式。

用户可通过其提供的可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池，进行资源按需使用。

这些资源包括网络、服务器、存储空间、应用软件、各种服务等。

这种模式可以帮助企业实现管理成本和与服务供应商交互的最小化。

随着云计算技术的发展，在线访问云服务不断被普及。

人们通过云服务就能随时随地访问个人文档、照片、消费记录，甚至银行账号、医疗记录等敏感信息；

企业借助云服务丰富的资源、强大的算力和快速可扩展的特性，将企业数据计算和存储服务纷纷外包给云服务提供商......

这些使得越来越多不同安全级别的数据和服务充斥云端。

云端资源的访问及其安全问题成为新的关注焦点。

为了保障云端资源的安全，鉴别访问者身份，保障资源被合法使用，成为云服务首当其冲的安全目标。

以SaaS应用为例。

越来越多企业开始使用SaaS，如ERP、CRM、信息运维系统等。

这些系统各有一套独立的账号体系。

这就意味着企业IT管理员要维护每个员工在不同系统间的身份账号、密码、权限、审计等。

分散、不统一的管理方式又间接带来管理成本浪费、用户体验不佳、安全危机暗藏等问题。

这时，就需要使用IDaaS（Identity asaService，身份即服务）。

IDaaS简单理解就是一个基于云的统一身份管理平台。

它能帮助企业实现一个账号打通所有SaaS系统，完成单点登录、多因素认证、权限控制、操作审计，甚至流量监测、安全威胁监测、行为分析等。

Gartner将IDaaS定义为管理、账号配置、认证与授权、报告等功能的结合。

基于云端的IAM能同时管理SaaS应用和企业内部应用。

目前，IAM云安全服务的主要增长动力来自中小企业日益增长的需求。

例如，扩展基础IAM功能，为越来越多访问SaaS应用和企业内部Web应用员工提供服务等。

越来越多中小企业开始部署IDaaS云服务取代原来内部部署的IAM工具。

大企业则更倾向以混合云和内部部署共存的方式使用IAM。

和许多云服务一样，IDaaS的一个主要优势是节约成本。

企业本地化部署意味着IT部门必须维护服务器购买、升级和安装软件，定期备份数据，支付托管费，确保网络安全，设置VPN等。

而有了IDaaS，订阅费和管理工作的成本会大幅度降低。

此外，IDaas还可以改进网络安全、节省时间、用户体验更佳等。

无论用户通过机场开放Wi-Fi登录，还是办公室登录，整个过程都是无缝安全的。

要做到这些，IDaaS需要具备哪些能力？

派拉软件认为，需在传统IAM功能基础上新增以下功能：

持续评估用户身份全生命周期风险，对高价值数据、服务、API操作实时风险监测，结合API认证、多因子认证加强用户身份认证，规避主动或被动的风险攻击，保护系统安全、网络安全与数据安全。

云访问安全代理CASB是一种工具，用于监测和管理云应用与用户之间的流量，帮助保护云环境。“访问”是CASB中最重要的一环。

CASB可提供威胁防护，加强云端数据应用的访问和身份认证控制，通常需要与现有的IDaaS进行交互，监视业务活动并执行规则。

统一端点管理UEM可管理任何端点的全生命周期，并收集终端硬件、操作系统、应用、数据、行为等信息进行终端安全评估。

细粒度授权是定义控制主体访问客体的策略。客体包括单个资源、资源组、用户账号和资源目录等，主体包括授权给用户、组、组织、角色和岗位等。通过定义策略控制主体访问准入、数据获取等。

会话和令牌遵循统一注销和重新验证的控制策略，动态控制用户已认证的会话；根据持续风险评估引擎对已经生成的令牌进行风险等级调整，根据用户上下文及历史数据进行风险计算以阻止高风险行为。

社交媒体身份整合即将来源于多渠道、网站(Web移动、IoT)、不同社交媒体、不同身份信息进行清洗合并，形成统一用户数字身份管理与完整的用户身份画像及标签，并识别虚假账号、高危账号等。

在零信任架构中，所有面向访问主体的服务、API都必须经过可信代理进行统一管理，在访问代理中依托API技术对访问客体的访问请求进行统一认证和授权，并结合风险评估引擎对API基本的访问进行风险动态控制，结合细粒度授权严格控制访问的API。

SS0360是派拉软件公司研发的一款SaaS平台下的IDaaS身份管理服务平台。

2018年，派拉软件统一了IDaaS与微服务架构，发布了派拉SS0360产品。

该产品全面支持各种身份场景的应用，实现公有云PaaS平台部署、混合云部署、私有云部署。

这里，简单以企业常见的四大身份安全管理场景，介绍派拉软件IDaaS平台能力与特点：

◆ 高吞吐量和高性能，满足企业用户量大，达千万级甚至亿级用户数。

◆ 用户注册简单，只要提供很少的用户数据即可注册成功，对于初期引流至关重要。

◆ 用户登录操作便利，提供丰富的身份认证方式，如人脸识别、指纹识别、声纹识别、短信验证码等，增强用户体验且加强安全保护。

◆ 与互联网服务深度集成，提供互联网头部应用作为第三方认证，如微信、QQ、支付宝、淘宝、微博等，与微信小程序、钉钉小程序等应用无缝集成。

◆ 能够进行用户重复注册智能识别、低频攻击识别、有效用户智能识别，防止用户系统被非法入侵和非法访问。

◆ 同一个用户可存在于不同的应用中，提供用户关联功能，通过唯一ID标识一个用户主体在不同应用中的不同账号属性。

◆ 具有用户操作行为的海量数据审计能力，基于大数据下的用户行为分析能力。

◆ 保证7x24小时的高可用，有效应对促销、秒杀、出现突发事件时登录操作的暴增；支持秒级服务快速扩充，支持灰度发布，缓存降级限流。

除了满足面向消费者的IDaaS服务所有能力外，增加了以下几点：

◆ 多维组织架构，有效应对用户组织架构复杂，不同应用没有统一的组织架构问题。

◆ 用户角色岗位复杂，存在岗位交织、兼职等情况，提供临时分配、临时回收权限的功能。

◆ 对于跨国公司，提供全球访问、多认证中心联邦认证等功能。

◆ 用户数量多，供应商变化频率高，供应商人员离职率高，严格把控供应商僵尸账号的控制、离职人员账号控制、权限变更控制等。

◆ 供应商网络复杂，可从内网访问、外网直接访问、VPN访问等，根据不同场景下的访问进行不同访问控制策略。

◆ 子账号管理，即可分配子账号，并能控制账号密码共享使用等。

◆ 物联网设备数量极多，增速又快，设备网络带宽不稳定，网速慢。设备操作系统异构类型多，系统计算能力有限，提供更好性能的身份管理服务。

◆ 物联网设备本身安全防护能力弱，容易被强行刷机，需给物联网设备分配不可伪造、不可篡改的唯一ID，并对设备与第三方服务器的通信加密认证、鉴权。

◆ 物联网网关具有认证、鉴权能力，可对低电量设备、无系统设备提供设备影子，统一管理。

以上就是本期派拉软件《新一代身份和访问控制管理》书籍解读内容。

如果你想获取本书，学习更多IAM内容。

可以扫描下方二维码，添加派拉软件官方人员微信。

本书目前限时免费领取，先到先得，送完为止。

我们下期再见！