随着组织将生物识别和身份数据管理转移到基于云的服务以维持对网络安全威胁的最佳保护,当云系统与传统的本地数字ID管理模型相撞以创建网络安全和基础设施安全机构(CISA)调用“混合身份解决方案”。为了最大程度地减少干扰并确保面临集成的系统之间的互操作性,该机构已发布有关安全云业务应用程序。
该文件说:“ CISA开发了这种混合身份解决方案指南,以帮助读者更好地了解身份管理能力,各种实施方案中存在的权衡以及在做出实施决策时应考虑的因素。”虽然本地系统肯定会徘徊,但可以使用安全集成。 “但是,”报告说,必须“与采用零信托体系结构的更广泛的计划紧密相结合”。
CISA指定该文件并非旨在全面讨论混合模型而是一个由“基本工具集”的,其动机是“需要代理机构对用户和实体访问云中托管的业务应用程序进行身份验证和授权。”
该工具集包括有关基于云的系统的两个主要建议。首先,“ CISA建议代理商计划通过(1)通过(1)他们在公共密钥基础架构(PKI)和个人身份验证(PIV)或公共访问卡(CAC)(CAC)上迁移到基于云的无密码身份验证,或者通过(通过(2)通过利用Fido2和Web Autheration Authentication标准来对身份服务进行身份验证。”
此外,“ CISA还建议机构从传统的基于本地的联邦方法过渡到云主要使用现代身份验证器和基于开放标准的协议的身份验证(原始的斜体)方法,并依靠云服务来确定大多数访问需求的用户和实体时的主要身份来源。”
在敦促组织将重点放在基于云的身份验证和身份管理上,“ CISA认识到这种身份过渡是一段旅程”,“可能需要大量的计划,资源和努力”。但是,该机构说:“代理商会发现,实现这种成熟的混合身份模型非常值得花费时间和精力。”
身份体系结构的混合模型
该文档概述了几种混合解决方案模型,这些模型可以审查,以选择最适合其特定需求和风险公差的混合身份体系结构。其中包括在指南中列出的顺序中:联合身份验证,通过身份验证,密码同步,云主要身份验证;多因素身份验证(MFA)包括知识,拥有和固有性,例如生物识别指标;单登录选项; fido2;密码管理人员;和基于上下文的访问控制。
每个选项都涵盖了其体系结构的图和描述,对安全性和实施注意事项的审查以及部署建议。关于固有性和生物识别验证者的问题,CISA说:“生物识别验证在本地使用以解锁加密密钥时可以抵抗网络钓鱼。但是,根据扫描仪和算法的质量,假冒某人的质量生物识别数据可能。生物识别技术的另一个问题是无法重置或禁用人类的生物识别技术。”
“机构应在实施的生物识别传感器和算法的质量方面具有选择性。某些生物识别技术(例如语音识别)应得以避免,因为它们由于冒充潜力而不安全。”也就是说,该报告承认MFA是一种强大的安全工具,并且“代理商可以进入无密码的MFA选项,例如FIDO2,在为用户提供身份验证体验的同时,获得更强的安全性。”
