Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Prawie każda aplikacja w chmurze musi pracować z tożsamościami użytkowników. Tożsamość jest podstawą nowoczesnych rozwiązań zabezpieczeń, takich jak zero zaufania, a tożsamość użytkownika dla aplikacji jest krytyczną częścią architektury rozwiązania.
W przypadku większości rozwiązań zdecydowanie zalecamy użycie platformy tożsamości jako usługi (IDaaS), która jest rozwiązaniem do obsługi tożsamości hostowanym i zarządzanym przez wyspecjalizowanego dostawcę, zamiast tworzyć lub obsługiwać własne. W tym artykule opisano wyzwania związane z tworzeniem lub uruchamianiem własnego systemu tożsamości.
Zalecenia
Ważne
Korzystając z identyfikatora IDaaS, takiego jak Microsoft Entra ID, Entra External ID lub innego podobnego systemu, można rozwiązać wiele problemów opisanych w tym artykule. Zalecamy to podejście wszędzie tam, gdzie to możliwe.
Wymagania dotyczące rozwiązania mogą prowadzić do korzystania ze struktury lub gotowego rozwiązania do obsługi tożsamości, które hostujesz i uruchamiasz samodzielnie. Podczas korzystania z predefiniowanej platformy tożsamości łagodzi niektóre problemy opisane w tym artykule, obsługa wielu z tych problemów nadal spoczywa na Tobie przy takim rozwiązaniu.
Należy unikać używania systemu tożsamości utworzonego od podstaw.
Unikaj przechowywania poświadczeń
Po uruchomieniu własnego systemu tożsamości musisz przechowywać bazę danych poświadczeń.
Nigdy nie należy przechowywać poświadczeń w postaci zwykłego tekstu, a nawet jako zaszyfrowanych danych. Zamiast tego można rozważyć kryptograficzne haszowanie i solenie poświadczeń przed ich przechowywaniem, co utrudnia ich zaatakowanie. Jednak nawet zaszyfrowane i zabezpieczone poświadczenia są narażone na różne typy ataków.
Niezależnie od tego, w jaki sposób chronisz poszczególne poświadczenia, utrzymanie bazy danych poświadczeń sprawia, że jesteś celem ataków. Ostatnie lata pokazały, że zarówno duże, jak i małe organizacje miały bazy danych poświadczeń przeznaczone do ataku.
Rozważ użycie magazynu poświadczeń jako odpowiedzialności, a nie zasobu. Korzystając z usługi IDaaS, możesz zlecić problem magazynu poświadczeń ekspertom, którzy mogą zainwestować czas i zasoby w bezpieczne zarządzanie poświadczeniami.
Implementowanie protokołów tożsamości i federacji
Nowoczesne protokoły tożsamości są złożone. Eksperci branżowi zaprojektowali protokół OAuth 2, OpenID Connect i inne protokoły, aby upewnić się, że zapobiegają rzeczywistym atakom i lukom w zabezpieczeniach. Protokoły ewoluują również w celu dostosowania się do zmian w technologiach, strategiach ataków i oczekiwaniach użytkowników. Specjaliści ds. tożsamości, z wiedzą w zakresie protokołów i sposobu ich użycia, są w najlepszej pozycji do implementowania i weryfikowania systemów, które są zgodne z tymi protokołami. Aby uzyskać więcej informacji na temat protokołów i platformy, zobacz OAuth 2.0 i OpenID Connect (OIDC) w Platforma tożsamości Microsoft.
Często zdarza się również federowanie systemów tożsamości. Protokoły federacyjne tożsamości są złożone do wdrażania, zarządzania i utrzymania oraz wymagają specjalistycznej wiedzy i doświadczenia. Dostawcy IDaaS zazwyczaj zapewniają możliwości federacji w swoich produktach do użycia. Aby uzyskać więcej informacji na temat federacji, zobacz Wzorzec tożsamości federacyjnej.
Wdrażanie nowoczesnych funkcji tożsamości
Użytkownicy oczekują, że system tożsamości będzie miał szereg zaawansowanych funkcji, w tym:
Uwierzytelnianie bez hasła, które używa bezpiecznych metod logowania, które nie wymaga od użytkowników wprowadzenia poświadczeń. Klucze dostępu są przykładem technologii uwierzytelniania bez hasła.
Logowanie jednokrotne (SSO), które umożliwia użytkownikom logowanie się przy użyciu tożsamości od pracodawcy, szkoły lub innej organizacji.
Uwierzytelnianie wieloskładnikowe (MFA), które monituje użytkowników o uwierzytelnienie się na wiele sposobów. Na przykład użytkownik może zalogować się przy użyciu hasła, a także za pomocą aplikacji authenticator na urządzeniu przenośnym lub kodzie wysyłanym pocztą e-mail.
Audyt, który śledzi wszystkie zdarzenia występujące na platformie tożsamości, w tym pomyślne, nieudane i przerwane próby logowania. Badanie kryminalistyczne próby logowania wymaga później tych szczegółowych dzienników.
Dostęp warunkowy, który tworzy profil ryzyka wokół próby logowania opartej na różnych czynnikach. Czynniki mogą obejmować tożsamość użytkownika, lokalizację próby logowania, poprzednie działanie logowania oraz wrażliwość danych lub aplikacji, do których użytkownik próbuje uzyskać dostęp.
Kontrola dostępu na żądanie, która tymczasowo pozwala użytkownikom zalogować się na podstawie procesu zatwierdzania, a następnie automatycznie usuwa autoryzację.
Jeśli samodzielnie tworzysz składnik tożsamości w ramach rozwiązania biznesowego, jest mało prawdopodobne, aby uzasadnić pracę związaną z implementacją tych funkcji i konserwować je. Niektóre z tych funkcji wymagają również dodatkowej pracy, takiej jak integracja z dostawcami obsługi komunikatów w celu wysyłania kodów uwierzytelniania wieloskładnikowego, a także przechowywanie i przechowywanie dzienników inspekcji przez wystarczający czas.
Platformy IDaaS mogą również zapewnić ulepszony zestaw funkcji zabezpieczeń opartych na ilości odbieranych żądań logowania. Na przykład następujące funkcje działają najlepiej, gdy istnieje duża liczba klientów korzystających z jednej platformy tożsamości:
- Wykrywanie ryzykownych zdarzeń logowania, takich jak próby logowania z botnetów
- Wykrywanie niemożliwych podróży między działaniami użytkownika
- Wykrywanie typowych poświadczeń, takich jak hasła, które są często używane przez innych użytkowników, co w związku z tym podlega zwiększonemu ryzyku naruszenia zabezpieczeń
- Używanie technik uczenia maszynowego do klasyfikowania prób logowania jako prawidłowych lub nieprawidłowych
- Monitorowanie tak zwanej ciemnej sieci pod kątem wycieku poświadczeń i zapobiegania ich wykorzystywaniu
- Bieżące monitorowanie krajobrazu zagrożeń i bieżących wektorów używanych przez osoby atakujące
Jeśli tworzysz lub uruchamiasz własny system tożsamości, nie możesz korzystać z tych funkcji.
Korzystanie z niezawodnego systemu tożsamości o wysokiej wydajności
Ponieważ systemy tożsamości są tak kluczową częścią nowoczesnych aplikacji w chmurze, muszą być niezawodne. Jeśli system tożsamości jest niedostępny, może to mieć wpływ na resztę rozwiązania i działać w sposób obniżony lub w ogóle nie działać. Korzystając z usługi IDaaS z umową dotyczącą poziomu usług, możesz zwiększyć pewność, że system tożsamości pozostaje operacyjny w razie potrzeby. Na przykład Microsoft Entra ID oferuje umowę SLA dotyczącą dostępności dla warstw usług Podstawowa i Premium, która obejmuje zarówno procesy logowania, jak i wystawiania tokenów. Aby uzyskać więcej informacji, zobacz Umowy dotyczące poziomu usług (SLA) dla usług online.
Podobnie system tożsamości musi działać dobrze i mieć możliwość skalowania do poziomu wzrostu, który może wystąpić w systemie. W zależności od architektury aplikacji możliwe jest, że każde żądanie może wymagać interakcji z systemem tożsamości, a wszelkie problemy z wydajnością stają się widoczne dla użytkowników. Dostawcy IDaaS są zachęcani do skalowania swoich platform w celu obsługi dużych obciążeń użytkowników. Są one przeznaczone do absorbowania dużych ilości ruchu, w tym ruchu generowanego przez różne formy ataków.
Testowanie zabezpieczeń i stosowanie ścisłej kontroli
Jeśli uruchamiasz system tożsamości, musisz zachować bezpieczeństwo. Przykłady kontrolek, które należy wziąć pod uwagę, obejmują:
- Okresowe testy penetracyjne, które wymagają specjalistycznej wiedzy.
- Weryfikacja pracowników i wszystkich innych osób z dostępem do systemu.
- Ścisła kontrola nad wszystkimi zmianami w rozwiązaniu, które są przeglądane przez ekspertów.
Te kontrolki są często kosztowne i trudne do zaimplementowania.
Korzystanie z natywnych dla chmury mechanizmów zabezpieczeń
Jeśli używasz identyfikatora Entra firmy Microsoft jako dostawcy tożsamości rozwiązania, możesz skorzystać z funkcji zabezpieczeń natywnych dla chmury, takich jak tożsamości zarządzane dla zasobów platformy Azure.
Jeśli zdecydujesz się korzystać z oddzielnej platformy tożsamości, musisz rozważyć, w jaki sposób aplikacja może korzystać z tożsamości zarządzanych i innych funkcji firmy Microsoft Entra, jednocześnie integrując się z własną platformą tożsamości.
Skup się na podstawowej wartości
Obsługa bezpiecznej, niezawodnej i dynamicznej platformy tożsamości jest kosztowna i złożona. W większości przypadków system tożsamości nie jest składnikiem, który dodaje wartość do rozwiązania lub odróżnia Cię od konkurencji. Dobrze jest zlecić wymagania dotyczące tożsamości systemowi utworzonemu przez ekspertów. W ten sposób można skupić się na projektowaniu i tworzeniu składników rozwiązania, które dodają wartość biznesową dla klientów.
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Główny autor:
- John Downs | Główny inżynier oprogramowania, wzorce i praktyki platformy Azure
Inni współautorzy:
- Jelle Druyts | Główny inżynier klienta, fasttrack dla platformy Azure
- LaBrina Loving | Główny menedżer inżynierów klienta, rozwiązanie FastTrack dla platformy Azure
- Gary Moore | Programista/pisarz
- Arsen Vladimirskiy | Główny inżynier klienta, fasttrack dla platformy Azure
Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
- Czym jest usługa Microsoft Entra ID?
- Zabezpiecz swoje aplikacje za pomocą identyfikatora zewnętrznego w zewnętrznym dzierżawcy
- Poznaj tożsamość i Microsoft Entra ID
- Projektowanie strategii zabezpieczeń tożsamości
- Implementowanie tożsamości firmy Microsoft
- Zarządzanie tożsamościami i dostępem w identyfikatorze Entra firmy Microsoft