從身份管理到身份結(jié)構(gòu)免疫

目前的IAM（統(tǒng)一身份安全管理）方案大多獨(dú)立于需要保護(hù)的應(yīng)用程序而存在，其他應(yīng)用服務(wù)需要依賴IAM服務(wù)來獲取授權(quán)和身份驗(yàn)證信息。這種身份安全管理的模式在一定程度上發(fā)揮了作用。但是當(dāng)企業(yè)業(yè)務(wù)大量上云后，特別是在面對多家云提供商或公共云、私有云和本地化混合部署環(huán)境時(shí)，就開始顯得力不從心。而實(shí)際上，多云和混合云部署已經(jīng)成為了現(xiàn)代應(yīng)用系統(tǒng)開發(fā)的常態(tài)。

研究人員發(fā)現(xiàn)，企業(yè)脆弱的身份安全態(tài)勢往往是由其整體身份結(jié)構(gòu)中的不完整、配置錯(cuò)誤或易受攻擊的元素引起的。由于今天的應(yīng)用程序大量分布式部署，用戶、合作伙伴和客戶需要從任何地方登錄系統(tǒng)，這使得安全團(tuán)隊(duì)沒有一個(gè)易于界定的網(wǎng)絡(luò)和物理邊界來保護(hù)它們。當(dāng)現(xiàn)有的IAM解決方案不足以全面滿足組織的身份安全需求時(shí)，身份結(jié)構(gòu)免疫理念應(yīng)運(yùn)而生。

身份結(jié)構(gòu)免疫起初是一種維護(hù)企業(yè)應(yīng)用系統(tǒng)生態(tài)及其安全關(guān)系的方法。它遵循了零信任架構(gòu)的安全理念，可以用來引導(dǎo)企業(yè)從容應(yīng)對錯(cuò)綜復(fù)雜的現(xiàn)代軟件應(yīng)用安全需求。身份結(jié)構(gòu)免疫的一個(gè)核心思想就是“融合身份”，將所有的用戶身份提取到抽象層中，從而減少潛在攻擊機(jī)會，及時(shí)改進(jìn)威脅應(yīng)對和事件響應(yīng)機(jī)制，并簡化身份和訪問控制。

當(dāng)基礎(chǔ)設(shè)施復(fù)雜性開始在組織內(nèi)部帶來統(tǒng)一身份管理的挑戰(zhàn)時(shí)，身份結(jié)構(gòu)免疫所倡導(dǎo)的安全抽象層就提供了一條解決方案。身份結(jié)構(gòu)免疫中的“免疫”指系統(tǒng)結(jié)構(gòu)中固有的威脅抵抗力。集成式安全層則為實(shí)施一致的策略、持續(xù)的監(jiān)視和集中的管理創(chuàng)建了一個(gè)統(tǒng)一平臺。身份結(jié)構(gòu)旨在提供其他組件可以依賴的層。這一層始于基礎(chǔ)設(shè)施的多樣性這個(gè)前提，并使擁有不同配置文件的組件參與其中盡可能簡單。

身份結(jié)構(gòu)免疫的一個(gè)主要優(yōu)點(diǎn)就是，它為組織開展身份安全防護(hù)工作時(shí)引入了整體觀。身份結(jié)構(gòu)免疫并不是一種具體的產(chǎn)品，而是通過實(shí)施身份編排，幫助組織創(chuàng)建一個(gè)完整的身份體系結(jié)構(gòu)，從而將現(xiàn)有的IAM解決方案和各種防護(hù)產(chǎn)品整合起來。沒有身份結(jié)構(gòu)免疫這樣的整體方法，組織的CISO及安全運(yùn)營團(tuán)隊(duì)可能會永遠(yuǎn)跟在攻擊者的后面，始終很被動(dòng)的響應(yīng)攻擊。

根據(jù)研究機(jī)構(gòu)Gartner預(yù)測，到 2027 年，身份結(jié)構(gòu)免疫技術(shù)將能夠幫助企業(yè)阻止 85% 的身份安全攻擊，從而將違規(guī)的財(cái)務(wù)影響降低 80%。研究人員認(rèn)為，通過實(shí)施身份結(jié)構(gòu)免疫原則，組織不僅可以通過身份威脅和檢測響應(yīng) （ITDR）技術(shù)來保護(hù)身份結(jié)構(gòu)中的現(xiàn)有 IAM 組件，而且還可以通過合理配置來進(jìn)一步提升這些組件的實(shí)際防護(hù)能力。

