อนาคตของบริการไดเรกทอรีไม่มีโดเมน

แนวทางพื้นฐานในการรักษาความปลอดภัย การจัดการอุปกรณ์ และการควบคุมการเข้าถึงกำลังเปลี่ยนไป

เป็นเวลากว่า 30 ปีแล้วที่ลำดับความสำคัญด้านไอทีหลักเหล่านี้แยกออกไม่ได้จาก Active Directory และ OpenLDAP ซึ่งเป็นโซลูชันที่ยอดเยี่ยมในยุคของโดเมนภายในองค์กร แต่การเปลี่ยนไปใช้งานทางไกลเมื่อเร็วๆ นี้ทำให้เห็นชัดเจนว่าการรักษาความปลอดภัยในขอบเขตแบบเดิมและโครงสร้างพื้นฐานภายในองค์กรไม่เพียงพอต่อการปกป้องข้อมูลระบุตัวตนผู้ใช้ขององค์กรและข้อมูลลับในระบบคลาวด์อีกต่อไป

ในการจัดการสภาพแวดล้อมการทำงานสมัยใหม่ให้ดียิ่งขึ้น เราต้องคิดใหม่เกี่ยวกับฟังก์ชันแต่ละรายการของบริการไดเรกทอรีและแยกฟังก์ชันเหล่านั้นออกจากแนวคิดที่ล้าสมัยของโดเมนแบบเดินสาย แบบปราสาทและคูน้ำ สิ่งที่สำคัญที่สุดในทุกวันนี้คือการรักษาความปลอดภัยให้กับผู้ใช้และอุปกรณ์ไม่ว่าจะอยู่ที่ใดในโลก

อนาคตของบริการไดเร็กทอรีนั้นไม่มีโดเมน ต่อไปนี้คือรายละเอียดเพิ่มเติมว่าเรามาที่นี่ได้อย่างไร องค์กรแบบไร้โดเมนมีหน้าตาเป็นอย่างไรในทางปฏิบัติ และขั้นตอนที่องค์กรสามารถทำได้ในการปรับปรุงโครงสร้างพื้นฐาน IAM ของตนให้ทันสมัย

จำลองบริการไดเร็กทอรีใหม่และแนวคิดโดเมน

แนวคิดของโดเมนที่เราทราบดีว่าได้รับการออกแบบมาเป็นหลักในทศวรรษ 1990 และเป็นโซลูชันที่ยอดเยี่ยมสำหรับผู้ใช้ที่ปลอดภัยและการกำกับดูแลคอมพิวเตอร์ในสภาพแวดล้อมสำนักงานแบบมีสายในสมัยนั้น ในขณะที่ส่วนอื่น ๆ ของไอทีมีการเปลี่ยนแปลงโดยสิ้นเชิงตั้งแต่นั้นมา โมเดลนี้ยังคงสนับสนุนแนวทางขององค์กรส่วนใหญ่ในการจัดการข้อมูลประจำตัวและการเข้าถึงในปัจจุบัน

ผู้เชี่ยวชาญด้าน IT หลายคนใช้โดเมนนี้โดยไม่ได้รับอนุญาต และสันนิษฐานว่าขั้นตอนต่อไปคือการปรับและขยายโดเมนสำหรับยุคคลาวด์โดยการเพิ่มผู้ให้บริการเว็บแอปพลิเคชันการลงชื่อเพียงครั้งเดียว (SSO) และบริดจ์ข้อมูลประจำตัวอื่นๆ แต่แนวทางที่ใช้ได้จริงมากกว่านั้นอาจเป็นการมองย้อนกลับไปที่ปัญหาหลักที่โดเมนได้รับการออกแบบมาเพื่อแก้ไขในขั้นต้น ตัดสินใจว่าปัญหาใดยังคงมีความเกี่ยวข้องอยู่ในปัจจุบัน และสำรวจวิธีใหม่ในการแก้ปัญหาโดยใช้นวัตกรรมที่ทันสมัย

