论坛

身份和访问......
 
Notifications
清除所有

身份和访问成为新的主要安全边界


帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

网络周长,防火墙和物理访问控制曾经是企业数据的主要保护。但网络周边越来越多遍,带来自己的设备(BYOD),移动应用程序和云应用程序。

身份已成为新的主要安全边界。因此,适当的身份验证和分配权限对于维护数据的控制至关重要。

您的公司Contoso Shipping,旨在立即解决这些问题。你的团队 'S新的混合云解决方案需要考虑当授权用户登录时可以访问秘密数据的移动应用程序 - 除了是否有运输车辆不断发送对优化公司至关重要的遥测数据流。's business.

身份验证和授权

在谈论身份和访问控制时需要了解的两个基本概念是身份验证和授权。它们支持任何其他内容并在任何身份和访问过程中顺序发生的一切:

  • 验证 是建立寻求访问资源的人或服务的身份的过程。它涉及挑战合法凭证的缔约方的行为,并为创建安全校长提供了依据,以便为身份和访问控制使用提供了基础。它建立了他们是谁说他们是谁。

  • 授权 是建立验证人员或服务的访问程度的过程。它指定了它们的数据'重新允许访问以及他们可以用它做什么。

 笔记

身份验证有时缩短到 验证,授权有时缩短到 authz..

Azure.提供通过Azure Active Directory(Azure AD)管理身份验证和授权的服务。

什么是Azure Active Directory?

Azure. AD是一种基于云的身份服务。它建立了支持与现有的内部部署Active Directory同步,或者可以使用独立。这意味着您的所有应用程序,无论是本地,是否在云中(包括Office 365),甚至移动都可以共享相同的凭据。管理员和开发人员可以使用Azure AD中配置的集中规则和策略来控制对内部和外部数据和应用程序的访问。

Azure. AD提供服务,例如:

  • 验证。 这包括验证访问应用程序和资源的标识,并提供自助服务密码重置,多因素身份验证(MFA),自定义禁止密码列表和智能锁定服务等功能。
  • 单点登录(SSO)。 SSO使用户只能记住一个ID和一个密码来访问多个应用程序。单个标识与用户绑定,简化了安全模型。随着用户更改角色或留下组织,访问修改与该身份相关联,大大减少了更改或禁用帐户所需的努力。
  • 应用程序管理。 您可以使用Azure AD Application Proxy,SSO,My Apps Portal(也称为Access Panel)和SaaS应用程序管理您的云和内部部署应用程序。
  • 业务到企业(B2B)身份服务。 管理您的访客用户和外部合作伙伴,同时保持对您自己的公司数据的控制
  • 企业对客户(B2C)身份服务。 自定义和控制用户在使用应用程序时注册,登录和管理其配置文件的定制和控制。
  • 设备管理。 管理您的云或内部部署设备如何访问公司数据。

让'S更详细地探索其中的一些。

单点登录

用户必须管理的更多身份,凭证相关的安全事件的风险越大。更多身份意味着要记住和更改的更多密码。密码策略可以在应用程序之间变化,并且随着复杂性需求的增加,用户越来越困难,以记住它们。

现在,考虑管理所有身份的物流。在处理帐户锁定和密码重置请求时,将额外的应变放在帮助办公桌上。如果用户离开组织,请追踪所有这些身份并确保它们被禁用可能具有挑战性。如果忽略了身份,则这可能允许访问它应该被删除。

使用单点登录(SSO),用户只需要记住一个ID和一个密码。跨应用程序的访问被授予与用户相关联的单个标识,简化安全模型。随着用户更改角色或留下组织,访问修改与单个身份相关,大大减少了更改或禁用帐户所需的努力。对帐户使用单点登录将使用户更容易管理其身份,并将增加环境中的安全功能。

SSO与Azure Active Directory

通过利用Azure广告为SSO为您'LL还具有将多个数据源组合成智能安全图的能力。此安全图使能够为Azure AD中的所有帐户提供威胁分析和实时身份保护,包括从您的本地广告中同步的帐户。通过使用集中式身份提供者,您'LL集中了安全控件,报告,警报和管理您的身份基础架构。

随着Contoso运输与Azure广告集成了其现有的Active Directory实例,您将在整个组织中控制访问。这样做也将大大简化登录电子邮件和Office 365文档的能力,而无需重新认证。

