频道栏目
首页 > 网络 > 云计算 > 正文

云上的身份认证应对趋势|企业安全专题

2016-07-28 09:10:03           
收藏   我要投稿

本文为洋葱创始人兼CEO,前DNSPod创始人吴洪声应邀参加第二届乌云白帽大会时,在企业安全专场进行的专题演讲内容实录。

 

\

 

众所周知,近年来云服务市场异常火热,越来越多的企业开始尝试云服务,并且体会到云计算带来的便捷和成本优势。然而使用云服务的同时也可能会带来各种各样的问题,尤其是在初期。比如,当企业使用云服务时,员工会有各种各样的外部网站账号。一个云服务账号登录了,企业却不知道到底是员工本人在登录,还是黑客冒充登录,甚至可能只是一个恶意木马,密码体系从来只匹配账号密码是否匹配,从来不关心背后的人。

云服务意味着企业的防御边界也将不断向外扩张,在这种情况下企业如何做好身份认证,以应对越来越复杂的身份环境?今天我就来和大家一起讨论这个问题。

 

\

 

身份认证,举足轻重却漏洞百出

首先我们来看一组数据,Gartner在前不久发布的《2016年企业安全趋势报告》中提到了今年企业面临安全问题的5个核心领域,其中身份认证就在其中占一个很重要的位置。但是现实中的身份认证形势却不容乐观,根据《Verizon 2016数据泄露报告》中的数据统计,有超过一半的企业网络安全事故和身份认证凭据盗用有关。我们平时上乌云网也会看到,10个漏洞里面,起码有一半和和员工弱口令、账户体系控制不严等相关。

 

\

 

问题太普遍以至于大家都习以为常了,很多人归结为员工自身安全意识不足,常常草草了事,出了问题就让员工改复杂密码,改完就当问题解决了,下一次继续出现同样的问题,再继续整改,如此往复。员工和账户管理员也在一次次的整改中不厌其烦的改密码,改密码。

有的企业会用账号密码的限制策略,一些注重账号安全的企业常常会采用OTP(一次性密码)、手机短信等认证方式来替代账号密码或作为二次认证措施。我认识的一个朋友所在的企业,就曾为大部分员工配备了一次性动态令牌硬件,以保证安全性。这些方法有一定成效,但也存在种种弊端,比如成本昂贵、使用不便等。

目前成体系的解决方案主要有4A和IAM,在国内传统企业来说,大家都认4A,但是在国外使用更多的是IAM方案,IAM算是比4A更先进的企业身份认证解决方案,所有也被称为“大4A”,但其实从本质上看来,两者相差无几,都是把内部的多个系统进行集中授权和管理,配备一个强身份认证手段,根据不同用户的不同身份来分配对应的权限。近年大数据分析兴起,因此在IAM 的方案中,越来越多地开始采用大数据分析进行用户行为审计,判断用户身份的真实性。

 

此处输入图片的描述

 

防御边界正消失,身份无处不在

本地部署的4A方案和 IAM方案 固然能解决内部权限的认证和管理问题,但越来越多的企业都在往云上迁移,比如在国外经常用的Saleforce、国内用的比较多的钉钉、纷享销客等等,企业边界正在不断弱化,身份关系变得更加复杂,原本围墙式的防御措施正在逐渐失效,本地部署的IAM也显得捉襟见肘,很多地方顾及不到。

一旦上了云,员工在使用外部服务时,企业再也无法像管理内部应用一样管理员工的账号,无法再要求使用复杂密码或定期修改,无法得知登录者是员工本人,还是他人,甚至是恶意木马在登录,这些都无从得知,因为传统的认证方式只认凭据而不认人。

所以越来越多的企业干脆弱化内外网的概念,比如 Google 公司就已经不再区分内网外网。传统的防御方式被形容为「硬壳软糖」,外表看起来很坚固,咬破之后里面很美味,这种观点如今已经得到大部分人的认可,区分内外网的做法下,一旦攻击者突破边界就几乎可以为所欲为,非常危险。身份认证也是如此,以往员工只需要登录内部应用,将核心的内容和日常内容进行隔离就可以大致保证安全,如今身份认证无处不在,在内部,在云服务,在移动应用等等。

在去掉边界的情况下,新的问题就会不断产生,企业也会不断产生更多的身份认证需求。既然内外网不再区分,内部身份和外部身份错综复杂,这时把内部外部的身份打通,实现统一管理就成了新的强需求。

 

此处输入图片的描述

 