ในช่วงกลางทศวรรษ 1990 ถึงกลางปี ​​​​2000 การตั้งค่าสำนักงานแตกต่างกันอย่างมาก คนงานเข้าไปในสถานประกอบการอิฐและปูนโดยใช้คีย์การ์ดหรือกุญแจจริง พวกเขาเดินไปที่โต๊ะทำงานและนั่งลงหน้าคอมพิวเตอร์ที่อยู่กับที่ คอมพิวเตอร์เหล่านั้นเชื่อมต่อผ่านสายเคเบิลอีเทอร์เน็ตไปยังศูนย์ข้อมูลภายในหรือตู้เซิร์ฟเวอร์ภายในสำนักงาน จากภายในตำแหน่งศูนย์กลางนั้น ตัวควบคุมโดเมนให้สิทธิ์การเข้าถึงทรัพยากรไอทีภายในเครือข่ายท้องถิ่น ในทางกลับกัน เครือข่ายทางกายภาพนั้นได้รับการปกป้องจากการโจมตีภายนอกโดยไฟร์วอลล์และโดยตัวอาคารเองสำหรับการเข้าถึงทางกายภาพ

ในขณะนั้น การตั้งค่านี้มีความปลอดภัยเป็นหลักและจัดการได้ตรงไปตรงมา และมอบประสบการณ์การใช้งานที่ราบรื่นให้กับผู้ใช้ โดยที่ผู้ใช้ไม่ต้องจัดการรหัสผ่านหลายตัวหรือคิดถึงกระบวนการของการอนุญาตและรับรองความถูกต้องที่เกิดขึ้นเบื้องหลัง สภาพแวดล้อมเป็นเนื้อเดียวกัน โดยมีเดสก์ท็อปทาวเวอร์ที่ใช้ Windows และโปรแกรมของ Microsoft ในทุกเวิร์กสเตชัน Active Directory (AD) เหมาะสมกับสภาพแวดล้อมประเภทนี้มากจนสามารถมอบประสบการณ์การลงชื่อเพียงครั้งเดียว (SSO) ครั้งแรกให้แก่ผู้ใช้ได้ นั่นคือ ชุดข้อมูลประจำตัวชุดเดียวเพื่อเข้าถึงทรัพยากรไอทีบน Windows ผ่าน เข้าสู่ระบบเดียว

ตอนนี้ กรอไปข้างหน้าอย่างรวดเร็วเพื่อปัจจุบัน และรื้อกำแพงทั้งหมดของอาคารนั้น ไอทีมีแนวโน้มไปสู่ความยืดหยุ่นนอกสำนักงานโดยใช้เทคโนโลยีคลาวด์และอินเทอร์เน็ตไร้สายความเร็วสูงที่มีจำหน่ายทั่วไป แทนที่จะใช้คอมพิวเตอร์แบบประจำที่มีเสาและจอมอนิเตอร์แบบท่อ ตอนนี้พนักงานมีแล็ปท็อปและอุปกรณ์อื่นๆ ที่สามารถนำติดตัวไปได้ทุกที่ เชื่อมต่ออินเทอร์เน็ต และเริ่มทำงาน นั่นคือองค์กรแบบไร้โดเมนโดยสังเขป และนั่นคือความเป็นจริงในปัจจุบันของเรา

แต่ในโลกที่มีงานมากมายเกิดขึ้นนอกโดเมน แผนกไอทีถูกบังคับให้ประเมินความท้าทายที่ Active Directory เคยจัดการด้วยตัวเองอีกครั้ง

ข้อบกพร่องสมัยใหม่ของโมเดลโดเมน

Active Directory มีปัญหาในการปรับตัวและรวมเข้ากับทรัพยากรระบบคลาวด์ที่ทันสมัยและระบบปฏิบัติการที่ไม่ใช่ Windows และรูปแบบการรักษาความปลอดภัยขอบเขตที่ได้รับการออกแบบมานั้นไม่เพียงพอต่อการปกป้องผู้ปฏิบัติงานระยะไกล

ดังนั้นคำถามจึงกลายเป็นวิธีการแปลเวิร์กโฟลว์การดูแลระบบแบบรวมศูนย์และประสบการณ์ผู้ใช้ที่เรียบง่ายและปลอดภัยซึ่ง AD เคยมีให้ในสภาพแวดล้อมที่ทันสมัยซึ่งรวมถึงระบบ Mac และ Linux เว็บแอปเซิร์ฟเวอร์คลาวด์และเครือข่ายระยะไกล และ อาจมีหรือไม่มี โครงสร้างพื้นฐาน -prem เช่นกัน ผู้ใช้จำเป็นต้องเชื่อมต่อกับทรัพยากรด้านไอทีของตนโดยมีข้อขัดแย้งน้อยที่สุดไม่ว่าพวกเขาจะทำงานอยู่ที่ใด และผู้ดูแลระบบไอทีต้องมั่นใจว่าข้อมูลประจำตัวผู้ใช้และข้อมูลที่เป็นกรรมสิทธิ์ได้รับการปกป้องจากการโจมตี

