Použití identity jako platformy služby

Téměř každá cloudová aplikace potřebuje pracovat s identitami uživatelů. Identita je základem moderních postupů zabezpečení, jako je nulová důvěryhodnost, a identita uživatele pro aplikace je důležitou součástí architektury vašeho řešení.

U většiny řešení důrazně doporučujeme používat platformu IDaaS (Identity as a Service), což je řešení identit hostované a spravované specializovaným poskytovatelem místo vytváření nebo provozu vlastního. V tomto článku popisujeme výzvy při sestavování nebo spouštění vlastního systému identit.

Doporučení

Důležité

Pomocí IDaaS, jako je Microsoft Entra ID, Azure AD B2C nebo jiný podobný systém, můžete zmírnit řadu problémů popsaných v tomto článku. Tento přístup doporučujeme všude, kde je to možné.

Vaše požadavky na řešení můžou vést k používání architektury nebo řešení identity, které hostujete a spouštíte sami. Při použití předem připravené platformy identit se některé problémy popsané v tomto článku zmírňují, ale za řešení těchto problémů zodpovídáte i nadále.

Měli byste se vyhnout použití systému identit, který vytváříte úplně od začátku.

Vyhněte se ukládání přihlašovacích údajů

Při spuštění vlastního systému identit musíte uložit databázi přihlašovacích údajů.

Přihlašovací údaje byste nikdy neměli ukládat ve formátu prostého textu ani jako šifrovaná data. Místo toho můžete před jejich uložením zvážit kryptograficky hashování a slanění přihlašovacích údajů, což ztěžuje útok. Dokonce i hashované a slané přihlašovací údaje jsou však zranitelné vůči několika typům útoku.

Bez ohledu na to, jak chráníte jednotlivé přihlašovací údaje, je údržba databáze přihlašovacích údajů cílem útoků. V posledních letech se ukázalo, že velké i malé organizace měly své databáze přihlašovacích údajů cílené na útok.

Zvažte úložiště přihlašovacích údajů jako odpovědnost, nikoli aktiva. Pomocí IDaaS odsoudíte problém úložiště přihlašovacích údajů odborníkům, kteří můžou investovat čas a prostředky do bezpečné správy přihlašovacích údajů.

Implementace protokolů identit a federace

Moderní protokoly identit jsou složité. Oboroví odborníci navrhli OAuth 2, OpenID Connect a další protokoly, aby se zajistilo, že zmírňují skutečné útoky a ohrožení zabezpečení. Protokoly se také vyvíjejí tak, aby se přizpůsobily změnám technologií, strategií útoku a očekávání uživatelů. Specialisté na identity s odbornými znalostmi protokolů a jejich používání jsou v nejlepší pozici k implementaci a ověřování systémů, které tyto protokoly dodržují. Další informace o protokolech a platformě najdete v tématu OAuth 2.0 a OpenID Connect (OIDC) na platformě Microsoft Identity Platform.

Je také běžné federovat systémy identit. Federační protokoly identit jsou složité pro vytvoření, správu a údržbu a vyžadují odborné znalosti a zkušenosti. Poskytovatelé IDaaS obvykle poskytují možnosti federace ve svých produktech, které můžete použít. Další informace o federaci najdete v modelu federované identity.

Přijetí funkcí moderní identity

Uživatelé očekávají, že systém identit bude mít řadu pokročilých funkcí, mezi které patří:

• Ověřování bez hesla, které používá zabezpečené přístupy k přihlášení, které nevyžadují, aby uživatelé zadali přihlašovací údaje. Přístupové klíče jsou příkladem technologie ověřování bez hesla.

• Jednotné přihlašování (SSO), které umožňuje uživatelům přihlásit se pomocí identity od svého zaměstnavatele, školy nebo jiné organizace.

• Vícefaktorové ověřování (MFA), které uživatele vyzve, aby se ověřili několika způsoby. Uživatel se například může přihlásit pomocí hesla a také pomocí ověřovací aplikace na mobilním zařízení nebo kódu odeslaného e-mailem.

• Auditování, které sleduje každou událost, která se děje na platformě identity, včetně úspěšných, neúspěšných a přerušených pokusů o přihlášení. Forenzní vyšetření pokusu o přihlášení později vyžaduje tyto podrobné protokoly.

• Podmíněný přístup, který vytvoří profil rizika kolem pokusu o přihlášení, který je založený na různých faktorech. Mezi faktory můžou patřit identita uživatele, umístění pokusu o přihlášení, předchozí přihlašovací aktivita a citlivost dat nebo aplikace, ke kterým se uživatel pokouší získat přístup.

• Řízení přístupu za běhu, které dočasně umožňuje uživatelům přihlásit se na základě schvalovacího procesu a pak autorizaci automaticky odebere.

Pokud vytváříte komponentu identity sami jako součást svého obchodního řešení, je nepravděpodobné, že byste mohli odůvodnit práci související s implementací těchto funkcí a jejich udržováním. Některé ztěchtoch služeb také vyžadují další práci, jako je integrace s poskytovateli zasílání zpráv, a ukládání a uchovávání protokolů auditu po dostatek časového období.

