經過保羅·特洛夫(Paul Trulove),首席執行官SecureAuth
當今數字世界中的每個用戶幾乎肯定都遇到了聯合身份,但是很少有人知道相關的安全風險。我們每天依靠的工具(例如Google和Facebook)通過鏈接在多個服務提供商中的用戶數字身份來部署聯合身份管理,從而允許用戶登錄一次並跳到另一個應用程序或服務而無需再次登錄。
儘管此簡化了用戶體驗,減少攻擊表面並提高生產率,但如果只有一個訪問點被黑客入侵,則所有身份以及系統中鏈接的下游應用程序或服務可能會受到損害。因此,鑑於無處不在使用聯合身份,聯邦身份管理的風險和最佳實踐是什麼?
聯合身份的歷史
聯邦身份可以追溯到二十多年來,當時公司開始意識到他們需要更有效和安全的方法來管理多個系統和應用程序的用戶身份。這自由聯盟項目於2001年啟動,旨在為聯邦身份管理開發開放標準和技術。它匯集了Sun Microsystems,Novell和American Express等公司和組織,以創建一個共同的框架。自由聯盟規範的第一個版本於2003年發布,並定義了一組協議和標準,用於交換不同系統和域之間的身份驗證和授權數據。
此後,在聯邦身份管理中出現了許多其他計劃和標準,包括安全主張標記語言(SAML),OpenID Connect和Oauth等。這些技術在使跨不同系統和域的資源訪問安全和無縫訪問方面,同時致力於維護用戶隱私和控制身份信息,從而發揮著關鍵作用。 SAML,OpenID和Oauth也可以用於實現零信任框架,該框架假設默認情況下不能信任任何用戶或設備,僅根據請求的上下文和用戶或設備的身份授予訪問權限。
巨大的好處,但存在看不見的風險
聯合身份提供了許多用戶甚至可能不知道的重要好處。最明顯的是增強的用戶體驗。聯合身份管理允許用戶使用一組憑據訪問多個應用程序和服務。任何試圖兼顧數十個個人和工作相關的證書(例如,用戶名和密碼)的人都可以欣賞到他們的記憶和管理更少的東西時。聯合身份還可以通過實現更強大的身份驗證方法,降低與密碼相關的安全漏洞的風險以及改善用戶訪問不同域中資源的管理的管理風險來提高安全性。
儘管這些好處很重要,但很少評估與聯邦身份相關的風險,因為使用聯邦身份已成為一種正常的做法。真正的風險是,聯邦訪問管理方法並沒有跟上推進網絡威脅和增加數字化的步伐。當使用聯合身份時,身份提供商負責身份驗證和授權,這將控制組織限制了對用戶對內部資源和數據的訪問。如果您的身份店是本地的,您將使用幾種功能,但是在聯合到其他數據源時,您通常無法使用它們,例如:
- 身份安全事件:任何涉及妥協或未經授權訪問用戶身份信息的事件,包括登錄憑據和個人信息。
- 來源的信任評級:您可以放在給定來源提供的信息上的信心水平。
- 源密碼規則:定義創建和管理密碼要求的策略和程序,例如復雜性,更改時間表,到期等。
- 陳舊帳戶:尚未訪問或長時間使用的用戶帳戶,該組織確定構成陳舊帳戶的時間範圍。
- 來源剝奪規則:定義刪除用戶訪問系統,數據和其他資源的過程的策略和過程。
在某種程度上,組織選擇使用這些功能在當地確保非養育身份,但是當您評估身份驗證工具是否將聯合身份視為受信任的用戶時,答案幾乎總是肯定的。不幸的是,默認情況下,允許聯合身份的眾多風險之一是,您允許沒有安全控制的用戶對網絡,應用程序,數據存儲或其他IT資產進行身份驗證。這意味著您的組織可能會面臨系統和應用程序,網絡釣魚攻擊以及未經授權訪問敏感數據的風險。
聯合身份管理的最佳實踐
聯合身份應對許多重大挑戰,從而使用戶可以從任何地方並使用各種設備對多個登錄憑據和訪問資源進行多個登錄憑據和訪問資源的身份驗證。定期審查訪問權限,實施最少特權的原則以及加密通信是組織可以提高聯邦身份的安全性的所有方法,但可能還不夠。將來,聯邦必鬚髮展以更好地解決零信任的體系結構和方法,將每個身份驗證事件視為一個不受信任的安全事件,並進行預授權後檢查,以連續驗證任何身份認證的安全性,尤其是從外部來源接收數據時。
關於作者
保羅·特洛洛夫(Paul Trulove)擔任高級領導職務的15年以上的IAM經驗,並擔任首席執行官SecureAuth,他制定了願景和策略。最近,Trulove是Sailpoint Technologies的CPO,他於2007年加入了產品負責人,推動了其市場領先的身份管理產品組合的產品策略,路線圖和消息傳遞。他在從身份先驅到成功IPO的帆船上發揮了關鍵作用。
在帆船賽之前,Trulove在製定創新產品策略,在早期企業中推出產品以及將產品成長為科技公司的類別領導者,在包括Newgistics,Saber和Pervasive Software等科技公司的類別領導者中獲得了豐富的經驗。
免責聲明:生物識別更新的行業見解是提交的內容。這篇文章中表達的觀點是作者的觀點,不一定反映生物識別更新的觀點。