ปัญหาคือฝ่ายไอทีไม่มีระดับการควบคุมตัวตนผู้ใช้สมัยใหม่เกือบเท่าที่มีในสภาพแวดล้อมโดเมน AD ทั่วไป แอปพลิเคชันได้ย้ายจากสถาปัตยกรรมแบบซื้อครั้งเดียวแบบติดตั้งในเครื่องแบบเดิมไปเป็นโมเดลการสมัครใช้งานบนระบบคลาวด์ แอปบางตัวยังคงติดตั้งอยู่ในเครื่อง โดยมีข้อมูลประจำตัวและการกำหนดค่าที่จัดการในระบบคลาวด์ผ่านเว็บเบราว์เซอร์

เหลือเพื่อจัดการข้อมูลประจำตัวของตนเอง ผู้ใช้ต้องลงเอยด้วยรหัสผ่านนับสิบ - ถ้าไม่ใช่หลายร้อย - และเผชิญกับการล่อลวงให้เพิกเฉยต่อหลักเกณฑ์ด้านความปลอดภัยและแชร์หรือนำรหัสผ่านที่ไม่รัดกุมมาใช้ซ้ำ

ผู้ใช้อาจถูกล่อลวงให้สร้างบัญชีของตนเองสำหรับแอปพลิเคชันใหม่ตามที่เห็นสมควร โดยไม่ต้องได้รับการอนุมัติหรือข้อบังคับจากฝ่ายไอที ไอทีเงานี้ก่อให้เกิดความเสี่ยงด้านความปลอดภัยที่ไม่จำเป็นต่อองค์กร และแม้กระทั่งข้อมูลประจำตัว ที่ จัดการโดยฝ่ายไอทีก็อาจมีอยู่ในไซโลของตนเอง โดยข้อมูลประจำตัวที่แยกจากกันนั้นต้องการกระบวนการจัดเตรียมและยกเลิกการจัดสรรด้วยตนเอง

ไม่มีอัตลักษณ์ศูนย์กลางเดียวที่คล้ายคลึงกับอัตลักษณ์ AD ของปีกลาย ผู้ดูแลระบบต้องการวิธีใหม่ในการรักษาความปลอดภัยการเชื่อมต่อ เก็บทุกอย่างไว้อย่างปลอดภัยภายใต้การดูแลของ IT ปฏิบัติตามหลักเกณฑ์ด้านความปลอดภัยและการปฏิบัติตามข้อกำหนด และเตรียมอุปกรณ์สำหรับงานทางไกล

เมื่อพูดถึงระบบ ระบบ MacBooks และ Linux เป็นเรื่องธรรมดา ที่ซึ่งผู้ดูแลระบบ Microsoft มากประสบการณ์เคยต่อต้านการนำระบบ Mac มาใช้ในที่ทำงาน ตอนนี้เป็นแนวทางปฏิบัติมาตรฐานในการรองรับระบบเหล่านั้น ในโดเมน Active Directory แบบดั้งเดิม การจัดการระบบ Mac และ Linux จะไม่ถูกล้างออกหรือปลอดภัยหากไม่มีการเพิ่มโซลูชันจุดอื่นๆ นอกเหนือจาก AD เช่น เครื่องมือการจัดการระบบ หรือแม้แต่ MDM

สภาพแวดล้อมของโดเมนที่สร้างขึ้นจาก OpenLDAP นั้นไม่ได้ดีไปกว่านี้มากนัก: โดเมนและเซิร์ฟเวอร์ LDAP จะจัดการข้อมูลประจำตัว รหัสผ่าน กลุ่ม และหน่วยขององค์กรเป็นหลัก แต่มักจะขาดการจัดการระบบ การบังคับใช้นโยบายความปลอดภัย และความสามารถในการผสานรวมแอพบนคลาวด์ ทรัพยากรไอทีได้เปลี่ยนจากการใช้ LDAP เป็นโปรโตคอลการตรวจสอบสิทธิ์ที่เลือกมาเป็นการใช้ประโยชน์จากมาตรฐานสมัยใหม่ เช่น SAML, SCIM, OAuth, OIDC และอื่นๆ สภาพแวดล้อม LDAP เดิมยังต้องการความเชี่ยวชาญระดับสูงในการกำหนดค่าและบำรุงรักษา

วิธีที่เหมาะสมในการเติมช่องว่างข้างต้นในการกำกับดูแลด้านไอทีคือการใช้สถาปัตยกรรมไร้โดเมนที่ทันสมัย

ในทางปฏิบัติจริง ๆ ไม่มี โดเมน หมายความว่าอย่างไร

โอกาสในการใช้งานแบบไร้โดเมนอาจฟังดูน่ากลัวเล็กน้อยสำหรับผู้ดูแลระบบที่มีประสบการณ์ แต่สภาพแวดล้อมแบบไร้โดเมนที่กำหนดค่าอย่างเหมาะสมจะ มีความปลอดภัย มากกว่าการตั้งค่าโดเมนแบบเดิมในแนวไอทีในปัจจุบัน ในสภาพแวดล้อมแบบไร้โดเมน มาตรการรักษาความปลอดภัยขององค์กรครอบคลุมผู้ใช้แต่ละราย ระบบ Mac, Windows หรือ Linux และทรัพยากรที่จำเป็นในการเข้าถึง ไม่ว่าจะอยู่ที่ใดก็ตาม

ขณะนี้ทรัพยากรไอทีแต่ละแห่งมีขอบเขตที่จำกัด ซึ่งหมายความว่าแทนที่จะทำงานโดยไม่มีหลักประกันภายในขอบเขตของขอบเขตที่ใหญ่ขึ้นหลังจากตรวจสอบความถูกต้องเพียงครั้งเดียว ข้อมูลประจำตัวและสิทธิ์การเข้าถึงจะได้รับการตรวจสอบและตรวจสอบอย่างต่อเนื่อง ผู้ใช้เข้าถึงทรัพยากรได้โดยตรงผ่านการเชื่อมต่ออินเทอร์เน็ตมาตรฐาน แทนที่จะกำหนดเส้นทางผ่านโดเมนสำหรับการตรวจสอบสิทธิ์ และแทนที่ตัวควบคุมโดเมน บริการไดเรกทอรีบนคลาวด์จะจัดการการเข้าถึง การตรวจสอบผู้ใช้ และการบังคับใช้ความปลอดภัย

เป็นแนวคิดของบริการไดเร็กทอรีระบบคลาวด์ที่ทำให้องค์กรแบบไร้โดเมนสามารถทำได้ในทางปฏิบัติ แต่ถึงแม้ด้านอื่นๆ ของไอทีจะย้ายไปยังระบบคลาวด์อย่างมีประสิทธิภาพแล้ว ผู้ดูแลระบบจำนวนมากก็ยังมีข้อกังขาเกี่ยวกับการใช้บริการไดเรกทอรีอย่างเต็มรูปแบบในคลาวด์

ส่วนใหญ่ นั่นเป็นเพราะแนวคิดของบริการไดเร็กทอรีเองนั้นเชื่อมโยงกับ Active Directory อย่างแยกไม่ออก - เครื่องมือที่มีอยู่ใช้แทนปัญหาแต่ละรายการที่เคยแก้ไขได้ และแง่มุมด้านความปลอดภัยของโดเมนนั้นใช้งานง่ายกว่า: ไฟร์วอลล์และล็อคประตูเป็นสิ่งที่คุ้นเคย และทำให้เรารู้สึกควบคุมได้ ดูเหมือนว่ามีเหตุผลที่การยกเลิกโดเมนจะหมายถึงการโจมตีที่เพิ่มขึ้นและการควบคุมความปลอดภัยที่ลดลง

