Korzystanie z platformy Identity as a Service

Prawie każda aplikacja w chmurze musi pracować z tożsamościami użytkowników. Tożsamość jest podstawą nowoczesnych rozwiązań zabezpieczeń, takich jak zero zaufania, a tożsamość użytkownika dla aplikacji jest krytyczną częścią architektury rozwiązania.

W przypadku większości rozwiązań zdecydowanie zalecamy użycie platformy tożsamości jako usługi (IDaaS), która jest rozwiązaniem do obsługi tożsamości hostowanym i zarządzanym przez wyspecjalizowanego dostawcę, zamiast tworzyć lub obsługiwać własne. W tym artykule opisano wyzwania związane z tworzeniem lub uruchamianiem własnego systemu tożsamości.

Zalecenia

Ważne

Korzystając z usługi IDaaS, takiej jak Microsoft Entra ID, Azure AD B2C lub inny podobny system, można rozwiązać wiele problemów opisanych w tym artykule. Zalecamy to podejście wszędzie tam, gdzie to możliwe.

Wymagania dotyczące rozwiązania mogą prowadzić do korzystania ze struktury lub gotowego rozwiązania do obsługi tożsamości, które hostujesz i uruchamiasz samodzielnie. Podczas korzystania ze wstępnie utworzonej platformy tożsamości zmniejsza niektóre problemy opisane w tym artykule, obsługa wielu z tych problemów nadal odpowiada za takie rozwiązanie.

Należy unikać używania systemu tożsamości utworzonego od podstaw.

Unikaj przechowywania poświadczeń

Po uruchomieniu własnego systemu tożsamości musisz przechowywać bazę danych poświadczeń.

Nigdy nie należy przechowywać poświadczeń w postaci zwykłego tekstu, a nawet jako zaszyfrowanych danych. Zamiast tego można rozważyć kryptograficzne tworzenie skrótów i łączenie poświadczeń przed ich przechowywaniem, co utrudnia ich atak. Jednak nawet skróty i słone poświadczenia są narażone na kilka typów ataków.

Niezależnie od tego, w jaki sposób chronisz poszczególne poświadczenia, utrzymanie bazy danych poświadczeń sprawia, że jesteś celem ataków. Ostatnie lata pokazały, że zarówno duże, jak i małe organizacje miały bazy danych poświadczeń przeznaczone do ataku.

Rozważ użycie magazynu poświadczeń jako odpowiedzialności, a nie zasobu. Korzystając z usługi IDaaS, możesz zlecić problem magazynu poświadczeń ekspertom, którzy mogą zainwestować czas i zasoby w bezpieczne zarządzanie poświadczeniami.

Implementowanie protokołów tożsamości i federacji

Nowoczesne protokoły tożsamości są złożone. Eksperci branżowi zaprojektowali protokół OAuth 2, OpenID Connect i inne protokoły, aby upewnić się, że zapobiegają rzeczywistym atakom i lukom w zabezpieczeniach. Protokoły ewoluują również w celu dostosowania się do zmian w technologiach, strategiach ataków i oczekiwaniach użytkowników. Specjaliści ds. tożsamości, z wiedzą w zakresie protokołów i sposobu ich użycia, są w najlepszej pozycji do implementowania i weryfikowania systemów, które są zgodne z tymi protokołami. Aby uzyskać więcej informacji na temat protokołów i platformy, zobacz OAuth 2.0 i OpenID Connect (OIDC) w Platforma tożsamości Microsoft.

Często zdarza się również federowanie systemów tożsamości. Protokoły federacyjne tożsamości są złożone do ustanawiania, zarządzania i konserwacji oraz wymagają specjalistycznej wiedzy i doświadczenia. Dostawcy IDaaS zazwyczaj zapewniają możliwości federacji w swoich produktach do użycia. Aby uzyskać więcej informacji na temat federacji, zobacz Wzorzec tożsamości federacyjnej.

Wdrażanie nowoczesnych funkcji tożsamości

Użytkownicy oczekują, że system tożsamości będzie miał szereg zaawansowanych funkcji, w tym:

• Uwierzytelnianie bez hasła, które używa bezpiecznych metod logowania, które nie wymaga od użytkowników wprowadzenia poświadczeń. Hasła to przykład technologii uwierzytelniania bez hasła.

• Logowanie jednokrotne (SSO), które umożliwia użytkownikom logowanie się przy użyciu tożsamości od pracodawcy, szkoły lub innej organizacji.

• Uwierzytelnianie wieloskładnikowe (MFA), które monituje użytkowników o uwierzytelnienie się na wiele sposobów. Na przykład użytkownik może zalogować się przy użyciu hasła, a także za pomocą aplikacji authenticator na urządzeniu przenośnym lub kodzie wysyłanym pocztą e-mail.

• Inspekcja, która śledzi każde zdarzenie, które występuje na platformie tożsamości, w tym pomyślne, nieudane i przerwane próby logowania. Badanie kryminalistyczne próby logowania wymaga później tych szczegółowych dzienników.

• Dostęp warunkowy, który tworzy profil ryzyka wokół próby logowania opartej na różnych czynnikach. Czynniki mogą obejmować tożsamość użytkownika, lokalizację próby logowania, poprzednie działanie logowania oraz wrażliwość danych lub aplikacji, do których użytkownik próbuje uzyskać dostęp.

• Kontrola dostępu just in time, która tymczasowo umożliwia użytkownikom logowanie się w oparciu o proces zatwierdzania, a następnie automatycznie usuwa autoryzację.

Jeśli samodzielnie tworzysz składnik tożsamości w ramach rozwiązania biznesowego, prawdopodobnie będziesz w stanie uzasadnić pracę związaną z wdrażaniem tych funkcji i konserwować je. Niektóre z tych funkcji wymagają również dodatkowej pracy, takiej jak integracja z dostawcami obsługi komunikatów w celu wysyłania kodów uwierzytelniania wieloskładnikowego, a także przechowywanie i przechowywanie dzienników inspekcji przez wystarczający czas.

Platformy IDaaS mogą również zapewnić ulepszony zestaw funkcji zabezpieczeń opartych na ilości odbieranych żądań logowania. Na przykład następujące funkcje działają najlepiej, gdy istnieje duża liczba klientów korzystających z jednej platformy tożsamości:

• Wykrywanie ryzykownych zdarzeń logowania, takich jak próby logowania z botnetów
• Wykrywanie niemożliwych podróży między działaniami użytkownika
• Wykrywanie typowych poświadczeń, takich jak hasła, które są często używane przez innych użytkowników, co w związku z tym podlega zwiększonemu ryzyku naruszenia zabezpieczeń
• Używanie technik uczenia maszynowego do klasyfikowania prób logowania jako prawidłowych lub nieprawidłowych
• Monitorowanie tak zwanej ciemnej sieci pod kątem wycieku poświadczeń i zapobiegania ich wykorzystywaniu
• Bieżące monitorowanie krajobrazu zagrożeń i bieżących wektorów używanych przez osoby atakujące

Jeśli tworzysz lub uruchamiasz własny system tożsamości, nie możesz korzystać z tych funkcji.

Korzystanie z niezawodnego systemu tożsamości o wysokiej wydajności

Ponieważ systemy tożsamości są tak kluczową częścią nowoczesnych aplikacji w chmurze, muszą być niezawodne. Jeśli system tożsamości jest niedostępny, może to mieć wpływ na resztę rozwiązania i działać w sposób obniżony lub w ogóle nie działać. Korzystając z usługi IDaaS z umową dotyczącą poziomu usług, możesz zwiększyć pewność, że system tożsamości pozostanie operacyjny, gdy będzie potrzebny. Na przykład identyfikator Entra firmy Microsoft oferuje umowę SLA dla czasu pracy w warstwach usług Podstawowa i Premium, która obejmuje zarówno procesy logowania, jak i wystawiania tokenów. Aby uzyskać więcej informacji, zobacz Umowy dotyczące poziomu usług (SLA) dla usług online.

Podobnie system tożsamości musi działać dobrze i mieć możliwość skalowania do poziomu wzrostu, który może wystąpić w systemie. W zależności od architektury aplikacji możliwe jest, że każde żądanie może wymagać interakcji z systemem tożsamości, a wszelkie problemy z wydajnością będą widoczne dla użytkowników. Dostawcy IDaaS są zachęcani do skalowania swoich platform w celu obsługi dużych obciążeń użytkowników. Są one przeznaczone do absorbowania dużych ilości ruchu, w tym ruchu generowanego przez różne formy ataków.

Testowanie zabezpieczeń i stosowanie ścisłej kontroli

Jeśli uruchamiasz system tożsamości, musisz zachować bezpieczeństwo. Przykłady kontrolek, które należy wziąć pod uwagę, obejmują:

• Okresowe testy penetracyjne, które wymagają specjalistycznej wiedzy.
• Weryfikacja pracowników i wszystkich innych osób z dostępem do systemu.
• Ścisła kontrola nad wszystkimi zmianami w rozwiązaniu ze wszystkimi zmianami przeglądanymi przez ekspertów.

Te kontrolki są często kosztowne i trudne do zaimplementowania.

Korzystanie z natywnych dla chmury mechanizmów zabezpieczeń

Jeśli używasz identyfikatora Entra firmy Microsoft jako dostawcy tożsamości rozwiązania, możesz skorzystać z funkcji zabezpieczeń natywnych dla chmury, takich jak tożsamości zarządzane dla zasobów platformy Azure.

Jeśli zdecydujesz się korzystać z oddzielnej platformy tożsamości, musisz rozważyć, w jaki sposób aplikacja może korzystać z tożsamości zarządzanych i innych funkcji firmy Microsoft Entra, jednocześnie integrując się z własną platformą tożsamości.

Skup się na podstawowej wartości

Obsługa bezpiecznej, niezawodnej i dynamicznej platformy tożsamości jest kosztowna i złożona. W większości przypadków system tożsamości nie jest składnikiem, który dodaje wartość do rozwiązania lub odróżnia Cię od konkurencji. Dobrze jest zlecić wymagania dotyczące tożsamości systemowi utworzonemu przez ekspertów. W ten sposób można skupić się na projektowaniu i tworzeniu składników rozwiązania, które dodają wartość biznesową dla klientów.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

• John Downs | Główny inżynier oprogramowania

Inni współautorzy:

• Jelle Druyts | Główny inżynier klienta, fasttrack dla platformy Azure
• LaBrina Loving | Główny menedżer inżynierów klienta, rozwiązanie FastTrack dla platformy Azure
• Gary Moore | Programista/pisarz
• Arsen Vladimirskiy | Główny inżynier klienta, fasttrack dla platformy Azure

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

• Czym jest usługa Microsoft Entra ID?
• Co to jest usługa Azure Active Directory B2C?
• Eksplorowanie tożsamości i identyfikatora entra firmy Microsoft
• Projektowanie strategii zabezpieczeń tożsamości
• Implementowanie tożsamości firmy Microsoft
• Zarządzanie tożsamościami i dostępem w identyfikatorze Entra firmy Microsoft

Powiązane zasoby

• Uwierzytelnianie przy użyciu usługi Microsoft Entra ID i OpenID Connect
• Wzorzec tożsamości federacyjnej
• Tożsamość hybrydowa
• Projekt architektury tożsamości
• Odporne zarządzanie tożsamościami i dostępem za pomocą identyfikatora Entra firmy Microsoft