Identitás használata szolgáltatásplatformként

Szinte minden felhőalkalmazásnak felhasználói identitásokkal kell dolgoznia. Az identitás a modern biztonsági eljárások, például a nulla megbízhatóság alapja, és az alkalmazások felhasználói identitása kritikus része a megoldás architektúrájának.

A legtöbb megoldás esetében határozottan javasoljuk, hogy használjon identitásszolgáltatásként (IDaaS) platformot, amely egy speciális szolgáltató által üzemeltetett és felügyelt identitásmegoldás, ahelyett, hogy a sajátját építi vagy üzemelteti. Ebben a cikkben a saját identitásrendszer kiépítésének vagy futtatásának kihívásait ismertetjük.

Ajánlások

Fontos

Az IDaaS,például a Microsoft Entra ID, az Azure AD B2C vagy más hasonló rendszer használatával számos, ebben a cikkben ismertetett problémát elháríthat. Ezt a megközelítést javasoljuk, ahol csak lehetséges.

A megoldási követelmények miatt előfordulhat, hogy egy keretrendszert vagy egy nem megfelelő identitásmegoldást használ, amelyet saját maga üzemeltet és futtat. Bár egy előre összeállított identitásplatform használata enyhíti a cikkben ismertetett problémák némelyikét, a problémák nagy részének kezelése továbbra is az Ön felelőssége egy ilyen megoldással.

Ne használjon teljesen új identitásrendszert.

A hitelesítő adatok tárolásának elkerülése

Saját identitásrendszer futtatásakor egy hitelesítőadat-adatbázist kell tárolnia.

A hitelesítő adatokat soha nem szabad tiszta szövegben vagy titkosított adatként tárolni. Ehelyett megfontolhatja a kriptográfiai kivonatolást és a hitelesítő adatok sózását a tárolás előtt, ami megnehezíti a támadást. A kivonatolt és sózott hitelesítő adatok azonban többféle támadással szemben is sebezhetők.

Függetlenül attól, hogy hogyan védi az egyes hitelesítő adatokat, a hitelesítő adatok adatbázisának fenntartása támadások célpontja. Az elmúlt évek azt mutatták, hogy mind a nagy, mind a kis szervezetek hitelesítőadatbázisa támadásra irányult.

A hitelesítő adatok tárolását tekintsük felelősségnek, nem pedig eszköznek. Az IDaaS használatával kiszervezheti a hitelesítő adatok tárolásának problémáját olyan szakértőknek, akik időt és erőforrásokat fektethetnek be a hitelesítő adatok biztonságos kezeléséhez.

Identitás- és összevonási protokollok implementálása

A modern identitásprotokollok összetettek. Az iparági szakértők úgy tervezték meg az OAuth 2-t, az OpenID Connectet és más protokollokat, hogy azok enyhítsék a valós támadásokat és biztonsági réseket. A protokollok a technológiák, a támadási stratégiák és a felhasználói elvárások változásaihoz való igazodás érdekében is fejlődnek. Az identitásszakértők, a protokollokkal és azok használatával kapcsolatos szakértelemmel a legjobb helyzetben vannak az ezen protokollokat követő rendszerek implementálásához és érvényesítéséhez. További információ a protokollokról és a platformról: OAuth 2.0 és OpenID Connect (OIDC) a Microsoft Identitásplatform.

Az identitásrendszerek összevonása is gyakori. Az identitás-összevonási protokollok létrehozása, kezelése és karbantartása összetett, és speciális tudást és tapasztalatot igényelnek. Az IDaaS-szolgáltatók általában összevonási képességeket biztosítanak a termékeikben a használathoz. Az összevonással kapcsolatos további információkért tekintse meg az összevont identitásmintát.

Modern identitásfunkciók bevezetése

A felhasználók azt várják, hogy az identitásrendszer számos speciális funkcióval rendelkezik, például:

• Jelszó nélküli hitelesítés, amely biztonságos megközelítéseket használ a bejelentkezéshez, és nem követeli meg a felhasználóktól a hitelesítő adatok megadását. A kulcsok példaként szolgálnak a jelszó nélküli hitelesítési technológiákra.

• Egyszeri bejelentkezés (SSO), amely lehetővé teszi a felhasználók számára, hogy a munkáltatójuk, iskolájuk vagy más szervezet identitásával jelentkezzenek be.

• Többtényezős hitelesítés (MFA), amely arra kéri a felhasználókat, hogy több módon hitelesítsék magukat. Előfordulhat például, hogy a felhasználó jelszóval, illetve hitelesítő alkalmazással jelentkezik be mobileszközön, vagy egy e-mailben küldött kóddal.

• Naplózás, amely nyomon követi az identitásplatformon történt összes eseményt, beleértve a sikeres, sikertelen és megszakított bejelentkezési kísérleteket. A bejelentkezési kísérlet kriminalisztikai vizsgálatához később szükség van ezekre a részletes naplókra.

• Feltételes hozzáférés, amely kockázati profilt hoz létre egy különböző tényezőkön alapuló bejelentkezési kísérlet körül. A tényezők közé tartozhat a felhasználó identitása, a bejelentkezési kísérlet helye, a korábbi bejelentkezési tevékenység, valamint a felhasználó által elérni kívánt adatok vagy alkalmazások bizalmassága.

• Igény szerinti hozzáférés-vezérlés, amely ideiglenesen lehetővé teszi a felhasználók számára, hogy jóváhagyási folyamat alapján jelentkezzenek be, majd automatikusan eltávolítják az engedélyezést.

