En 400-6655-581
5
返回列表
> 资源中心 > 文章>产品>IAM(身份与访问控制)> 如何保障企业云上资源访问安全?茆正华在线解读IDaaS(身份即服务)

如何保障企业云上资源访问安全?茆正华在线解读IDaaS(身份即服务)

文章

2024-03-28浏览次数:513

你好,我是茆正华。

 

欢迎来到派拉软件【数字安全前沿栏目】之解读《新一代身份和访问控制管理》。

 

今天我们来聊一聊云身份的访问控制管理之SaaS的IAM。

 

后续,我将继续展开解读IaaS的IAM与云原生架构下的IAM。

 

说到云计算,大家都很熟悉了。

 

简单来说,云计算是一种按使用量付费的模式。

 

用户可通过其提供的可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池,进行资源按需使用。

 

这些资源包括网络、服务器、存储空间、应用软件、各种服务等。

 

这种模式可以帮助企业实现管理成本和与服务供应商交互的最小化。

 

 

 

 

1.

云计算带来云端资源访问安全

 

随着云计算技术的发展,在线访问云服务不断被普及。

 

人们通过云服务就能随时随地访问个人文档、照片、消费记录,甚至银行账号、医疗记录等敏感信息;

 

企业借助云服务丰富的资源、强大的算力和快速可扩展的特性,将企业数据计算和存储服务纷纷外包给云服务提供商......

 

这些使得越来越多不同安全级别的数据和服务充斥云端。

 

云端资源的访问及其安全问题成为新的关注焦点。

 

为了保障云端资源的安全,鉴别访问者身份,保障资源被合法使用,成为云服务首当其冲的安全目标。

 

以SaaS应用为例。

 

越来越多企业开始使用SaaS,如ERP、CRM、信息运维系统等。

 

这些系统各有一套独立的账号体系。

 

这就意味着企业IT管理员要维护每个员工在不同系统间的身份账号、密码、权限、审计等。

 

分散、不统一的管理方式又间接带来管理成本浪费、用户体验不佳、安全危机暗藏等问题。

 

这时,就需要使用IDaaS(Identity asaService,身份即服务)。

 

 

 

 

2.

什么是lDaaS ?

 

IDaaS简单理解就是一个基于云的统一身份管理平台。

 

它能帮助企业实现一个账号打通所有SaaS系统,完成单点登录、多因素认证、权限控制、操作审计,甚至流量监测、安全威胁监测、行为分析等。

 

Gartner将IDaaS定义为管理、账号配置、认证与授权、报告等功能的结合。

 

基于云端的IAM能同时管理SaaS应用和企业内部应用。

 

目前,IAM云安全服务的主要增长动力来自中小企业日益增长的需求。

 

例如,扩展基础IAM功能,为越来越多访问SaaS应用和企业内部Web应用员工提供服务等。

 

越来越多中小企业开始部署IDaaS云服务取代原来内部部署的IAM工具。

 

大企业则更倾向以混合云和内部部署共存的方式使用IAM。

 

 

 

 

3.

IDaaS 需要具备哪些能力?

 

和许多云服务一样,IDaaS的一个主要优势是节约成本。

 

企业本地化部署意味着IT部门必须维护服务器购买、升级和安装软件,定期备份数据,支付托管费,确保网络安全,设置VPN等。

 

而有了IDaaS,订阅费和管理工作的成本会大幅度降低。

 

此外,IDaas还可以改进网络安全、节省时间、用户体验更佳等。

 

无论用户通过机场开放Wi-Fi登录,还是办公室登录,整个过程都是无缝安全的。

 

要做到这些,IDaaS需要具备哪些能力

 

派拉软件认为,需在传统IAM功能基础上新增以下功能:

 

01

图片

持续自适应风险和信任评估

 

持续评估用户身份全生命周期风险,对高价值数据、服务、API操作实时风险监测,结合API认证、多因子认证加强用户身份认证,规避主动或被动的风险攻击,保护系统安全、网络安全与数据安全。

 

02

图片

云访问安全代理

 

云访问安全代理CASB是一种工具,用于监测和管理云应用与用户之间的流量,帮助保护云环境。“访问”是CASB中最重要的一环。

 

CASB可提供威胁防护,加强云端数据应用的访问和身份认证控制,通常需要与现有的IDaaS进行交互,监视业务活动并执行规则。

 

03

图片

统一端点管理

 

统一端点管理UEM可管理任何端点的全生命周期,并收集终端硬件、操作系统、应用、数据、行为等信息进行终端安全评估。

 

04

图片

细粒度授权

 

