经过保罗·特洛夫(Paul Trulove),首席执行官SecureAuth
当今数字世界中的每个用户几乎肯定都遇到了联合身份,但是很少有人知道相关的安全风险。我们每天依靠的工具(例如Google和Facebook)通过链接在多个服务提供商中的用户数字身份来部署联合身份管理,从而允许用户登录一次并跳到另一个应用程序或服务而无需再次登录。
尽管此简化了用户体验,减少攻击表面并提高生产率,但如果只有一个访问点被黑客入侵,则所有身份以及系统中链接的下游应用程序或服务可能会受到损害。因此,鉴于无处不在使用联合身份,联邦身份管理的风险和最佳实践是什么?
联合身份的历史
联邦身份可以追溯到二十多年来,当时公司开始意识到他们需要更有效和安全的方法来管理多个系统和应用程序的用户身份。这自由联盟项目于2001年启动,旨在为联邦身份管理开发开放标准和技术。它汇集了Sun Microsystems,Novell和American Express等公司和组织,以创建一个共同的框架。自由联盟规范的第一个版本于2003年发布,并定义了一组协议和标准,用于交换不同系统和域之间的身份验证和授权数据。
此后,在联邦身份管理中出现了许多其他计划和标准,包括安全主张标记语言(SAML),OpenID Connect和Oauth等。这些技术在使跨不同系统和域的资源访问安全和无缝访问方面,同时致力于维护用户隐私和控制身份信息,从而发挥着关键作用。 SAML,OpenID和Oauth也可以用于实现零信任框架,该框架假设默认情况下不能信任任何用户或设备,仅根据请求的上下文和用户或设备的身份授予访问权限。
巨大的好处,但存在看不见的风险
联合身份提供了许多用户甚至可能不知道的重要好处。最明显的是增强的用户体验。联合身份管理允许用户使用一组凭据访问多个应用程序和服务。任何试图兼顾数十个个人和工作相关的证书(例如,用户名和密码)的人都可以欣赏到他们的记忆和管理更少的东西时。联合身份还可以通过实现更强大的身份验证方法,降低与密码相关的安全漏洞的风险以及改善用户访问不同域中资源的管理的管理风险来提高安全性。
尽管这些好处很重要,但很少评估与联邦身份相关的风险,因为使用联邦身份已成为一种正常的做法。真正的风险是,联邦访问管理方法并没有跟上推进网络威胁和增加数字化的步伐。当使用联合身份时,身份提供商负责身份验证和授权,这将控制组织限制了对用户对内部资源和数据的访问。如果您的身份店是本地的,您将使用几种功能,但是在联合到其他数据源时,您通常无法使用它们,例如:
- 身份安全事件:任何涉及妥协或未经授权访问用户身份信息的事件,包括登录凭据和个人信息。
- 来源的信任评级:您可以放在给定来源提供的信息上的信心水平。
- 源密码规则:定义创建和管理密码要求的策略和程序,例如复杂性,更改时间表,到期等。
- 陈旧帐户:尚未访问或长时间使用的用户帐户,该组织确定构成陈旧帐户的时间范围。
- 来源剥夺规则:定义删除用户访问系统,数据和其他资源的过程的策略和过程。
在某种程度上,组织选择使用这些功能在当地确保非养育身份,但是当您评估身份验证工具是否将联合身份视为受信任的用户时,答案几乎总是肯定的。不幸的是,默认情况下,允许联合身份的众多风险之一是,您允许没有安全控制的用户对网络,应用程序,数据存储或其他IT资产进行身份验证。这意味着您的组织可能会面临系统和应用程序,网络钓鱼攻击以及未经授权访问敏感数据的风险。
联合身份管理的最佳实践
联合身份应对许多重大挑战,从而使用户可以从任何地方并使用各种设备对多个登录凭据和访问资源进行多个登录凭据和访问资源的身份验证。定期审查访问权限,实施最少特权的原则以及加密通信是组织可以提高联邦身份的安全性的所有方法,但可能还不够。将来,联邦必须发展以更好地解决零信任的体系结构和方法,将每个身份验证事件视为一个不受信任的安全事件,并进行预授权后检查,以连续验证任何身份认证的安全性,尤其是从外部来源接收数据时。
关于作者
保罗·特洛洛夫(Paul Trulove)担任高级领导职务的15年以上的IAM经验,并担任首席执行官SecureAuth,他制定了愿景和策略。最近,Trulove是Sailpoint Technologies的CPO,他于2007年加入了产品负责人,推动了其市场领先的身份管理产品组合的产品策略,路线图和消息传递。他在从身份先驱到成功IPO的帆船上发挥了关键作用。
在帆船赛之前,Trulove在制定创新产品策略,在早期企业中推出产品以及将产品成长为科技公司的类别领导者,在包括Newgistics,Saber和Pervasive Software等科技公司的类别领导者中获得了丰富的经验。
免责声明:生物识别更新的行业见解是提交的内容。这篇文章中表达的观点是作者的观点,不一定反映生物识别更新的观点。