Ha saját maga készít identitásösszetevőt az üzleti megoldás részeként, nem valószínű, hogy meg tudja indokolni a funkciók megvalósításával és fenntartásával kapcsolatos munkát. Ezen funkciók némelyike további munkát is igényel, például az üzenetkezelő szolgáltatókkal való integrációt az MFA-kódok küldéséhez, valamint az auditnaplók megfelelő ideig történő tárolását és megőrzését.

Az IDaaS-platformok továbbfejlesztett biztonsági funkciókat is biztosítanak, amelyek a kapott bejelentkezési kérelmek mennyiségén alapulnak. Az alábbi funkciók például akkor működnek a legjobban, ha nagy számú ügyfél használ egyetlen identitásplatformot:

• Kockázatos bejelentkezési események észlelése, például botnetek bejelentkezési kísérletei
• A felhasználó tevékenységei közötti lehetetlen utazás észlelése
• A gyakori hitelesítő adatok, például a más felhasználók által gyakran használt jelszavak észlelése, amelyek így fokozott biztonsági kockázatnak vannak kitéve
• Gépi tanulási technikák használata a bejelentkezési kísérletek érvényes vagy érvénytelen besorolásához
• Az úgynevezett sötét web monitorozása a kiszivárgott hitelesítő adatok esetében, és a felhasználásuk megakadályozása
• A fenyegetési környezet és a támadók által használt jelenlegi vektorok folyamatos monitorozása

Ha saját identitásrendszert hoz létre vagy futtat, nem használhatja ki ezeket a funkciókat.

Megbízható, nagy teljesítményű identitásrendszer használata

Mivel az identitásrendszerek a modern felhőalkalmazások kulcsfontosságú részei, megbízhatónak kell lenniük. Ha az identitásrendszer nem érhető el, akkor a megoldás többi része érintett lehet, és vagy csökkentett módon működik, vagy egyáltalán nem működik. Ha szolgáltatásszint-szerződéssel rendelkező IDaaS-t használ, növelheti annak megbízhatóságát, hogy identitásrendszere szükség esetén működőképes marad. A Microsoft Entra ID például egy SLA-t kínál az alapszintű és a prémium szintű szolgáltatásszintek üzemidejéhez, amely a bejelentkezési és a jogkivonat-kiállítási folyamatokat egyaránt lefedi. További információ: Szolgáltatásiszint-szerződések (SLA) az online szolgáltatásokhoz.

Hasonlóképpen, az identitásrendszernek jól kell teljesítenie, és képesnek kell lennie a rendszer által tapasztalt növekedés szintjére skálázni. Az alkalmazásarchitektúrától függően előfordulhat, hogy minden kéréshez interakcióra lehet szükség az identitásrendszerrel, és a teljesítményproblémák nyilvánvalóvá válnak a felhasználók számára. Az IDaaS-szolgáltatókat arra ösztönözték, hogy skálázhassák platformjaikat a nagy felhasználói terhelések kiszolgálása érdekében. Nagy mennyiségű forgalmat képesek elnyelni, beleértve a különböző támadások által generált forgalmat is.

A biztonság tesztelése és szigorú vezérlők alkalmazása

Ha identitásrendszert futtat, az Ön felelőssége, hogy biztonságos legyen. Példák az implementálást megfontolandó vezérlőkre:

• Rendszeres behatolástesztelés, amely speciális szakértelmet igényel.
• A rendszerhez hozzáféréssel rendelkező alkalmazottak és bárki más átvizsgálása.
• A megoldás minden módosításának szigorú ellenőrzése a szakértők által áttekintett összes módosítással.

Ezek a vezérlők gyakran költségesek és nehezen implementálódnak.

Natív felhőbeli biztonsági vezérlők használata

Ha a Microsoft Entra ID-t használja a megoldás identitásszolgáltatójaként, kihasználhatja a natív felhőbeli biztonsági funkciókat, például az Azure-erőforrások felügyelt identitásait.

Ha külön identitásplatformot használ, érdemes megfontolnia, hogy az alkalmazás hogyan használhatja ki a felügyelt identitásokat és más Microsoft Entra-funkciókat, miközben egyidejűleg integrálható a saját identitásplatformjával.

Összpontosítson az alapértékre

Költséges és összetett egy biztonságos, megbízható és rugalmas identitásplatform fenntartása. A legtöbb esetben az identitásrendszer nem olyan összetevő, amely értéket ad a megoldáshoz, vagy amely megkülönbözteti Önt a versenytársaktól. Érdemes kiszervezni az identitásigényeket egy szakértők által létrehozott rendszerre. Így a megoldás olyan összetevőinek tervezésére és összeállítására összpontosíthat, amelyek üzleti értéket adnak az ügyfelek számára.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• John Downs | Fő szoftvermérnök

Egyéb közreműködők:

• Jelle Druyts | Az Azure-hoz készült FastTrack vezető ügyfélmérnöke
• LaBrina Loving | Az Azure-hoz készült FastTrack vezető ügyfélmérnöke
• Gary Moore | Programozó/író
• Arsen Vladimirskiy | Az Azure-hoz készült FastTrack vezető ügyfélmérnöke

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

• Mi a Microsoft Entra-azonosító?
• Mi az az Azure Active Directory B2C?
• Az identitás és a Microsoft Entra-azonosító felfedezése
• Identitásbiztonsági stratégia tervezése
• Microsoft-identitás implementálása
• Identitás és hozzáférés kezelése a Microsoft Entra-azonosítóban

Kapcsolódó erőforrások

• Hitelesítés a Microsoft Entra ID és az OpenID Connect használatával
• Összevont identitásminta
• Hibrid identitás
• Identitásarchitektúra tervezése
• Rugalmas identitás- és hozzáférés-kezelés a Microsoft Entra-azonosítóval