本文為洋蔥創始人兼ceo,前dnspod創始人吳洪聲應邀參加第二屆烏雲白帽大會時,在企業安全專場進行的專題演講內容實錄。
眾所周知,近年來雲服務市場異常火熱,越來越多的企業開始嘗試雲服務,並且體會到雲計算帶來的便捷和成本優勢。然而使用雲服務的同時也可能會帶來各種各樣的問題,尤其是在初期。比如,當企業使用雲服務時,員工會有各種各樣的外部**賬號。乙個雲服務賬號登入了,企業卻不知道到底是員工本人在登入,還是黑客冒充登入,甚至可能只是乙個惡意木馬,密碼體系從來只匹配賬號密碼是否匹配,從來不關心背後的人。
雲服務意味著企業的防禦邊界也將不斷向外擴張,在這種情況下企業如何做好身份認證,以應對越來越複雜的身份環境?今天我就來和大家一起討論這個問題。
身份認證,舉足輕重卻漏洞百出
首先我們來看一組資料,gartner在前不久發布的《2023年企業安全趨勢報告》中提到了今年企業面臨安全問題的5個核心領域,其中身份認證就在其中佔乙個很重要的位置。但是現實中的身份認證形勢卻不容樂觀,根據《verizon 2016資料洩露報告》中的資料統計,有超過一半的企業網路安全事故和身份認證憑據盜用有關。我們平時上烏雲網也會看到,10個漏洞裡面,起碼有一半和和員工弱口令、賬戶體系控制不嚴等相關。
問題太普遍以至於大家都習以為常了,很多人歸結為員工自身安全意識不足,常常草草了事,出了問題就讓員工改複雜密碼,改完就當問題解決了,下一次繼續出現同樣的問題,再繼續整改,如此往復。員工和賬戶管理員也在一次次的整改中不厭其煩的改密碼,改密碼。
有的企業會用賬號密碼的限制策略,一些注重賬號安全的企業常常會採用otp(一次性密碼)、手機簡訊等認證方式來替代賬號密碼或作為二次認證措施。我認識的乙個朋友所在的企業,就曾為大部分員工配備了一次性動態令牌硬體,以保證安全性。這些方法有一定成效,但也存在種種弊端,比如成本昂貴、使用不便等。
目前成體系的解決方案主要有4a和iam,在國內傳統企業來說,大家都認4a,但是在國外使用更多的是iam方案,iam算是比4a更先進的企業身份認證解決方案,所有也被稱為「大4a」,但其實從本質上看來,兩者相差無幾,都是把內部的多個系統進行集中授權和管理,配備乙個強身份認證手段,根據不同使用者的不同身份來分配對應的許可權。近年大資料分析興起,因此在iam 的方案中,越來越多地開始採用大資料分析進行使用者行為審計,判斷使用者身份的真實性。
防禦邊界正消失,身份無處不在
本地部署的4a方案和 iam方案 固然能解決內部許可權的認證和管理問題,但越來越多的企業都在往雲上遷移,比如在國外經常用的saleforce、國內用的比較多的釘釘、紛享銷客等等,企業邊界正在不斷弱化,身份關係變得更加複雜,原本圍牆式的防禦措施正在逐漸失效,本地部署的iam也顯得捉襟見肘,很多地方顧及不到。
一旦上了雲,員工在使用外部服務時,企業再也無法像管理內部應用一樣管理員工的賬號,無法再要求使用複雜密碼或定期修改,無法得知登入者是員工本人,還是他人,甚至是惡意木馬在登入,這些都無從得知,因為傳統的認證方式只認憑據而不認人。
所以越來越多的企業乾脆弱化內外網的概念,比如 google 公司就已經不再區分內網外網。傳統的防禦方式被形容為「硬殼軟糖」,外表看起來很堅固,咬破之後裡面很美味,這種觀點如今已經得到大部分人的認可,區分內外網的做法下,一旦攻擊者突破邊界就幾乎可以為所欲為,非常危險。身份認證也是如此,以往員工只需要登入內部應用,將核心的內容和日常內容進行隔離就可以大致保證安全,如今身份認證無處不在,在內部,在雲服務,在移動應用等等。
在去掉邊界的情況下,新的問題就會不斷產生,企業也會不斷產生更多的身份認證需求。既然內外網不再區分,內部身份和外部身份錯綜複雜,這時把內部外部的身份打通,實現統一管理就成了新的強需求。
於是,在身份無處不在的情況下,產生了一種新的身份認證模式——idaas 身份即服務,目前這種模式在國外也已經十分火熱,被看做是未來身份認證的發展方向之一。
所謂 idaas,把驗證作為乙個雲服務提出來,整個架設在雲上,把企業內外部的身份認證打通。會有專門的身份認證服務商來提供相應的服務,企業只需要把身份認證委派給雲身份提供商即可。
接入idaas服務之後,員工入職時,只需要給員工登記一次身份資訊以後,不管是在內網的oa系統、wifi、vpn等系統還是外部使用的saas、paas服務,甚至外部**的身份認證、賬號全部由idaas來提供。