多因素身份验证

多因素身份验证(MFA)通过需要两个或多个元素来为您的身份提供完整身份验证,为您的身份提供额外的安全性。这些元素分为三类:

  • 你知道的东西
  • 你拥有的东西
  • 你是的东西

你知道的东西 将是一个密码或安全问题的答案。 你拥有的东西 可以是一个移动应用程序,接收通知或令牌生成设备。 你是的东西 通常是某种一些生物识别性质,例如在许多移动设备上使用的指纹或面部扫描。

使用MFA通过限制凭证曝光的影响来提高您身份的安全性。拥有用户的攻击者'S密码还需要拥有他们的手机或其安全令牌生成器以完全验证。仅验证单个因素的身份验证不足,攻击者无法仅使用这些凭据进行身份验证。这带来安全的好处是巨大的,我们可以't强调有可能在可能的情况下启用MFA的重要性。

Azure. AD具有内置的MFA功能,并将与其他第三方MFA提供商集成。 MFA应在Azure广告中全局管理员角色中的用户使用,因为这些是高度敏感的帐户。所有其他帐户也可以启用MFA。

对于COTSOSO运输,您可以在用户从非域连接的计算机中登录的任何时候启用MFA - 其中包括移动应用程序使用。

为服务提供身份

It'通常对服务有价值的人来说是有价值的。通常,并反对最佳实践,凭据信息嵌入在配置文件中。在这些配置文件周围没有安全性,任何都可以访问系统或存储库的任何人都可以访问这些凭据和风险曝光。

Azure. AD通过两种方法解决了这个问题:Service Principals和Azure Services的托管身份。

服务校长

了解服务校长,它'首先要了解这些词很有用 身份  主要的,因为如何在身份管理世界中使用它们。

一个 身份 只是可以通过身份验证的事情。显然,这包括具有用户名和密码的用户,但它还可以包括应用程序或其他服务器,其可能与密钥或证书进行身份验证。

A 主要的 是一种具有某些角色或权利要求的身份。通常,考虑身份和本金单独考虑,而是想到使用'sudo'在Linux或Windows上的Bash提示符上"以管理员身份运行。"在这两个案例中,您仍然以前身份登录,但您've更改了您正在执行的角色。团体通常也被认为是校长,因为它们可以分配权利。

A 服务校长 是服务或应用程序使用的身份。和其他身份一样,它可以分配角色。

atzure服务的托管身份

服务校长的创建可能是一个繁琐的过程,并且有很多触摸点可以使它们保持困难。 Azure Services的管理身份更容易,并将为您做大部分工作。

可以立即为支持IT的Azure服务创建托管标识 - 并且列表不断增长。当您为服务创建托管标识时,您正在为组织创建一个帐户'S Active Directory(特定组织's Active Directory实例被称为"Active Directory租户")。 Azure基础架构将自动处理验证服务并管理帐户。然后,您可以像任何其他Azure AD帐户一样使用该帐户,包括允许经过身份验证的服务安全访问其他Azure资源。

基于角色的访问控制

角色是权限集,如"Read-only" or "Contributor",可以授予用户访问Azure服务实例。

直接或通过组成员资格映射身份。分离安全主体,访问权限和资源提供简单的访问管理和细粒度控制。管理员能够确保授予最低必要的权限。

可以在单个服务实例级别授予角色,但它们也流下了Azure资源管理器层次结构。

这里'■显示这种关系的图。在更高的范围内分配的角色,如整个订阅,由儿童范围继承,如服务实例。

显示在管理组的基于角色的访问的分层表示的例证在管理组上方的资源组以上资源上的资源组的订阅中开始。

特权身份管理

除了管理基于角色的访问控制(RBAC)的Azure资源访问之外,还应该考虑综合对基础设施保护的方法,包括在其组织的变化和演变中作为角色成员的持续审计。 Azure AD特权身份管理(PIM)是一个额外的付费提供,可提供角色分配,自助服务和立即角色激活和Azure AD和Azure资源访问评论的监督。

Azure. Portal的屏幕截图,显示了具有目录激活,用户和角色图形的特权标识管理仪表板。

概括

身份允许我们维护安全外围,即使在我们的物理控制之外。通过单一登录和适当的基于角色的访问配置,我们可以始终确定谁能够看到和操纵我们的数据和基础架构。

分享: