基于零信任架构的IDaaS实现是怎样的,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。
IAM的SaaS交付
身份认证即服务(Identity as a Service; IDaaS),IAM+SaaS=IDaaS;
用户的范围已经超越了组织机构的边界;客户、供应商、经销商以及其他的组织机构外的人现在可以访问企业应用。分配和管理这些用户的访问并不会一直同内部目录或者人力资源流程关联。身份认证和身份管理系统非常复杂且昂贵,但是IDaaS为身份认证带来了SaaS的成本优势。和身份认证相关联,管理双因素身份认证以及合并移动设备也非常耗时。将这些转移给服务提供商确实是个不错的选择。
行为分析(UEBA),持续校验
由于用户的范围和边界的模糊,在IDaaS下的单点登录及身份管理中对用户的行为进行分析,基于机器学习的算法对于用户行为进行分析,通过身份管理系统对于用户行为发生变化时进行持续校验;
标准协议(OAuth,OIDC,SAML)
IDaaS需要制定标准,提供标准认证协议的认证能力;
多因素认证
丰富的多因素认证能力,成为IDaaS的必要能力,可以分类为:
1.传统的UKey、OTP、CA证书;
2.生物认证人脸、指纹、声纹、掌纹;
3.最新标准FIDO等等;
零信任架构
基于身份的零信任架构最佳实践中,围绕身份管理系统为中心结合可信终端、安全代理、细粒度授权等相关组件建设一个安全高效的整体企业数字化平台,在传统的IAM功能上需要新增如下功能服务:
CARTA
一致的持续自适应风险和信任评估(continuous adaptive risk and trust assessment, CARTA)方法;持续评估用户生命周期内的风险,并结合API认证及多因素能力来要求用户进行二次认证或多次认证,从而达到可以降低用户风险可以更全面的保护能力;在进行高价值数据、服务、API操作时根据实时的风险计算结合多因素系统让访问主体重新出示身份或出示更高安全性身份验证方式,用来规避主动或被动的风险攻击,从而整体保护客户的系统安全、网络安全及数据安全;
CASBs
云访问安全代理(CASBs)是一种工具,用于监听和管理云应用与用户之间的流量,可以帮助保护云环境,CASB的“四个支柱”包括——可视化、合规性、数据安全和威胁防护;“访问”是CASB中的一环,这类产品可以提供威胁防护,加强云上数据应用的访问和身份验证控制。在许多情况下,CASB通过和现有的IDaaS进行交互,可以监视业务活动并执行规则。CASB的优势之一在于具备与现有的安全基础结构集成的能力;
UEM
统一端点管理(UEM),管理任何端点的整个生命周期:移动(Android、iOS)、桌面(Windows 10、macOS、Chrome OS)、强固型设备甚至 IoT(Linux 和其他);收集终端硬件、操作系统、应用、数据、行为等信息进行终端安全评估;
细粒度授权
更细粒度的会话管理功能,基于单个资源、资源组、用户账号和资源目录的范围,授权给用户、组、组织、角色和岗位,控制其访问准入、数据获取能力;并建立角色互斥模型;
Session管理
Token统一注销和重新验证的控制策略,动态控制用户已认证的会话;根据持续风险评估引擎对已经生成的Token进行风险等级调整,根据用户上下文及历史数据进行风险计算可以阻止高风险行为;
BYOI
BYOI(社交媒体身份整合),管理数字、面向客户、多渠道网站(Web、移动、IoT)上的客户身份,用户来源是未知的(注册前)并可能创建多个虚假帐户,不能假定身份。并且可以整合不同社交媒体不同身份信息,对多来源身份进行清洗合并,并管理用户身份画像及标签;
API Auth
API的认证和授权(使用OAuth/OIDC),在零信任架构中所有面向访问主体的服务、API都必须经过可信代理进行统一管理,在访问代理中依托API技术对访问客体的访问请求进行统一的认证和授权,并结合风险引擎对API基本的访问进行风险动态控制,还可以结合细粒度授权能力对访问的API进行控制;
看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注亿速云行业资讯频道,感谢您对亿速云的支持。
原创文章,作者:3628473679,如若转载,请注明出处:https://blog.ytso.com/226047.html