Menggunakan platform Identity as a Service
Hampir setiap aplikasi cloud perlu bekerja dengan identitas pengguna. Identitas adalah dasar praktik keamanan modern seperti nol kepercayaan, dan identitas pengguna untuk aplikasi adalah bagian penting dari arsitektur solusi Anda.
Untuk sebagian besar solusi, kami sangat menyarankan untuk menggunakan platform identitas sebagai layanan (IDaaS), yang merupakan solusi identitas yang dihosting dan dikelola oleh penyedia khusus, alih-alih membangun atau mengoperasikan milik Anda sendiri. Dalam artikel ini, kami menjelaskan tantangan membangun atau menjalankan sistem identitas Anda sendiri.
Rekomendasi
Penting
Dengan menggunakan IDaaS, seperti MICROSOFT Entra ID, Azure AD B2C, atau sistem serupa lainnya, Anda dapat mengurangi banyak masalah yang dijelaskan dalam artikel ini. Kami merekomendasikan pendekatan ini sedapat mungkin.
Persyaratan solusi Anda dapat mengarahkan Anda untuk menggunakan kerangka kerja atau solusi identitas off-the-shelf yang Anda host dan jalankan sendiri. Saat menggunakan platform identitas bawaan mengurangi beberapa masalah yang dijelaskan dalam artikel ini, menangani banyak masalah ini masih menjadi tanggung jawab Anda dengan solusi seperti itu.
Anda harus menghindari penggunaan sistem identitas yang Anda buat dari awal.
Hindari menyimpan kredensial
Saat Anda menjalankan sistem identitas Anda sendiri, Anda harus menyimpan database kredensial.
Anda tidak boleh menyimpan kredensial dalam teks yang jelas, atau bahkan sebagai data terenkripsi. Sebagai gantinya, Anda mungkin mempertimbangkan hashing kriptografis dan salting kredensial sebelum menyimpannya, yang membuatnya lebih sulit untuk diserang. Namun, bahkan kredensial hash dan asin rentan terhadap beberapa jenis serangan.
Terlepas dari bagaimana Anda melindungi kredensial individu, mempertahankan database kredensial menjadikan Anda target serangan. Beberapa tahun terakhir telah menunjukkan bahwa organisasi besar dan kecil telah memiliki database info masuk mereka yang ditargetkan untuk serangan.
Pertimbangkan penyimpanan kredensial sebagai kewajiban, bukan aset. Dengan menggunakan IDaaS, Anda mengalihdayakan masalah penyimpanan kredensial kepada para ahli yang dapat menginvestasikan waktu dan sumber daya dalam mengelola kredensial dengan aman.
Menerapkan protokol identitas dan federasi
Protokol identitas modern bersifat kompleks. Pakar industri telah merancang OAuth 2, OpenID Connect, dan protokol lainnya untuk memastikan bahwa mereka mengurangi serangan dan kerentanan dunia nyata. Protokol juga berkembang untuk beradaptasi dengan perubahan teknologi, strategi serangan, dan harapan pengguna. Spesialis identitas, dengan keahlian dalam protokol dan bagaimana mereka digunakan, berada dalam posisi terbaik untuk menerapkan dan memvalidasi sistem yang mengikuti protokol ini. Untuk informasi selengkapnya tentang protokol dan platform, lihat OAuth 2.0 dan OpenID Connect (OIDC) di platform identitas Microsoft.
Ini juga umum untuk menggabungkan sistem identitas. Protokol federasi identitas kompleks untuk membangun, mengelola, dan memelihara, dan membutuhkan pengetahuan dan pengalaman spesialis. Penyedia IDaaS biasanya menyediakan kemampuan federasi dalam produk mereka untuk Anda gunakan. Untuk informasi selengkapnya tentang federasi, lihat pola identitas Federasi.
Mengadopsi fitur identitas modern
Pengguna mengharapkan sistem identitas memiliki berbagai fitur canggih, termasuk:
Autentikasi tanpa kata sandi, yang menggunakan pendekatan aman untuk masuk yang tidak mengharuskan pengguna memasukkan kredensial. Kode akses adalah contoh teknologi autentikasi tanpa kata sandi.
Akses menyeluruh (SSO), yang memungkinkan pengguna untuk masuk dengan menggunakan identitas dari majikan, sekolah, atau organisasi lain mereka.
Autentikasi multifaktor (MFA), yang meminta pengguna untuk mengautentikasi diri mereka sendiri dengan berbagai cara. Misalnya, pengguna mungkin masuk dengan menggunakan kata sandi dan juga dengan menggunakan aplikasi pengautentikasi di perangkat seluler atau kode yang dikirim melalui email.
Audit, yang melacak setiap peristiwa yang terjadi di platform identitas, termasuk upaya masuk yang berhasil, gagal, dan dibatalkan. Pemeriksaan forensik dari upaya masuk nanti memerlukan log terperinci ini.
Akses bersyarat, yang membuat profil risiko sekeliling upaya masuk yang didasarkan pada berbagai faktor. Faktor-faktor mungkin termasuk identitas pengguna, lokasi upaya masuk, aktivitas masuk sebelumnya, dan sensitivitas data atau aplikasi yang coba diakses pengguna.
Kontrol akses just-in-time, yang sementara memungkinkan pengguna untuk masuk berdasarkan proses persetujuan, lalu menghapus otorisasi secara otomatis.