由於身份認證服務自身就放在雲上,因此無論是內部員工、還是外部的合作夥伴、子公司甚至顧客,無論他們使用的是什麼裝置,身在何處,無論他們訪問的是內部系統還是外部的雲服務,都可以做到統一的認證。
身份認證的發展時期
在gartner 整理的身份認證解決方案的技術成熟度曲線圖中,idaas剛過了乙個頂峰期,所謂頂峰期就是早期公眾的過分關注,**大力鼓吹演繹出了一系列成功的創業故事(當然同時也有眾多失敗的例子)。在國外idaas剛經歷過這麼一段時期,在這之後就會進入乙個相對成熟穩定的發展階段。
而在國內,目前由於雲服務尚且處於快速發展階段,環境還不夠成熟,所以idaas的方案在國內幾乎很少見到,但相信以後隨著企業越來越多的使用雲服務,這一趨勢也將在國內出現。
密碼使用率降低,手機認證成為主流
前面我們提到了gartner發布的《2016企業安全趨勢報告》,其中有兩個關於身份認證的**,其一是:到2023年,40%企業的內部iam方案會被企業idaas取代,越來越多的企業會採用idaas作為身份認證的解決方案。另乙個則是:在許多場景下,密碼口令的認證方式的使用率將會大幅降低,其他新型的識別技術將取而代之。
在未來的2~5年,賬號密碼的使用率將大幅降低,而手機作為一種認證工具的做法將成為主流。因為手機硬體已經可以支援多種生物識別技術,同時還可以通過網路環境、裝置指紋、位置資訊等內容進行大資料風控,和單一的硬體令牌相比,安全性更高也更可控。
在眾多基於手機的認證方式中,最被看好的就是oob模式(out of band),oob模式就是我們常說的旁路通道部署。我們常用的簡訊認證就是oob的原理,用另乙個通道來實施身份認證。和傳統的6位數動態驗證碼的otp模式(one time password)相比,簡訊以及推送驗證的使用體驗更好,同時還可以結合多種生物識別方式和大資料風控來增強安全性。而且,由於通過另乙個通道來實施驗證,也避免整個通道中的中間人劫持等高風險行為。,因此未來手機otp將會逐漸被oob模式替代。
隨著手機硬體的公升級,公鑰令牌的認證方式也會逐漸的到推廣,所謂公鑰令牌就是在手機裡內建乙個認證的key,然後通過nfc等方式來實施認證,但是這種方式尚未普及,所以這裡不進行詳細講解。
iot 物聯網的身份認證
隨著物聯網的發展,iot的身份認證的身份認證因為將成為企業面臨的問題,
當企業採用越來越多的智慧型裝置,比如智慧型冰箱,空調時,企業又如何對這些裝置進行統一的身份認證和統一管理,如何防止他人冒用身份攻擊企業的智慧型設施,如何確保只有授權的人才能使用正確的裝置,這些問題都需要得到解決。
如今所有的智慧型裝置廠商也是自稱一派,各自有各自的賬號體系,但是對於使用者來說,無法做到統一的認證和管理。那麼在未來idaas也會進入iot的領域,實現乙個以人為中心的驗證,每個人都可以有乙個唯一的id,當他在企業中,企業可以定義他擁有哪些許可權,得到有效的管控。
總之,隨著雲計算的普及,基於雲的身份認證方案在未來將大行其道,幫助企業和物聯網實現跨越邊界的統一身份認證和管理。目前絕大部分分主流的提供身份服務的廠商都有自己的雲身份服務,但國內還存在較大的空白,這也是我創辦洋蔥的原因,希望能通過創新,幫助企業實現簡單、安全的認證和統一的身份管理。
雲計算時代企業的身份認同
從去年開始,資訊行業被炒得最熱的莫過於雲計算,如今雲計算的火爆程度已經不亞於當年網際網路剛剛興起時人們對其的狂熱追捧程度了。可以說,現在只要是與資訊有點聯絡的企業,都希望自己的產品或服務能和雲計算掛鉤並從中分得一杯羹。雲計算儼然已經成為一副能包治企業百病的靈丹妙藥。但是,就像當初網際網路泡沫被吹大而...
雲ERP系統選擇哪家好?中小企業上雲趨勢
我國企業上雲步伐明顯加快。此前,工信部發布 推動企業上雲實施指南 2018 2020年 提出,到2020年,行業企業上雲比例和應用深度顯著提公升,雲計算在企業生產 經營 管理中的應用廣泛普及,全國新增上雲企業100萬家,形成典型標桿應用案例100個以上,出現一批有影響力 帶動力的雲平台和企業上雲體驗...
企業上雲的正確姿勢
企業的發展是由企業架構決定的,it架構或者企業資訊化是企業架構的一部分,it資訊化建設對企業的業務 戰略發展起到重要的推動作用,這一點在新興行業尤為突出,對於傳統企業來說,新政策 新技術 新模式 新業態的出現,都會推動其發展,受到了雲計算和大資料的影響,近期企業上雲一詞頗火,霎時間許多雲服務商帶著雲...