于是,在身份无处不在的情况下,产生了一种新的身份认证模式——IDaaS 身份即服务,目前这种模式在国外也已经十分火热,被看做是未来身份认证的发展方向之一。

所谓 IDaaS,把验证作为一个云服务提出来,整个架设在云上,把企业内外部的身份认证打通。会有专门的身份认证服务商来提供相应的服务,企业只需要把身份认证委派给云身份提供商即可。

接入IDaaS服务之后,员工入职时,只需要给员工登记一次身份信息以后,不管是在内网的OA系统、WiFi、VPN等系统还是外部使用的SaaS、PaaS服务,甚至外部网站的身份认证、账号全部由IDaaS来提供。

由于身份认证服务自身就放在云上,因此无论是内部员工、还是外部的合作伙伴、子公司甚至顾客,无论他们使用的是什么设备,身在何处,无论他们访问的是内部系统还是外部的云服务,都可以做到统一的认证。

 

此处输入图片的描述

 

身份认证的发展时期

在Gartner 整理的身份认证解决方案的技术成熟度曲线图中,IDaaS刚过了一个顶峰期,所谓顶峰期就是早期公众的过分关注,媒体大力鼓吹演绎出了一系列成功的创业故事(当然同时也有众多失败的例子)。在国外IDaaS刚经历过这么一段时期,在这之后就会进入一个相对成熟稳定的发展阶段。

而在国内,目前由于云服务尚且处于快速发展阶段,环境还不够成熟,所以IDaaS的方案在国内几乎很少见到,但相信以后随着企业越来越多的使用云服务,这一趋势也将在国内出现。

 

此处输入图片的描述

 

密码使用率降低,手机认证成为主流

前面我们提到了Gartner发布的《2016企业安全趋势报告》,其中有两个关于身份认证的预测,其一是:到2019年,40%企业的内部IAM方案会被企业IDaaS取代,越来越多的企业会采用IDAAS作为身份认证的解决方案。另一个则是:在许多场景下,密码口令的认证方式的使用率将会大幅降低,其他新型的识别技术将取而代之。

在未来的2~5年,账号密码的使用率将大幅降低,而手机作为一种认证工具的做法将成为主流。因为手机硬件已经可以支持多种生物识别技术,同时还可以通过网络环境、设备指纹、位置信息等内容进行大数据风控,和单一的硬件令牌相比,安全性更高也更可控。

在众多基于手机的认证方式中,最被看好的就是OOB模式(Out of band),OOB模式就是我们常说的旁路通道部署。我们常用的短信认证就是OOB的原理,用另一个通道来实施身份认证。和传统的6位数动态验证码的OTP模式(One time password)相比,短信以及推送验证的使用体验更好,同时还可以结合多种生物识别方式和大数据风控来增强安全性。而且,由于通过另一个通道来实施验证,也避免整个通道中的中间人劫持等高风险行为。,因此未来手机OTP将会逐渐被OOB模式替代。

 

此处输入图片的描述

 

随着手机硬件的升级,公钥令牌的认证方式也会逐渐的到推广,所谓公钥令牌就是在手机里内置一个认证的Key,然后通过NFC等方式来实施认证,但是这种方式尚未普及,所以这里不进行详细讲解。

IoT 物联网的身份认证

随着物联网的发展,IOT的身份认证的身份认证因为将成为企业面临的问题,

当企业采用越来越多的智能设备,比如智能冰箱,空调时,企业又如何对这些设备进行统一的身份认证和统一管理,如何防止他人冒用身份攻击企业的智能设施,如何确保只有授权的人才能使用正确的设备,这些问题都需要得到解决。

如今所有的智能设备厂商也是自称一派,各自有各自的账号体系,但是对于用户来说,无法做到统一的认证和管理。那么在未来IDaaS也会进入IOT的领域,实现一个以人为中心的验证,每个人都可以有一个唯一的ID,当他在企业中,企业可以定义他拥有哪些权限,得到有效的管控。

 

此处输入图片的描述

 

总之,随着云计算的普及,基于云的身份认证方案在未来将大行其道,帮助企业和物联网实现跨越边界的统一身份认证和管理。目前绝大部分分主流的提供身份服务的厂商都有自己的云身份服务,但国内还存在较大的空白,这也是我创办洋葱的原因,希望能通过创新,帮助企业实现简单、安全的认证和统一的身份管理。

 

此处输入图片的描述
上一篇:HBase开发实例学习
下一篇:OpenStack性能测试工具Rally实践和分析
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站