แต่ความจริงก็คือ แม้จะมีมาตรการต่างๆ เช่น ไฟร์วอลล์ การตรวจจับเครือข่าย และการตรวจจับปลายทางและการตอบสนอง องค์กรก็ยังถูกละเมิด หลังจากการโจมตีที่ประสบความสำเร็จใหม่แต่ละครั้งเข้าสู่วงจรข่าว ชุมชนไอทีจะให้ความสำคัญกับวิธีบังคับใช้แนวทางการรักษาความปลอดภัยแบบเดียวกันในเวอร์ชันที่ดีขึ้นและแข็งแกร่งยิ่งขึ้น เห็นได้ชัดว่าวิธีการทำสิ่งต่างๆ แบบเก่าไม่ได้ผล ถึงเวลาแล้วสำหรับแนวทางใหม่ที่เน้นระบบคลาวด์โดยพื้นฐาน

ฟังก์ชันหลักของบริการไดเรกทอรีระบบคลาวด์

บริการไดเร็กทอรีระบบคลาวด์แบบ วลีใช้เพื่ออธิบายโซลูชันที่หลากหลายซึ่งเหมาะสมกับหมวดหมู่ของ IAM อย่างหลวม ๆ แต่เป็นการยากที่จะระบุความหมายของวลีนี้จากผู้ขายไปยังผู้ขาย

โซลูชันไดเร็กทอรีระบบคลาวด์ที่ต่างกันแทบจะไม่มีฟังก์ชันใดที่เทียบเคียงได้ และแทบแทบไม่มีใครทำซ้ำการกำกับดูแลระบบเดิม การรับรองความถูกต้อง และความสามารถในการควบคุมการเข้าถึงของ AD ในฐานะผู้ให้บริการข้อมูลประจำตัวหลักขององค์กร แต่นั่นคือสิ่งที่บริการไดเรกทอรีระบบคลาวด์ต้องทำเพื่อรองรับและรักษาความปลอดภัยสถาปัตยกรรมไร้โดเมนสมัยใหม่

อันที่จริง บริการไดเรกทอรีบนคลาวด์ที่คุ้มค่าควรไปไกลกว่าขอบเขตดั้งเดิมของ AD ด้วยการจัดการการเข้าถึงแอปพลิเคชันบุคคลที่สามและระบบปฏิบัติการที่ไม่ใช่ Windows ทั้งหมดจากแพลตฟอร์มเดียว

ความแตกต่างนี้มีความสำคัญในการเปรียบเทียบบริการไดเรกทอรีระบบคลาวด์ที่แท้จริงกับแพลตฟอร์ม SSO ของเว็บแอป ซึ่งทำให้ผู้ใช้มีข้อมูลประจำตัวในการเข้าถึงแอปพลิเคชัน SaaS ของตน แต่อาจไม่สามารถจัดการการเข้าถึงอุปกรณ์ พื้นฐานการรักษาความปลอดภัย หรือรับรองความถูกต้องของผู้ใช้กับระบบเดิมหรือภายในองค์กร ทรัพยากรโดยใช้โปรโตคอล authN ที่ต้องการ ในแง่นี้ SSO แบบ SAML เป็นเพียงองค์ประกอบหนึ่งของบริการไดเรกทอรีระบบคลาวด์ เงื่อนไขไม่สามารถใช้แทนกันได้

แทนที่จะสร้างการแปลแบบตัวต่อตัวของโมเดลโดเมน AD ที่จัดตั้งขึ้นในระบบคลาวด์ บริการไดเรกทอรีบนคลาวด์ที่เหมาะสมจะแบ่งฟังก์ชันของ AD ออกเป็นส่วนๆ ของส่วนประกอบและคิดใหม่แต่ละส่วนเหล่านั้น หากเราสามารถแยกปัญหาแต่ละปัญหาออกจากวิธีแก้ปัญหาที่เรามองข้ามไป เราก็จะพบกับวิธีการใหม่ๆ ในการแก้ปัญหา

คุณสมบัติหลักต่อไปนี้มีความสำคัญต่อบริการไดเรกทอรีระบบคลาวด์ที่สร้างขึ้นสำหรับองค์กรแบบไร้โดเมน:

• ข้อมูลระบุตัวตนผู้ใช้เดียวที่ปลอดภัยในการเข้าถึงอุปกรณ์ แอปพลิเคชัน WiFi/VPN เซิร์ฟเวอร์ และโครงสร้างพื้นฐาน dev ทั้งในองค์กรและในระบบคลาวด์และโดยไม่คำนึงถึงผู้ขาย
• ความสามารถในการผสานรวมและรวมข้อมูลประจำตัวผู้ใช้จากบริการอื่นๆ รวมถึง G Suite, Office 365, AWS, AD/Azure และ HR/ระบบบัญชีเงินเดือน
• ความสามารถในการจัดเตรียมและยกเลิกการจัดสรรผู้ใช้แบบอัตโนมัติ
• การจัดการระบบระยะไกลด้วยการควบคุมนโยบายเหมือน GPO บนระบบ Mac, Windows และ Linux และการรายงานเชิงลึกเกี่ยวกับสถานะและแอตทริบิวต์ของระบบ
• การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ที่เข้าสู่ระบบ Mac, Windows และ Linux และสำหรับการเข้าถึงทรัพยากรไอทีอื่นๆ เกือบทั้งหมด รวมทั้งความสามารถในการจัดการคีย์ SSH
• การจัดการที่ยืดหยุ่นและเป็นอัตโนมัติผ่านสคริปต์, API หรือ PowerShell
• ข้อมูลโดยละเอียดและการบันทึกเหตุการณ์เพื่อรองรับความต้องการในการตรวจสอบและการปฏิบัติตามข้อกำหนด

ความล้มเหลวในการรักษาความปลอดภัยจำนวนมากไม่ได้สืบย้อนไปถึงการไม่มีองค์ประกอบใดส่วนประกอบหนึ่งข้างต้นทั้งหมด แต่สืบเนื่องมาจากการไม่สามารถนำไปใช้ บังคับใช้ และอัปเดตอย่างสม่ำเสมอทั่วทั้งองค์กร ด้วยเหตุนี้ คุณค่าของบริการไดเรกทอรีระบบคลาวด์แบบรวมศูนย์จึงชัดเจน

กุญแจสู่การไร้โดเมน: ความน่าเชื่อถือของอุปกรณ์และ MFA

แม้ว่าโซลูชัน IAM บนคลาวด์จำนวนมากจะใช้เบราว์เซอร์ทั้งหมด แต่ก็ขาดกุญแจสำคัญในการรักษาความปลอดภัยแบบไร้โดเมนที่ทันสมัย ​​นั่นคืออุปกรณ์ ผู้ใช้ยังคงต้องการเกตเวย์จริงสำหรับการทำงาน ไม่ว่าเกตเวย์นั้นจะเป็นแล็ปท็อป แท็บเล็ต หรือสมาร์ทโฟนก็ตาม อุปกรณ์ควรจัดการการตรวจสอบอย่างต่อเนื่องจำนวนมากที่จำเป็นในการรักษาความปลอดภัยสภาพแวดล้อมแบบไร้โดเมน โดยใช้เฟรมเวิร์กที่เรามองว่าเป็น อุปกรณ์ที่ไว้วางใจ ได้

แนวคิดก็คือ ผู้ใช้ลงชื่อเข้าใช้อุปกรณ์เพียงครั้งเดียว โดยใช้รหัสผ่านหรือข้อมูลประจำตัวแบบไม่มีรหัสผ่านร่วมกับ MFA จากนั้นจึงเข้าถึงทรัพยากรไอทีทั้งหมดได้อย่างปลอดภัย ทุกธุรกรรมมีความปลอดภัยและเข้ารหัสในระดับอะตอม ดังนั้นงานจึงดำเนินการได้อย่างปลอดภัยผ่านการเชื่อมต่ออินเทอร์เน็ตมาตรฐาน

ประสบการณ์ผู้ใช้คล้ายกับประสบการณ์ SSO ในการลงชื่อเข้าใช้เครื่องเดสก์ท็อปในช่วงปลายทศวรรษ 1990/ต้น-กลางปี ​​2000 โดเมน AD แต่สิ่งที่เกิดขึ้นเบื้องหลังนั้นซับซ้อนกว่ามาก และความกว้างของทรัพยากรไอทีที่สามารถเข้าถึงได้คือ ยิ่งใหญ่กว่ามาก

เพื่อให้บริการไดเรกทอรีระบบคลาวด์สร้างความสัมพันธ์ที่เชื่อถือได้กับอุปกรณ์ ต้องปฏิบัติตามเกณฑ์หลายประการและยืนยันซ้ำอย่างต่อเนื่อง เกณฑ์เหล่านี้ทำให้ง่ายต่อการตรวจสอบว่า:

• ผู้ใช้ที่ถูกต้อง กำลังเข้าถึงอุปกรณ์และผู้ใช้รายนั้นคือสิ่งที่พวกเขาบอกว่าเป็น
• อุปกรณ์ที่ถูกต้อง กำลังร้องขอการเข้าถึง
• กำลังขอการเข้าถึงจาก ตำแหน่งที่ถูกต้อง
• มีการบังคับใช้ สิทธิ์ ที่ถูกต้องสำหรับผู้ใช้/อุปกรณ์ภายในทรัพยากรที่กำหนด

นี่คือจุดที่แนวคิดของ MFA ขยายออกไปนอกเหนือจากมาตรการที่ผู้ใช้เผชิญ เช่น โทเค็น TOTP และคีย์ความปลอดภัย WebAuthn ข้อกำหนดข้างต้นสามารถยืนยันได้ระหว่างอุปกรณ์และบริการไดเรกทอรีระบบคลาวด์ ทำให้เกิดปัจจัยที่สาม สี่ ห้า และปัจจัยอื่นๆ ในการตรวจสอบสิทธิ์ซึ่งแทบจะเป็นไปไม่ได้เลยที่ผู้โจมตีจะทำซ้ำร่วมกัน

แนวคิดของการละเมิดเครือข่ายเปลี่ยนแปลงไปอย่างสิ้นเชิงโดยการตรวจสอบสิทธิ์แบบหลายปัจจัยซ้ำๆ กัน: ไม่มีพื้นที่ที่ไม่ปลอดภัยให้สำรวจอีกต่อไปในระหว่างเซสชันที่เปิดหลังจากการตรวจสอบสิทธิ์ครั้งแรกเพียงครั้งเดียว นั่นเป็นเพราะในรูปแบบไร้โดเมน การรักษาความปลอดภัยและการควบคุมการเข้าถึงเกิดขึ้นอย่างมีประสิทธิภาพในแต่ละระดับ แทนที่จะเกิดขึ้นที่ระดับเครือข่ายเท่านั้น เฉพาะบุคคลที่เหมาะสม ด้วยเครื่องที่เหมาะสม การเข้าถึงจากตำแหน่งที่ถูกต้องด้วยสิทธิ์ที่เหมาะสมเท่านั้นจึงจะสามารถเข้าถึงข้อมูลและแอปพลิเคชันได้

บริการไดเร็กทอรีระบบคลาวด์สร้างความเชื่อถือของอุปกรณ์ผ่านการผสมผสานการกำกับดูแลระบบที่เหมือน GPO ซอฟต์แวร์ที่สร้างขึ้นบนหลักการของสิทธิ์น้อยที่สุด และการเข้ารหัสข้อมูลทั้งหมดระหว่างส่งและพัก อีกวิธีหนึ่งในการคิดเกี่ยวกับแนวทางนี้อยู่ในบริบทของ การรักษาความปลอดภัยแบบ Zero-trust

การรักษาความปลอดภัยที่ไม่ไว้วางใจในทางปฏิบัติ

การรักษาความปลอดภัยแบบ Zero-trust หมายความว่าบริการไดเรกทอรีที่เรียกเก็บเงินด้วยการตรวจสอบสิทธิ์จะไม่ถือว่าผู้ใช้ อุปกรณ์ แอปพลิเคชัน หรือทรัพยากรไอทีอื่นๆ ได้รับสิทธิ์ ทำได้โดยการรักษาความปลอดภัยสี่ด้านต่อไปนี้: พนักงาน ระบบ แอปพลิเคชัน และเครือข่าย

พนักงาน

มีระบบในการตรวจสอบว่าพวกเขาเป็นใครจริง ๆ โดยยืนยันรหัสผ่าน (สิ่งที่พวกเขารู้) และโทเค็น MFA (สิ่งที่พวกเขามี) กับฐานข้อมูลไดเร็กทอรีซึ่งทำหน้าที่เป็นแหล่งความจริงที่เชื่อถือได้

