En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問控制)> 如何保障企業(yè)云上資源訪問安全?茆正華在線解讀IDaaS(身份即服務)

如何保障企業(yè)云上資源訪問安全?茆正華在線解讀IDaaS(身份即服務)

文章

2024-03-28瀏覽次數(shù):312

你好,我是茆正華。

 

歡迎來到派拉軟件【數(shù)字安全前沿欄目】之解讀《新一代身份和訪問控制管理》。

 

今天我們來聊一聊云身份的訪問控制管理之SaaS的IAM。

 

后續(xù),我將繼續(xù)展開解讀IaaS的IAM與云原生架構下的IAM。

 

說到云計算,大家都很熟悉了。

 

簡單來說,云計算是一種按使用量付費的模式。

 

用戶可通過其提供的可用的、便捷的、按需的網(wǎng)絡訪問,進入可配置的計算資源共享池,進行資源按需使用。

 

這些資源包括網(wǎng)絡、服務器、存儲空間、應用軟件、各種服務等。

 

這種模式可以幫助企業(yè)實現(xiàn)管理成本和與服務供應商交互的最小化。

 

 

 

 

1.

云計算帶來云端資源訪問安全

 

隨著云計算技術的發(fā)展,在線訪問云服務不斷被普及。

 

人們通過云服務就能隨時隨地訪問個人文檔、照片、消費記錄,甚至銀行賬號、醫(yī)療記錄等敏感信息;

 

企業(yè)借助云服務豐富的資源、強大的算力和快速可擴展的特性,將企業(yè)數(shù)據(jù)計算和存儲服務紛紛外包給云服務提供商......

 

這些使得越來越多不同安全級別的數(shù)據(jù)和服務充斥云端。

 

云端資源的訪問及其安全問題成為新的關注焦點。

 

為了保障云端資源的安全,鑒別訪問者身份,保障資源被合法使用,成為云服務首當其沖的安全目標。

 

以SaaS應用為例。

 

越來越多企業(yè)開始使用SaaS,如ERP、CRM、信息運維系統(tǒng)等。

 

這些系統(tǒng)各有一套獨立的賬號體系。

 

這就意味著企業(yè)IT管理員要維護每個員工在不同系統(tǒng)間的身份賬號、密碼、權限、審計等。

 

分散、不統(tǒng)一的管理方式又間接帶來管理成本浪費、用戶體驗不佳、安全危機暗藏等問題。

 

這時,就需要使用IDaaS(Identity asaService,身份即服務)。

 

 

 

 

2.

什么是lDaaS ?

 

IDaaS簡單理解就是一個基于云的統(tǒng)一身份管理平臺。

 

它能幫助企業(yè)實現(xiàn)一個賬號打通所有SaaS系統(tǒng),完成單點登錄、多因素認證、權限控制、操作審計,甚至流量監(jiān)測、安全威脅監(jiān)測、行為分析等。

 

Gartner將IDaaS定義為管理、賬號配置、認證與授權、報告等功能的結合。

 

基于云端的IAM能同時管理SaaS應用和企業(yè)內(nèi)部應用。

 

目前,IAM云安全服務的主要增長動力來自中小企業(yè)日益增長的需求。

 

例如,擴展基礎IAM功能,為越來越多訪問SaaS應用和企業(yè)內(nèi)部Web應用員工提供服務等。

 

越來越多中小企業(yè)開始部署IDaaS云服務取代原來內(nèi)部部署的IAM工具。

 

大企業(yè)則更傾向以混合云和內(nèi)部部署共存的方式使用IAM。

 

 

 

 

3.

IDaaS 需要具備哪些能力?

 

和許多云服務一樣,IDaaS的一個主要優(yōu)勢是節(jié)約成本。

 

企業(yè)本地化部署意味著IT部門必須維護服務器購買、升級和安裝軟件,定期備份數(shù)據(jù),支付托管費,確保網(wǎng)絡安全,設置VPN等。

 

而有了IDaaS,訂閱費和管理工作的成本會大幅度降低。

 

此外,IDaas還可以改進網(wǎng)絡安全、節(jié)省時間、用戶體驗更佳等。

 

無論用戶通過機場開放Wi-Fi登錄,還是辦公室登錄,整個過程都是無縫安全的。

 

要做到這些,IDaaS需要具備哪些能力?

 

派拉軟件認為,需在傳統(tǒng)IAM功能基礎上新增以下功能:

 

01

圖片

持續(xù)自適應風險和信任評估

 

持續(xù)評估用戶身份全生命周期風險,對高價值數(shù)據(jù)、服務、API操作實時風險監(jiān)測,結合API認證、多因子認證加強用戶身份認證,規(guī)避主動或被動的風險攻擊,保護系統(tǒng)安全、網(wǎng)絡安全與數(shù)據(jù)安全。

 

02

圖片

云訪問安全代理

 

云訪問安全代理CASB是一種工具,用于監(jiān)測和管理云應用與用戶之間的流量,幫助保護云環(huán)境。“訪問”是CASB中最重要的一環(huán)。

 

CASB可提供威脅防護,加強云端數(shù)據(jù)應用的訪問和身份認證控制,通常需要與現(xiàn)有的IDaaS進行交互,監(jiān)視業(yè)務活動并執(zhí)行規(guī)則。

 

03

圖片

統(tǒng)一端點管理

 

統(tǒng)一端點管理UEM可管理任何端點的全生命周期,并收集終端硬件、操作系統(tǒng)、應用、數(shù)據(jù)、行為等信息進行終端安全評估。

 

04

圖片

細粒度授權

 

細粒度授權是定義控制主體訪問客體的策略。客體包括單個資源、資源組、用戶賬號和資源目錄等,主體包括授權給用戶、組、組織、角色和崗位等。通過定義策略控制主體訪問準入、數(shù)據(jù)獲取等。

