使用完全受控識別服務平臺

  • 發行項

幾乎每個雲端應用程式都需要使用使用者身分識別。 身分識別是新式安全性做法的基礎,例如 零信任 ,而應用程式的使用者身分識別是解決方案架構的重要部分。

對於大部分的解決方案,我們強烈建議使用身分識別即服務 (IDaaS) 平臺、完全受控的身分識別解決方案,而不是自行建置或操作。 在本文中,我們會說明建置或執行您自己的身分識別系統的挑戰。

建議

重要

藉由使用 IDaaS,例如 Microsoft Entra ID、Azure AD B2C 或其他類似的系統,您可以減輕本文所述的許多問題。 建議您盡可能使用此方法。

您的解決方案需求可能會引導您使用裝載並自行執行的架構或現成身分識別解決方案。 雖然使用預先建置的身分識別平臺可減輕本文中所述的一些問題,但處理這些問題中的許多問題仍由您負責處理這類解決方案。

您應該避免使用從頭開始建置的身分識別系統。

避免儲存認證

當您執行自己的身分識別系統時,您必須儲存認證資料庫。 您絕對不應該將認證儲存在純文字中,或甚至儲存為加密的資料。

相反地,您可能會在儲存認證之前先考慮密碼編譯雜湊和鹽化認證,這會使它們更容易受到攻擊。 不過,即使是雜湊和鹽化認證也容易受到數種類型的攻擊。

無論您如何保護個別認證,維護認證資料庫都會讓您成為攻擊的目標。 近年來顯示,大型和小型組織都有其認證資料庫,其目標為攻擊。

請考慮將認證儲存體視為責任,而不是資產。 藉由使用 IDaaS,您可以將認證儲存問題外包給可以投資時間和資源以安全地管理認證的專家。

實作身分識別和同盟通訊協定

新式身分識別通訊協定很複雜。 業界專家設計了 OAuth 2、OpenID 連線和其他通訊協定,以確保其可降低真實世界攻擊和弱點。 這些通訊協定也會隨著技術、攻擊策略和使用者期望的變化而演進。 身分識別專家具備通訊協定的專業知識及其使用方式,最適合實作及驗證遵循這些通訊協定的系統。 如需通訊協定和平臺的詳細資訊,請參閱 Microsoft 身分識別平臺 中的 OAuth 2.0 和 OpenID 連線 (OIDC)。

同盟身分識別系統也是常見的。 身分識別同盟通訊協定很複雜,可建立、管理和維護,而且需要專業知識和經驗。 如需詳細資訊,請參閱 同盟身分識別模式

採用新式身分識別功能

使用者預期身分識別系統具有一系列進階功能,包括:

  • 無密碼驗證,其會使用安全方法來登入,而不需要使用者輸入認證。

  • 單一登入 (SSO),可讓使用者使用雇主、學校或其他組織的身分識別進行登入。

  • 多重要素驗證 (MFA),可提示使用者以多種方式自行驗證。 例如,使用者可能會使用密碼登入,也可以在行動裝置上使用驗證器應用程式,或是透過電子郵件傳送的程式碼。

  • 稽核會追蹤身分識別平臺中發生的每個事件,包括成功、失敗和中止的登入嘗試。 若要在稍後以鑒識方式分析登入嘗試,可能需要詳細的記錄。

  • 條件式存取,其會根據各種因素,在登入嘗試周圍建立風險設定檔。 這些因素可能包括使用者的身分識別、登入嘗試的位置、先前的登入活動,以及資料或應用程式的敏感度。

  • Just-In-Time 存取控制,可暫時允許使用者根據核准程式登入,然後自動移除授權。

如果您要自行建置身分識別元件作為商務解決方案的一部分,您不太可能能夠證明實作這些功能以及維護這些功能所涉及的工作合理性。 其中一些功能也需要額外的工作,例如與傳訊提供者整合以傳送 MFA 代碼,以及儲存和保留稽核記錄一段時間。

IDaaS 平臺也可以根據他們收到的登入要求量,提供一組改良的安全性功能。 例如,當有大量客戶使用單一身分識別平臺時,下列功能最能運作:

  • 偵測有風險的登入事件,例如從歹屍網路登入嘗試
  • 偵測使用者活動之間不可能的移動
  • 偵測常見的認證,例如其他使用者經常使用的密碼,因此會受到危害風險的提高
  • 使用機器學習技術將登入嘗試分類為有效或無效
  • 監視所謂的 深色網路 ,以取得洩漏的認證並防止其惡意探索
  • 持續監視威脅環境,以及攻擊者所使用的目前向量

如果您建置或執行自己的身分識別系統,就無法利用這些功能。

使用可靠且高效能的身分識別系統

由於身分識別系統是新式雲端應用程式的重要部分,因此它們必須可靠。 如果您的身分識別系統無法使用,則解決方案的其餘部分可能會受到影響,並以降級的方式運作,或完全無法運作。 藉由搭配服務等級協定使用 IDaaS,您可以增加身分識別系統在需要時仍可運作的信心。 例如,Microsoft Entra ID 提供基本和進階版服務層級運作時間的 SLA,涵蓋登入和權杖發行程式。 如需詳細資訊,請參閱 Microsoft Entra ID 的 SLA。

同樣地,身分識別系統必須執行良好,而且能夠調整到系統可能會遇到的成長層級。 視您的應用程式架構而定,每個要求都可能需要與您的身分識別系統互動,而且您的使用者可能會發現任何效能問題。 IDaaS 系統會受到激勵,以調整為大型使用者負載。 其設計目的是要吸收大量的流量,包括由不同形式的攻擊所產生的流量。

測試您的安全性並套用嚴格的控制項

如果您執行身分識別系統,您必須負責保護它。 您需要考慮實作的控制項範例包括:

  • 定期滲透測試,這需要特殊專業知識。
  • 審查具有系統存取權的員工和其他人。
  • 透過專家檢閱的所有變更,嚴格控制解決方案的所有變更。

這些控制項通常昂貴且難以實作。

使用雲端原生安全性控制項

當您使用 Microsoft Entra ID 作為解決方案的身分識別提供者時,您可以利用雲端原生安全性功能,例如 Azure 資源的 受控識別。

如果您選擇使用個別的身分識別平臺,則必須考慮應用程式如何利用受控識別和其他 Microsoft Entra 功能,同時與您自己的身分識別平臺整合。

專注于您的核心價值

維護安全、可靠且回應式的身分識別平臺相當昂貴且複雜。 在大部分情況下,身分識別系統不是為解決方案增加價值或區分您競爭對手的元件。 最好將您的身分識別需求外包給專家所建置的系統。 如此一來,您可以專注于設計和建置解決方案的元件,為您的客戶增加商業價值。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者:

  • John Downs |適用于 Azure 的 FastTrack 資深客戶工程師

其他投稿人:

若要查看非公用LinkedIn設定檔,請登入 LinkedIn。

下一步