Jika Anda membangun komponen identitas sendiri sebagai bagian dari solusi bisnis Anda, tidak mungkin Anda akan dapat membenarkan pekerjaan yang terlibat dalam menerapkan fitur-fitur iniādan dalam mempertahankannya. Beberapa fitur ini juga memerlukan pekerjaan ekstra, seperti integrasi dengan penyedia olahpesan untuk mengirim kode MFA, dan menyimpan dan menyimpan log audit untuk jangka waktu yang memadai.
Platform IDaaS juga dapat menyediakan serangkaian fitur keamanan yang ditingkatkan yang didasarkan pada volume permintaan masuk yang mereka terima. Misalnya, fitur berikut berfungsi paling baik ketika ada sejumlah besar pelanggan yang menggunakan platform identitas tunggal:
- Deteksi peristiwa masuk berisiko, seperti upaya masuk dari botnet
- Deteksi perjalanan yang tidak mungkin antara aktivitas pengguna
- Deteksi kredensial umum, seperti kata sandi yang sering digunakan oleh pengguna lain, yang oleh karena itu tunduk pada risiko kompromi yang tinggi
- Penggunaan teknik pembelajaran mesin untuk mengklasifikasikan upaya masuk sebagai valid atau tidak valid
- Pemantauan apa yang disebut web gelap untuk kredensial yang bocor dan mencegah eksploitasi mereka
- Pemantauan lanskap ancaman yang sedang berlangsung dan vektor saat ini yang digunakan penyerang
Jika Anda membangun atau menjalankan sistem identitas Anda sendiri, Anda tidak dapat memanfaatkan fitur-fitur ini.
Menggunakan sistem identitas berkinerja tinggi yang andal
Karena sistem identitas adalah bagian penting dari aplikasi cloud modern, sistem identitas harus dapat diandalkan. Jika sistem identitas Anda tidak tersedia, maka solusi lainnya mungkin terpengaruh dan beroperasi dengan cara yang terdegradasi atau gagal beroperasi sama sekali. Dengan menggunakan IDaaS dengan perjanjian tingkat layanan, Anda dapat meningkatkan keyakinan bahwa sistem identitas Anda akan tetap beroperasi ketika Anda membutuhkannya. Misalnya, MICROSOFT Entra ID menawarkan SLA untuk waktu aktif untuk tingkat layanan Dasar dan Premium, yang mencakup proses masuk dan penerbitan token. Untuk informasi selengkapnya, lihat Perjanjian Tingkat Layanan (SLA) untuk Layanan Online.
Demikian pula, sistem identitas harus berkinerja baik dan dapat menskalakan ke tingkat pertumbuhan yang mungkin dialami sistem Anda. Bergantung pada arsitektur aplikasi Anda, ada kemungkinan bahwa setiap permintaan mungkin memerlukan interaksi dengan sistem identitas Anda, dan masalah performa apa pun akan terlihat oleh pengguna Anda. Penyedia IDaaS diinsentifkan untuk menskalakan platform mereka untuk mengakomodasi beban pengguna besar. Mereka dirancang untuk menyerap lalu lintas dalam volume besar, termasuk lalu lintas yang dihasilkan oleh berbagai bentuk serangan.
Menguji keamanan Anda dan menerapkan kontrol ketat
Jika Anda menjalankan sistem identitas, Anda bertanggung jawab untuk menjaganya tetap aman. Contoh kontrol yang perlu Anda pertimbangkan untuk diterapkan meliputi:
- Pengujian penetrasi berkala, yang membutuhkan keahlian khusus.
- Mem-veting karyawan dan orang lain dengan akses ke sistem.
- Kontrol ketat semua perubahan pada solusi Anda dengan semua perubahan yang ditinjau oleh para ahli.
Kontrol ini seringkali mahal dan sulit diimplementasikan.
Menggunakan kontrol keamanan cloud-native
Saat Anda menggunakan ID Microsoft Entra sebagai idP solusi, Anda dapat memanfaatkan fitur keamanan cloud-native seperti identitas terkelola untuk sumber daya Azure.
Jika Anda memilih untuk menggunakan platform identitas terpisah, Anda perlu mempertimbangkan bagaimana aplikasi Anda dapat memanfaatkan identitas terkelola dan fitur Microsoft Entra lainnya sekaligus terintegrasi secara bersamaan dengan platform identitas Anda sendiri.
Fokus pada nilai inti Anda
Ini mahal dan kompleks untuk mempertahankan platform identitas yang aman, andal, dan responsif. Dalam kebanyakan situasi, sistem identitas bukanlah komponen yang menambahkan nilai ke solusi Anda, atau yang membedakan Anda dari pesaing Anda. Ada baiknya untuk mengalihdayakan persyaratan identitas Anda ke sistem yang dibangun oleh para ahli. Dengan begitu, Anda dapat fokus pada merancang dan membangun komponen solusi Anda yang menambah nilai bisnis bagi pelanggan Anda.
Kontributor
Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.
Penulis utama:
- John Downs | Insinyur Perangkat Lunak Utama
Kontributor lain:
- Jelle Druyts | Teknisi Pelanggan Utama, FastTrack untuk Azure
- LaBrina Mencintai | Manajer Teknik Pelanggan Utama, FastTrack untuk Azure
- Gary Moore | Programmer/Writer
- Arsen Vladimirskiy | Teknisi Pelanggan Utama, FastTrack untuk Azure
Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.
Langkah berikutnya
- Apa itu ID Microsoft Entra?
- Apa itu Azure Active Directory B2C?
- Menjelajahi identitas dan ID Microsoft Entra
- Merancang strategi keamanan identitas
- Menerapkan identitas Microsoft
- Mengelola identitas dan akses di ID Microsoft Entra