如何保障企業(yè)云上資源訪問安全？茆正華在線解讀IDaaS（身份即服務）

你好，我是茆正華。

歡迎來到派拉軟件【數(shù)字安全前沿欄目】之解讀《新一代身份和訪問控制管理》。

今天我們來聊一聊云身份的訪問控制管理之SaaS的IAM。

后續(xù)，我將繼續(xù)展開解讀IaaS的IAM與云原生架構下的IAM。

說到云計算，大家都很熟悉了。

簡單來說，云計算是一種按使用量付費的模式。

用戶可通過其提供的可用的、便捷的、按需的網(wǎng)絡訪問，進入可配置的計算資源共享池，進行資源按需使用。

這些資源包括網(wǎng)絡、服務器、存儲空間、應用軟件、各種服務等。

這種模式可以幫助企業(yè)實現(xiàn)管理成本和與服務供應商交互的最小化。

隨著云計算技術的發(fā)展，在線訪問云服務不斷被普及。

人們通過云服務就能隨時隨地訪問個人文檔、照片、消費記錄，甚至銀行賬號、醫(yī)療記錄等敏感信息；

企業(yè)借助云服務豐富的資源、強大的算力和快速可擴展的特性，將企業(yè)數(shù)據(jù)計算和存儲服務紛紛外包給云服務提供商......

這些使得越來越多不同安全級別的數(shù)據(jù)和服務充斥云端。

云端資源的訪問及其安全問題成為新的關注焦點。

為了保障云端資源的安全，鑒別訪問者身份，保障資源被合法使用，成為云服務首當其沖的安全目標。

以SaaS應用為例。

越來越多企業(yè)開始使用SaaS，如ERP、CRM、信息運維系統(tǒng)等。

這些系統(tǒng)各有一套獨立的賬號體系。

這就意味著企業(yè)IT管理員要維護每個員工在不同系統(tǒng)間的身份賬號、密碼、權限、審計等。

分散、不統(tǒng)一的管理方式又間接帶來管理成本浪費、用戶體驗不佳、安全危機暗藏等問題。

這時，就需要使用IDaaS（Identity asaService，身份即服務）。

IDaaS簡單理解就是一個基于云的統(tǒng)一身份管理平臺。

它能幫助企業(yè)實現(xiàn)一個賬號打通所有SaaS系統(tǒng)，完成單點登錄、多因素認證、權限控制、操作審計，甚至流量監(jiān)測、安全威脅監(jiān)測、行為分析等。

Gartner將IDaaS定義為管理、賬號配置、認證與授權、報告等功能的結合。

基于云端的IAM能同時管理SaaS應用和企業(yè)內(nèi)部應用。

目前，IAM云安全服務的主要增長動力來自中小企業(yè)日益增長的需求。

例如，擴展基礎IAM功能，為越來越多訪問SaaS應用和企業(yè)內(nèi)部Web應用員工提供服務等。

越來越多中小企業(yè)開始部署IDaaS云服務取代原來內(nèi)部部署的IAM工具。

大企業(yè)則更傾向以混合云和內(nèi)部部署共存的方式使用IAM。

和許多云服務一樣，IDaaS的一個主要優(yōu)勢是節(jié)約成本。

企業(yè)本地化部署意味著IT部門必須維護服務器購買、升級和安裝軟件，定期備份數(shù)據(jù)，支付托管費，確保網(wǎng)絡安全，設置VPN等。

而有了IDaaS，訂閱費和管理工作的成本會大幅度降低。

此外，IDaas還可以改進網(wǎng)絡安全、節(jié)省時間、用戶體驗更佳等。

無論用戶通過機場開放Wi-Fi登錄，還是辦公室登錄，整個過程都是無縫安全的。

要做到這些，IDaaS需要具備哪些能力？

派拉軟件認為，需在傳統(tǒng)IAM功能基礎上新增以下功能：

持續(xù)評估用戶身份全生命周期風險，對高價值數(shù)據(jù)、服務、API操作實時風險監(jiān)測，結合API認證、多因子認證加強用戶身份認證，規(guī)避主動或被動的風險攻擊，保護系統(tǒng)安全、網(wǎng)絡安全與數(shù)據(jù)安全。

云訪問安全代理CASB是一種工具，用于監(jiān)測和管理云應用與用戶之間的流量，幫助保護云環(huán)境。“訪問”是CASB中最重要的一環(huán)。

CASB可提供威脅防護，加強云端數(shù)據(jù)應用的訪問和身份認證控制，通常需要與現(xiàn)有的IDaaS進行交互，監(jiān)視業(yè)務活動并執(zhí)行規(guī)則。

統(tǒng)一端點管理UEM可管理任何端點的全生命周期，并收集終端硬件、操作系統(tǒng)、應用、數(shù)據(jù)、行為等信息進行終端安全評估。

細粒度授權是定義控制主體訪問客體的策略。客體包括單個資源、資源組、用戶賬號和資源目錄等，主體包括授權給用戶、組、組織、角色和崗位等。通過定義策略控制主體訪問準入、數(shù)據(jù)獲取等。

會話和令牌遵循統(tǒng)一注銷和重新驗證的控制策略，動態(tài)控制用戶已認證的會話；根據(jù)持續(xù)風險評估引擎對已經(jīng)生成的令牌進行風險等級調(diào)整，根據(jù)用戶上下文及歷史數(shù)據(jù)進行風險計算以阻止高風險行為。

社交媒體身份整合即將來源于多渠道、網(wǎng)站(Web移動、IoT)、不同社交媒體、不同身份信息進行清洗合并，形成統(tǒng)一用戶數(shù)字身份管理與完整的用戶身份畫像及標簽，并識別虛假賬號、高危賬號等。

在零信任架構中，所有面向訪問主體的服務、API都必須經(jīng)過可信代理進行統(tǒng)一管理，在訪問代理中依托API技術對訪問客體的訪問請求進行統(tǒng)一認證和授權，并結合風險評估引擎對API基本的訪問進行風險動態(tài)控制，結合細粒度授權嚴格控制訪問的API。

SS0360是派拉軟件公司研發(fā)的一款SaaS平臺下的IDaaS身份管理服務平臺。

2018年，派拉軟件統(tǒng)一了IDaaS與微服務架構，發(fā)布了派拉SS0360產(chǎn)品。

該產(chǎn)品全面支持各種身份場景的應用，實現(xiàn)公有云PaaS平臺部署、混合云部署、私有云部署。

這里，簡單以企業(yè)常見的四大身份安全管理場景，介紹派拉軟件IDaaS平臺能力與特點：

◆ 高吞吐量和高性能，滿足企業(yè)用戶量大，達千萬級甚至億級用戶數(shù)。

◆ 用戶注冊簡單，只要提供很少的用戶數(shù)據(jù)即可注冊成功，對于初期引流至關重要。

◆ 用戶登錄操作便利，提供豐富的身份認證方式，如人臉識別、指紋識別、聲紋識別、短信驗證碼等，增強用戶體驗且加強安全保護。

◆ 與互聯(lián)網(wǎng)服務深度集成，提供互聯(lián)網(wǎng)頭部應用作為第三方認證，如微信、QQ、支付寶、淘寶、微博等，與微信小程序、釘釘小程序等應用無縫集成。

◆ 能夠進行用戶重復注冊智能識別、低頻攻擊識別、有效用戶智能識別，防止用戶系統(tǒng)被非法入侵和非法訪問。

◆ 同一個用戶可存在于不同的應用中，提供用戶關聯(lián)功能，通過唯一ID標識一個用戶主體在不同應用中的不同賬號屬性。

◆ 具有用戶操作行為的海量數(shù)據(jù)審計能力，基于大數(shù)據(jù)下的用戶行為分析能力。

◆ 保證7x24小時的高可用，有效應對促銷、秒殺、出現(xiàn)突發(fā)事件時登錄操作的暴增；支持秒級服務快速擴充，支持灰度發(fā)布，緩存降級限流。

除了滿足面向消費者的IDaaS服務所有能力外，增加了以下幾點：

◆ 多維組織架構，有效應對用戶組織架構復雜，不同應用沒有統(tǒng)一的組織架構問題。

◆ 用戶角色崗位復雜，存在崗位交織、兼職等情況，提供臨時分配、臨時回收權限的功能。

◆ 對于跨國公司，提供全球訪問、多認證中心聯(lián)邦認證等功能。

◆ 用戶數(shù)量多，供應商變化頻率高，供應商人員離職率高，嚴格把控供應商僵尸賬號的控制、離職人員賬號控制、權限變更控制等。

◆ 供應商網(wǎng)絡復雜，可從內(nèi)網(wǎng)訪問、外網(wǎng)直接訪問、VPN訪問等，根據(jù)不同場景下的訪問進行不同訪問控制策略。

◆ 子賬號管理，即可分配子賬號，并能控制賬號密碼共享使用等。

◆ 物聯(lián)網(wǎng)設備數(shù)量極多，增速又快，設備網(wǎng)絡帶寬不穩(wěn)定，網(wǎng)速慢。設備操作系統(tǒng)異構類型多，系統(tǒng)計算能力有限，提供更好性能的身份管理服務。

◆ 物聯(lián)網(wǎng)設備本身安全防護能力弱，容易被強行刷機，需給物聯(lián)網(wǎng)設備分配不可偽造、不可篡改的唯一ID，并對設備與第三方服務器的通信加密認證、鑒權。

◆ 物聯(lián)網(wǎng)網(wǎng)關具有認證、鑒權能力，可對低電量設備、無系統(tǒng)設備提供設備影子，統(tǒng)一管理。

以上就是本期派拉軟件《新一代身份和訪問控制管理》書籍解讀內(nèi)容。

如果你想獲取本書，學習更多IAM內(nèi)容。

可以掃描下方二維碼，添加派拉軟件官方人員微信。

本書目前限時免費領取，先到先得，送完為止。

我們下期再見！