目录服务的未来是无域的

已发表: 2020-05-05

安全、设备管理和访问控制的基本方法正在发生变化。

在 30 年的大部分时间里,这些核心 IT 优先事项与 Active Directory 和 OpenLDAP 密不可分,它们是本地域时代的优秀解决方案。 但最近向远程工作的转变清楚地表明,传统的外围安全和本地基础设施不再足以保护组织的用户身份和云中的机密数据。

为了更好地管理现代工作环境,我们需要重新构想目录服务的各个功能,并将这些功能与硬连线、城堡和护城河域的过时概念区分开来。 今天最重要的是保护用户和设备,无论他们身在何处。

因此,目录服务的未来是无域的。 下面更详细地介绍了我们是如何做到这一点的、无域企业在实践中的样子,以及组织可以采取哪些步骤来实现其 IAM 基础设施的现代化。

重新构想目录服务和域概念

我们所知道的域概念本质上是在 1990 年代构建的,它是当时硬连线办公环境中安全用户和计算机治理的绝佳解决方案。 虽然从那时起,IT 的大多数其他领域已经完全转变,但这种模式仍然是当今大多数组织的身份和访问管理方法的基础。

许多 IT 专业人员认为该域是理所当然的,并认为下一个合乎逻辑的步骤是通过添加 Web 应用程序单点登录 (SSO) 提供商和其他身份桥梁来适应和扩展它以适应云时代。 但更实际的方法可能是回顾该领域最初旨在解决的核心问题,确定其中哪些问题在今天仍然相关,并探索使用现代创新解决这些问题的新方法。

在 1990 年代中期到 2000 年代中期,办公室环境大不相同。 工人们使用钥匙卡或实际钥匙进入实体店。 他们走到办公桌前,在固定的电脑前坐下。 这些计算机通过以太网电缆连接到物理办公室内的一些内部数据中心或服务器机柜。 从该中心位置内部,域控制器授予对本地网络内 IT 资源的访问权限。 反过来,该物理网络受到防火墙和建筑物本身的物理访问保护,免受外部攻击。

当时,这种设置本质上是安全且易于管理的,它提供了无缝的用户体验,用户无需管理多个密码或考虑在幕后发生的授权和身份验证过程。 环境是同质的,每个工作站都有一个运行 Windows 和 Microsoft 程序的桌面塔。 Active Directory (AD) 非常适合这种类型的环境,它能够为用户提供可能是第一次单点登录 (SSO) 体验:一组凭据来访问其基于 Windows 的 IT 资源单一系统登录。

现在,快进到现在,拆除那栋建筑的所有墙壁。 在云技术和广泛使用的高速无线互联网的支持下,IT 趋向于在办公室之外实现灵活性。 员工现在不再是带有塔和管监视器的固定计算机,而是可以随身携带笔记本电脑和其他设备,连接到互联网并开始工作。 简而言之,这就是无域企业,这就是我们当前的现实。

男人

但是在一个域外发生大量工作的世界中,IT 部门被迫重新评估 Active Directory 曾经独自处理的挑战。

领域模型的现代缺陷

Active Directory 一直在努力适应和集成现代云资源和非 Windows 操作系统,其设计的外围安全模型不足以保护远程工作人员。

因此,问题变成了如何将 AD 提供的集中式管理工作流程和简单、安全的用户体验转化为现代环境,包括 Mac 和 Linux 系统、Web 应用程序、云服务器和远程网络,并且可能会或可能不会继续-prem 基础设施。 无论用户在哪里工作,用户都需要以最小的摩擦连接到他们的 IT 资源,IT 管理员需要确信用户身份和专有数据受到保护,不会受到攻击。

问题在于,IT 几乎无法像在传统 AD 域环境中那样控制现代用户身份。 应用程序已从传统的一次性购买、本地安装架构迁移到基于云的订阅模式。 一些应用程序仍然安装在本地,通过网络浏览器在云中处理身份和配置。