细粒度授权是定义控制主体访问客体的策略。客体包括单个资源、资源组、用户账号和资源目录等,主体包括授权给用户、组、组织、角色和岗位等。通过定义策略控制主体访问准入、数据获取等。

 

05

图片

统一会话管理

 

会话和令牌遵循统一注销和重新验证的控制策略,动态控制用户已认证的会话;根据持续风险评估引擎对已经生成的令牌进行风险等级调整,根据用户上下文及历史数据进行风险计算以阻止高风险行为。

 

06

图片

社交媒体身份整合

 

社交媒体身份整合即将来源于多渠道、网站(Web移动、IoT)、不同社交媒体、不同身份信息进行清洗合并,形成统一用户数字身份管理与完整的用户身份画像及标签,并识别虚假账号、高危账号等。

 

07

图片

API的认证和授权

 

在零信任架构中,所有面向访问主体的服务、API都必须经过可信代理进行统一管理,在访问代理中依托API技术对访问客体的访问请求进行统一认证和授权,并结合风险评估引擎对API基本的访问进行风险动态控制,结合细粒度授权严格控制访问的API。

 

 

 

 

4.

派拉软件IDaaS 平台

 

SS0360是派拉软件公司研发的一款SaaS平台下的IDaaS身份管理服务平台。

 

2018年,派拉软件统一了IDaaS与微服务架构,发布了派拉SS0360产品。

 

该产品全面支持各种身份场景的应用,实现公有云PaaS平台部署、混合云部署、私有云部署。

 

这里,简单以企业常见的四大身份安全管理场景,介绍派拉软件IDaaS平台能力与特点:

 

01

图片

面向消费者IDaaS服务

 

◆ 高吞吐量和高性能,满足企业用户量大,达千万级甚至亿级用户数。

 

 

◆ 用户注册简单,只要提供很少的用户数据即可注册成功,对于初期引流至关重要。

 

 

◆ 用户登录操作便利,提供丰富的身份认证方式,如人脸识别、指纹识别、声纹识别、短信验证码等,增强用户体验且加强安全保护。

 

 

◆ 与互联网服务深度集成,提供互联网头部应用作为第三方认证,如微信、QQ、支付宝、淘宝、微博等,与微信小程序、钉钉小程序等应用无缝集成。

 

 

◆ 能够进行用户重复注册智能识别、低频攻击识别、有效用户智能识别,防止用户系统被非法入侵和非法访问。

 

 

◆ 同一个用户可存在于不同的应用中,提供用户关联功能,通过唯一ID标识一个用户主体在不同应用中的不同账号属性。

 

 

◆ 具有用户操作行为的海量数据审计能力,基于大数据下的用户行为分析能力。

 

 

◆ 保证7x24小时的高可用,有效应对促销、秒杀、出现突发事件时登录操作的暴增;支持秒级服务快速扩充,支持灰度发布,缓存降级限流。

 

02

图片

面向雇员的IDaaS服务

 

除了满足面向消费者的IDaaS服务所有能力外,增加了以下几点:

 

◆ 多维组织架构,有效应对用户组织架构复杂,不同应用没有统一的组织架构问题。

 

 

◆ 用户角色岗位复杂,存在岗位交织、兼职等情况,提供临时分配、临时回收权限的功能。

 

 

◆ 对于跨国公司,提供全球访问、多认证中心联邦认证等功能。

 

03

图片

面向供应商的IDaaS服务

 

◆ 用户数量多,供应商变化频率高,供应商人员离职率高,严格把控供应商僵尸账号的控制、离职人员账号控制、权限变更控制等。

 

 

◆ 供应商网络复杂,可从内网访问、外网直接访问、VPN访问等,根据不同场景下的访问进行不同访问控制策略。

 

 

◆ 子账号管理,即可分配子账号,并能控制账号密码共享使用等。

 

04

图片

面向物联网的IDaaS服务

 

◆ 物联网设备数量极多,增速又快,设备网络带宽不稳定,网速慢。设备操作系统异构类型多,系统计算能力有限,提供更好性能的身份管理服务。

 

 

◆ 物联网设备本身安全防护能力弱,容易被强行刷机,需给物联网设备分配不可伪造、不可篡改的唯一ID,并对设备与第三方服务器的通信加密认证、鉴权。

 

 

◆ 物联网网关具有认证、鉴权能力,可对低电量设备、无系统设备提供设备影子,统一管理。

 

 

以上就是本期派拉软件《新一代身份和访问控制管理》书籍解读内容。

 

如果你想获取本书,学习更多IAM内容。

 

可以扫描下方二维码,添加派拉软件官方人员微信。

 

本书目前限时免费领取,先到先得,送完为止。

 

我们下期再见!