ระบบ

ระบบซึ่งน่าจะเป็นเครื่องที่บริษัทออกให้ ซึ่งบุคคลที่ผ่านการตรวจสอบแล้วกำลังใช้ในการเข้าถึงทรัพยากรไอทีจะต้องสะอาด และบุคคลนั้นต้องมีสิทธิ์เข้าถึงเครื่องนั้นโดยชอบด้วยกฎหมาย ในทางปฏิบัติ นี่หมายถึงกลไกบางอย่างเพื่อให้แน่ใจว่าเครื่องเป็นที่รู้จัก นโยบายและการตั้งค่าบังคับใช้มาตรฐานความปลอดภัย และความมั่นใจในระดับสูงว่าผู้ใช้เป็นคนที่พวกเขากล่าวว่าเป็น ซอฟต์แวร์ความปลอดภัยได้รับการตรวจสอบและอัปเดต การวัดและส่งข้อมูลทางไกลของระบบช่วยให้มองเห็นได้ว่าตัวเครื่องไม่ถูกทำลาย

แอปพลิเคชั่น

จำเป็นอย่างยิ่งที่คนที่เหมาะสมบนระบบที่เชื่อถือได้เท่านั้นที่เข้าถึงแอปพลิเคชันได้ ส่วนขยายเชิงตรรกะของข้างต้นคือการตรวจสอบว่าผู้ใช้และเครื่องมีสิทธิ์ในแอพและเครือข่ายที่แอปเปิดอยู่ และเพื่อตรวจสอบความปลอดภัยของเครือข่ายนั้น นี่คือจุดที่ บางครั้ง VPN ยังคงมีบทบาทสำคัญในองค์กรแบบไร้โดเมน เป็นช่องทางที่ปลอดภัยสำหรับแอปพลิเคชันหรือทรัพยากร

เครือข่าย

ไม่ว่าเครือข่ายใดที่ผู้ใช้เปิดอยู่ควรมีความปลอดภัยมากที่สุด แต่ถึงแม้จะไม่ปลอดภัยอย่างสมบูรณ์ ผู้ใช้ก็สามารถสร้างวงล้อมที่ปลอดภัยภายในเครือข่ายนั้นได้โดยใช้ VPN นอกจากนี้ เครือข่ายยังสามารถรักษาความปลอดภัยด้วยวิธีการเพิ่มเติม เช่น MFA และแม้แต่การแบ่งส่วน VLAN

ก้าวแรกสู่การนำสถาปัตยกรรมไร้โดเมนมาใช้งาน

แนวคิดเกี่ยวกับสถาปัตยกรรมแบบไร้โดเมนที่เปิดใช้งานโดยบริการไดเรกทอรีบนคลาวด์และการรักษาความปลอดภัยแบบไม่มีความน่าเชื่อถือนั้นไม่ได้เป็นเพียงปรัชญาหรือความทะเยอทะยานในอนาคตอันไกลโพ้น: อยู่ที่นี่แล้ว และทีมไอทีสามารถเริ่มใช้งานได้ทันที ไม่ว่าจะทั้งหมดหรือทั้งหมด ในแนวทางแบบค่อยเป็นค่อยไปที่เหมาะสมกับโครงสร้างพื้นฐานที่มีอยู่

สำหรับองค์กรที่ลงทุนอย่างลึกซึ้งในโดเมน AD ที่ใช้งานได้ บริการไดเรกทอรีบนคลาวด์สามารถห่อหุ้มอินสแตนซ์ AD ได้ โดยมอบประโยชน์มากมายของโมเดลแบบไร้โดเมนและทำหน้าที่เป็นก้าวสำคัญสำหรับโมเดล all-cloud

บริการไดเรกทอรีระบบคลาวด์ที่แข็งแกร่งจะมีความสามารถในการยืนหยัดด้วยตัวเองในฐานะผู้ให้บริการข้อมูลประจำตัวหลัก ดังนั้นแม้แต่องค์กรที่ไม่พร้อมที่จะใช้งานแบบไร้โดเมน 100% ก็มีตัวเลือกที่จะย้ายออกจาก AD ได้อย่างราบรื่นเมื่อการโยกย้ายนั้นสมเหตุสมผล

หากต้องการเรียนรู้เพิ่มเติม ให้สำรวจข้อมูลเกี่ยวกับ บริการไดเรกทอรีระบบคลาวด์ บน G2