 

05

圖片

統(tǒng)一會話管理

 

會話和令牌遵循統(tǒng)一注銷和重新驗證的控制策略,動態(tài)控制用戶已認證的會話;根據(jù)持續(xù)風險評估引擎對已經(jīng)生成的令牌進行風險等級調(diào)整,根據(jù)用戶上下文及歷史數(shù)據(jù)進行風險計算以阻止高風險行為。

 

06

圖片

社交媒體身份整合

 

社交媒體身份整合即將來源于多渠道、網(wǎng)站(Web移動、IoT)、不同社交媒體、不同身份信息進行清洗合并,形成統(tǒng)一用戶數(shù)字身份管理與完整的用戶身份畫像及標簽,并識別虛假賬號、高危賬號等。

 

07

圖片

API的認證和授權

 

在零信任架構中,所有面向訪問主體的服務、API都必須經(jīng)過可信代理進行統(tǒng)一管理,在訪問代理中依托API技術對訪問客體的訪問請求進行統(tǒng)一認證和授權,并結合風險評估引擎對API基本的訪問進行風險動態(tài)控制,結合細粒度授權嚴格控制訪問的API。

 

 

 

 

4.

派拉軟件IDaaS 平臺

 

SS0360是派拉軟件公司研發(fā)的一款SaaS平臺下的IDaaS身份管理服務平臺。

 

2018年,派拉軟件統(tǒng)一了IDaaS與微服務架構,發(fā)布了派拉SS0360產(chǎn)品。

 

該產(chǎn)品全面支持各種身份場景的應用,實現(xiàn)公有云PaaS平臺部署、混合云部署、私有云部署。

 

這里,簡單以企業(yè)常見的四大身份安全管理場景,介紹派拉軟件IDaaS平臺能力與特點:

 

01

圖片

面向消費者IDaaS服務

 

◆ 高吞吐量和高性能,滿足企業(yè)用戶量大,達千萬級甚至億級用戶數(shù)。

 

 

◆ 用戶注冊簡單,只要提供很少的用戶數(shù)據(jù)即可注冊成功,對于初期引流至關重要。

 

 

◆ 用戶登錄操作便利,提供豐富的身份認證方式,如人臉識別、指紋識別、聲紋識別、短信驗證碼等,增強用戶體驗且加強安全保護。

 

 

◆ 與互聯(lián)網(wǎng)服務深度集成,提供互聯(lián)網(wǎng)頭部應用作為第三方認證,如微信、QQ、支付寶、淘寶、微博等,與微信小程序、釘釘小程序等應用無縫集成。

 

 

◆ 能夠進行用戶重復注冊智能識別、低頻攻擊識別、有效用戶智能識別,防止用戶系統(tǒng)被非法入侵和非法訪問。

 

 

◆ 同一個用戶可存在于不同的應用中,提供用戶關聯(lián)功能,通過唯一ID標識一個用戶主體在不同應用中的不同賬號屬性。

 

 

◆ 具有用戶操作行為的海量數(shù)據(jù)審計能力,基于大數(shù)據(jù)下的用戶行為分析能力。

 

 

◆ 保證7x24小時的高可用,有效應對促銷、秒殺、出現(xiàn)突發(fā)事件時登錄操作的暴增;支持秒級服務快速擴充,支持灰度發(fā)布,緩存降級限流。

 

02

圖片

面向雇員的IDaaS服務

 

除了滿足面向消費者的IDaaS服務所有能力外,增加了以下幾點:

 

◆ 多維組織架構,有效應對用戶組織架構復雜,不同應用沒有統(tǒng)一的組織架構問題。

 

 

◆ 用戶角色崗位復雜,存在崗位交織、兼職等情況,提供臨時分配、臨時回收權限的功能。

 

 

◆ 對于跨國公司,提供全球訪問、多認證中心聯(lián)邦認證等功能。

 

03

圖片

面向供應商的IDaaS服務

 

◆ 用戶數(shù)量多,供應商變化頻率高,供應商人員離職率高,嚴格把控供應商僵尸賬號的控制、離職人員賬號控制、權限變更控制等。

 

 

◆ 供應商網(wǎng)絡復雜,可從內(nèi)網(wǎng)訪問、外網(wǎng)直接訪問、VPN訪問等,根據(jù)不同場景下的訪問進行不同訪問控制策略。

 

 

◆ 子賬號管理,即可分配子賬號,并能控制賬號密碼共享使用等。

 

04

圖片

面向物聯(lián)網(wǎng)的IDaaS服務

 

◆ 物聯(lián)網(wǎng)設備數(shù)量極多,增速又快,設備網(wǎng)絡帶寬不穩(wěn)定,網(wǎng)速慢。設備操作系統(tǒng)異構類型多,系統(tǒng)計算能力有限,提供更好性能的身份管理服務。

 

 

◆ 物聯(lián)網(wǎng)設備本身安全防護能力弱,容易被強行刷機,需給物聯(lián)網(wǎng)設備分配不可偽造、不可篡改的唯一ID,并對設備與第三方服務器的通信加密認證、鑒權。

 

 

◆ 物聯(lián)網(wǎng)網(wǎng)關具有認證、鑒權能力,可對低電量設備、無系統(tǒng)設備提供設備影子,統(tǒng)一管理。

 

 

以上就是本期派拉軟件《新一代身份和訪問控制管理》書籍解讀內(nèi)容。

 

如果你想獲取本書,學習更多IAM內(nèi)容。

 

可以掃描下方二維碼,添加派拉軟件官方人員微信。

 

本書目前限時免費領取,先到先得,送完為止。

 

我們下期再見!