随着信息技术的不断进步,云计算、物联网以及移动设备的普及,信息泄露等安全问题愈发频繁。近期,一起某高校学生的信息泄露事件引发了大家的广泛讨论。该校学生利用其身份便利,非法获取了大量学生的姓名、学号、照片等隐私信息。
这次热门话题的讨论后,人们再次认识到隐私信息的重要性,并对身份管理的安全性产生了担忧。
身份信息被盗用不仅关乎个人隐私和财产安全,还会导致企业核心数据泄漏影响企业正常生产。因此无论是对个人,还是对企业,可靠的身份管理系统都是重要的,也都是必要的。
面对数字化时代复杂多样的信息安全威胁,传统边界安全架构的身份管理系统已不可靠。为了保护企业的敏感数据和资源,保障个人的隐私信息安全,建立基于零信任架构的身份管理平台,成为了人们提升身份管理安全性的可靠方式。
零信任架构(Zero Trust Architecture)是一种以身份为中心的网络安全模型。它主张以最小权限原则来进行访问控制,而不再依据网络边界和用户身份来判断是否能够进行访问。
在《零信任网络》一书中,作者通过五个假设前提对零信任架构进行了抽象概括:
零信任架构遵循“从不信任,始终验证”的策略。在默认情况下,企业内外部的任何人、事、物均不可信,任何用户都必须通过认证和授权才能访问资源。
根据对零信任架构的理解,可将零信任架构的原则归纳如下:
传统边界安全架构认为企业“内部”和“外部”之间具有明确分界点,并通过边界将其区分开来。这样的架构通常会向边界内的用户和设备授予广泛的访问权限,且无法细化相关权限,一旦攻击者获得了访问权限,边界内的所有内容都会受到严重的安全威胁。
而零信任架构依据“从不信任,始终验证”的策略,每次访问时都要针对每个事务和连接进行身份验证。通过身份验证后,还会根据最小权限原则,获得极其有限的访问特权。相比传统的边界安全架构,零信任架构可以有效的防止信息数泄漏,具有极强的安全性。
零信任架构并非技术,而是一种安全理念。根据 NIST 介绍,实现零信任架构有三大核心技术“SIM”,分别是软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)。
软件定义边界是零信任架构中的一种关键技术,它通过将网络资源隐蔽起来并限制访问,以实现更高级别的安全性。SDP 利用加密和访问控制策略来建立一个虚拟的、透明的网络边界,以保护应用程序和数据。SDP 使得只有经过认证的用户和设备能够访问授权的资源,而无关联的用户和设备则无法看到和访问这些资源。通过 SDP,网络资源仅对授权用户可见,同时提供更细粒度的访问控制,从而减少了攻击者的攻击面。
身份识别与访问管理是零信任架构中的另一个关键技术,它负责管理和控制用户的身份验证和授权访问。IAM 通过识别用户身份并基于其角色、权限和上下文信息来控制用户对系统和资源的访问。在零信任架构中,每个用户都需要进行身份验证,并根据需要分配适当的权限来访问所需的资源。IAM 还能监测和响应异常行为,以及实施多因素身份验证,以增加安全性和保护系统免受未经授权的访问。
微隔离是一种在零信任架构中使用的网络安全技术,它通过将网络划分为多个微小的安全区域来减少攻击面和横向移动的可能性。微隔离可确保网络中的每个工作负载都处于独立的安全域中,并使用细粒度的访问控制策略来限制流量和连接。这样,即使一个工作负载被攻击,攻击者也难以横向移动到其他工作负载中。微隔离还可检测和阻止异常流量和恶意行为,并为每个工作负载提供安全隔离,以增加整体网络的安全性和可靠性。
在零信任架构中,传统的边界防御模型被取代,将信任的重心从网络边界转移到了每个用户和设备的身份验证和授权上。身份管理在这一过程中扮演了关键角色,用于管理和验证用户的身份,并授予适当的访问权限。
身份管理是保障信息安全的重要一道防线,作为下一代事件驱动的云原生身份治理平台,Authing 身份云正是零信任架构下身份管理系统的产品实现。Authing 身份云还通过在认证、访问控制、身份治理和特权身份管理方面上的能力,将零信任架构的原则付诸实践:
在认证授权方面,MFA虽然能一定程度上避免凭证被盗用风险,但因其受限于设备(例如设备需要支持指纹和人脸识别)、技术等客观因素,并不能有效覆盖认证的所有场景。而且增加不必要的因素认证流程也会增加用户体验的负担。
Gartner 也在相关报告中指出,在当前的网络安全环境下,实施 MFA 不能有效应对复杂持续的网络攻击,而且还需要更高的管理成本。同时,Gartner 提倡通过持续自适应信任(CAT)方式,让只有持续获得信任的实体才被允许继续访问,从而更安全地适应不断变化的威胁环境。
Gartner:将焦点从 MFA 转移到持续自适应信任(CAT)
CAT 动态且持续的信任验证和授权方式,也是零信任架构的重要体现。基于此,Authing 身份云也在 MFA 能力上,实现了更安全的身份验证方式——持续自适应多因素认证(CAMFA)。CAMFA 在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。弥补了 MFA 的不足,有效解决了企业安全风险和用户体验问题。
某高校一直比较重视信息安全,并为此采购了几十套应用系统来做学校内部管理和师生管理。然而,在数字化趋势下,高效希望自研系统实现统一管理时,外采的应用系统却为数字化建设带来了诸多挑战:
在自研 BIM 系统时的单点登录问题比较复杂,需要联合自研系统(BIM 系统)和三方系统(Odoo、Strapi、http://C9.io)做统一认证和授权,然而 BIM 系统本身的研发极其复杂,若同时进行单点登录的研发将拖慢项目上线速度,最终影响用户使用。
自研的 BIM 系统不仅仅只有 Web 端,还有小程序端。多端跨平台的用户系统研发将引入其他复杂性问题,如数据同步、版本控制、兼容性等。
由于自研 BIM 组织机构复杂,需要细粒度的权限分级,并且基于角色的授权模型实现起来非常复杂,工期较长。
针对多应用登录问题,Authing 身份云使用基于 OAuth 2.0 的单点登录方案,快速帮助该高校解决连接 BIM 系统和 Odoo、Strapi 和 http://C9.io 的登录问题,极大提升了运维效率,助力智慧校园建设。
基于身份登录和授权问题,使用基于 RBAC 的授权方案,统一对组织机构和工作人员进行授权分级,全面实现身份治理,提升信息安全,强化风险控制。
使用 Authing 身份云跨平台的 SDK,只需要用五行代码即可实现了跨平台的用户系统(包含小程序),大大简化了研发过程,缩短了开发周期,提高了研发效率。
零信任架构和身份管理都是为了建立安全的网络环境和保护敏感数据而采取的策略和措施。将零信任架构应用到身份管理平台中,可以强化身份验证、动态访问控制和活动监控,企业和组织可以提升安全性,降低数据泄露的风险,并为用户提供更便捷的访问体验。
基于零信任架构的 Authing 身份云,也将作为可靠的身份管理平台,更有效地保护企业的敏感数据和资源,更安全地保护用户隐私信息,以应对不断增长和变化的网络威胁。