身份結(jié)構(gòu)免疫應(yīng)用實(shí)踐

身份結(jié)構(gòu)免疫技術(shù)在今后幾年會變得越來越重要。不過它的建設(shè)應(yīng)用需要組織投入一定的時(shí)間和資金，因此建議企業(yè)隨著數(shù)字化業(yè)務(wù)發(fā)展的需要，分階段逐步實(shí)施。以下是身份結(jié)構(gòu)免疫應(yīng)用中的幾個(gè)關(guān)鍵角色：

• IdP（身份提供者）：身份結(jié)構(gòu)免疫方案在提供各種功能的身份驗(yàn)證服務(wù)時(shí)，必須有一個(gè)中央記錄目錄，IdP就扮演這個(gè)角色。它可以是一個(gè)數(shù)據(jù)存儲系統(tǒng)，比如輕量級目錄訪問協(xié)議（LDAP）或云IAM。組織在應(yīng)用身份結(jié)構(gòu)免疫方案時(shí)，一些原有的憑據(jù)系統(tǒng)需要遷離到獨(dú)立的數(shù)據(jù)存儲系統(tǒng)；
• API網(wǎng)關(guān)：該組件為應(yīng)用程序和身份結(jié)構(gòu)之間的安全通信提供便利。它主要是在網(wǎng)絡(luò)路由層，為各應(yīng)用程序和服務(wù)集中提供了身份編排和安全驗(yàn)證機(jī)制；
• 身份代理（IB）：它使客戶端組件更容易進(jìn)行對話以協(xié)商身份驗(yàn)證。這個(gè)組件專門用于方便ID使用者和提供者之間的初始身份驗(yàn)證交互；
• 策略引擎：該組件可以根據(jù)用戶角色、屬性和上下文（比如位置和設(shè)備）定義授權(quán)規(guī)則。與ID代理一起，它提供了高級抽象以消除基礎(chǔ)設(shè)施的不規(guī)則性；

總的來說，身份結(jié)構(gòu)免疫致力于以統(tǒng)一的、集中管理的方法來解答這些問題：應(yīng)用程序如何進(jìn)行身份驗(yàn)證和授權(quán)？用戶如何配置API并與之交互？如何創(chuàng)建和撤銷憑據(jù)？采用解答這些問題的一致框架意味著減少攻擊面，并減少系統(tǒng)中的復(fù)雜謎團(tuán)。企業(yè)規(guī)模越大，越難以通盤考慮這些因素，這時(shí)采用分階段模型或成熟度模型來考慮就很有用。

為了幫助讀者對身份結(jié)構(gòu)免疫概念有更直觀的了解，以下介紹了一個(gè)典型應(yīng)用場景：有一個(gè)暴露API并實(shí)施業(yè)務(wù)邏輯的后端（可能是Java、.Net或NodeJS），具體的堆棧并不重要。它與某處的身份存儲系統(tǒng)進(jìn)行通信，安全方面接受憑據(jù)（可能是用戶名/密碼），并對其進(jìn)行驗(yàn)證。一旦成功，某種令牌被添加到用戶會話中?？梢酝ㄟ^多種方式處理令牌，比如通過cookie或請求頭。

而后端組件需要通過以下步驟才能進(jìn)入到身份結(jié)構(gòu)免疫架構(gòu)中：

• 把它放在API網(wǎng)關(guān)后面?？蛻魴C(jī)請求現(xiàn)在被發(fā)送到API網(wǎng)關(guān)，API網(wǎng)關(guān)負(fù)責(zé)身份驗(yàn)證，還可能負(fù)責(zé)授權(quán)。
• 在獨(dú)立身份提供者上托管用戶憑據(jù)。這可以通過兩種基本方式來處理：將現(xiàn)有憑據(jù)遷移到IdP，或者要求用戶在新的IdP上重新注冊。
• API網(wǎng)關(guān)現(xiàn)在與IdP通信，建議提供用戶憑據(jù)，并接收授權(quán)令牌，可能是JWT（JSON web令牌），最好是通過OIDC之類的標(biāo)準(zhǔn)協(xié)議完成。
• 用戶通過身份驗(yàn)證后，根據(jù)令牌判斷進(jìn)一步的請求。JWT之類的令牌可能保存用戶聲明（比如角色），隨后根據(jù)該信息，借助API網(wǎng)關(guān)和IdP進(jìn)行授權(quán)處理，其他組件則可以看作是相應(yīng)的變體。

參考鏈接：https://www.csoonline.com/article/2077860/what-is-identity-fabric-immunity-abstracting-identity-for-better-security.html