Platformy IDaaS můžou také poskytovat vylepšenou sadu funkcí zabezpečení, které jsou založené na objemu žádostí o přihlášení, které obdrží. Následující funkce například fungují nejlépe, když existuje velký počet zákazníků, kteří používají jednu platformu identit:

• Detekce rizikových událostí přihlášení, jako jsou pokusy o přihlášení z botnetů
• Detekce nemožné cesty mezi aktivitami uživatele
• Detekce běžných přihlašovacích údajů, jako jsou hesla často používaná jinými uživateli, které jsou proto vystaveny zvýšenému riziku ohrožení zabezpečení
• Použití technik strojového učení ke klasifikaci pokusů o přihlášení jako platných nebo neplatných
• Monitorování takzvaného tmavého webu za účelem úniku přihlašovacích údajů a zabránění jejich zneužití
• Průběžné monitorování prostředí hrozeb a aktuálních vektorů, které útočníci používají

Pokud vytváříte nebo spouštíte vlastní systém identit, nemůžete tyto funkce využívat.

Použití spolehlivého vysoce výkonného systému identit

Vzhledem k tomu, že systémy identit jsou tak klíčovou součástí moderních cloudových aplikací, musí být spolehlivé. Pokud je váš systém identit nedostupný, může to mít vliv na zbytek vašeho řešení a buď fungovat degradovaným způsobem, nebo vůbec nefunguje. Použitím IDaaS se smlouvou o úrovni služeb můžete zvýšit důvěru, že váš systém identit zůstane funkční, když ho budete potřebovat. Například Microsoft Entra ID nabízí smlouvu SLA pro dobu provozu pro úrovně služby Basic a Premium, která pokrývá procesy vydávání přihlašovacích i tokenů. Další informace najdete v tématu Smlouvy o úrovni služeb (SLA) pro online služby.

Podobně musí systém identit dobře fungovat a musí být schopný škálovat na úroveň růstu, který může váš systém zaznamenat. V závislosti na architektuře vaší aplikace je možné, že každý požadavek může vyžadovat interakci se systémem identit a všechny problémy s výkonem se budou uživatelům zobrazovat. Poskytovatelé IDaaS jsou incentivizováni ke škálování jejich platforem tak, aby vyhovovaly velkým uživatelským zatížením. Jsou navržené tak, aby absorbovaly velké objemy provozu, včetně provozu vygenerovaného různými formami útoků.

Otestování zabezpečení a použití přísných kontrolních mechanismů

Pokud spouštíte systém identit, je vaší zodpovědností zajistit jeho zabezpečení. Mezi příklady ovládacích prvků, které je potřeba zvážit, patří:

• Pravidelné penetrační testování, které vyžaduje specializované odborné znalosti.
• Prověrku zaměstnanců a kohokoli jiného s přístupem k systému.
• Těsná kontrola všech změn vašeho řešení se všemi změnami, které prověřují odborníci.

Tyto ovládací prvky jsou často nákladné a obtížně implementují.

Použití bezpečnostních prvků nativních pro cloud

Když jako zprostředkovatele identity vašeho řešení použijete Microsoft Entra ID, můžete využít funkce zabezpečení nativní pro cloud, jako jsou spravované identity pro prostředky Azure.

Pokud se rozhodnete použít samostatnou platformu identit, je potřeba zvážit, jak může vaše aplikace využívat spravované identity a další funkce Microsoft Entra a současně integrovat s vaší vlastní platformou identit.

Zaměřte se na základní hodnotu.

Údržba zabezpečené, spolehlivé a responzivní platformy identit je náročná a složitá. Ve většině případů není systém identit součástí, která do vašeho řešení přidává hodnotu nebo která vás odlišuje od konkurence. Požadavky na identitu je vhodné outsourcovat do systému vytvořeného odborníky. Díky tomu se můžete zaměřit na navrhování a vytváření komponent vašeho řešení, které pro vaše zákazníky přidávají obchodní hodnotu.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• John Downs | Hlavní softwarový inženýr

Další přispěvatelé:

• Jelle Druyts | Hlavní zákaznický inženýr, FastTrack pro Azure
• LaBrina Láska | Hlavní manažer zákaznického inženýrství, FastTrack pro Azure
• Gary Moore | Programátor/zapisovač
• Vladimirskij Vladimirskij | Hlavní zákaznický inženýr, FastTrack pro Azure

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Co je MICROSOFT Entra ID?
• Co je Azure Active Directory B2C?
• Prozkoumání identity a ID Microsoft Entra
• Návrh strategie zabezpečení identit
• Implementace identity Microsoftu
• Správa identity a přístupu v Microsoft Entra ID

Související prostředky

• Ověřování pomocí ID Microsoft Entra a OpenID Connect
• Model federované identity
• Hybridní identita
• Návrh architektury identit
• Odolná správa identit a přístupu pomocí Microsoft Entra ID