留给自己管理身份的用户最终会得到数十个(如果不是数百个)密码,并面临忽略安全准则并共享或重用弱密码的诱惑。

用户也可能会在没有 IT 部门批准或监管的情况下,在他们认为合适的情况下为新应用程序创建自己的帐户。 这种影子 IT 会给组织带来不必要的安全风险。 甚至由 IT 管理的身份可能存在于自己的孤岛中,每个单独的身份都需要自己的手动配置和取消配置过程。

没有与过去的 AD 身份类似的单一的中心身份。 管理员需要一种新的方法来保护连接,将所有内容安全地置于 IT 的权限范围内,满足安全性和合规性基线,并为远程工作准备设备。

说到系统,MacBook 和 Linux 系统现在已经司空见惯。 经验丰富的 Microsoft 管理员曾经拒绝将 Mac 系统引入工作场所,但现在适应这些系统已成为标准做法。 在传统的 Active Directory 域中,如果不添加 AD 之外的其他单点解决方案(例如系统管理工具甚至 MDM),Mac 和 Linux 系统管理就不会那么流畅或安全。

坐在电脑上的人


围绕 OpenLDAP 构建的域环境也好不到哪里去:LDAP 域和服务器主要管理身份、密码、组和组织单位,但通常缺乏系统管理、安全策略实施和云应用程序集成能力。 IT 资源已从仅使用 LDAP 作为选择的身份验证协议转变为利用现代标准,例如 SAML、SCIM、OAuth、OIDC 等。 传统 LDAP 环境还需要高度的专业知识来配置和维护。

填补 IT 监督中上述空白的合乎逻辑的方法是实施现代无域架构。

无域在实践中的真正含义是什么?

对于有经验的管理员来说,无域的前景可能听起来有点可怕,但在当今 IT 环境中,正确配置的无域环境可能比传统的域设置安全得多。 在无域环境中,组织的安全态势围绕着每个单独的用户、他们的 Mac、Windows 或 Linux 系统以及他们需要访问的资源,无论这些组件位于何处。

现在,每个 IT 资源都有自己的严密边界。 这意味着身份和访问权限在经过一次身份验证后不会在强化的更大范围内基本上不安全地运行,而是不断地检查和验证身份和访问权限。 用户直接通过标准互联网连接访问他们的资源,而不是通过域路由进行身份验证。 云目录服务代替域控制器处理访问管理、用户身份验证和安全实施。

正是这种云目录服务的概念使无域企业在实践中成为可能。 但即使 IT 的许多其他方面已有效迁移到云,许多管理员仍对在云中实施全方位的目录服务持保留态度。

在很大程度上,这是因为目录服务本身的想法与 Active Directory 有着千丝万缕的联系——现有工具代表了它曾经解决的个别问题。 并且域的安全方面更直观:防火墙和门锁很熟悉,它们给我们一种控制的感觉。 放弃域意味着增加遭受攻击的风险并减少对安全性的控制,这似乎是合乎逻辑的。

但事实是,即使采取了防火墙、网络检测、端点检测和响应等措施,组织仍然会受到攻击。 在每次新的成功攻击进入新闻周期后,IT 社区重新关注如何实施更好、更强大的相同安全方法版本。 显然,旧的做事方式行不通。 现在是采用全新的以云为中心的方法的时候了。

云目录服务的核心功能

短语云目录服务用于描述松散地适合 IAM 类别的各种解决方案,但很难确定这个短语在供应商之间的真正含义。

不同的云目录解决方案很少能提供类似的功能,而且几乎没有一个能完全复制 AD 作为组织核心身份提供者的原始系统治理、身份验证和访问控制功能。 但这正是云目录服务为了支持和保护现代无域架构而需要做的事情。

云目录服务

事实上,一项有价值的云目录服务实际上应该超越 AD 的原始范围,通过一个平台管理对第三方应用程序和非 Windows 操作系统的访问。

在将真正的云目录服务与 Web 应用程序 SSO 平台进行比较时,这一区别很重要,该平台为用户提供了一个身份来访问他们的 SaaS 应用程序,但可能无法管理设备访问、安全基线或对旧版或本地用户进行身份验证使用他们首选的身份验证协议的资源。 从这个意义上说,基于 SAML 的 SSO 只是云目录服务的一个组成部分; 这些术语不可互换。

适当的云目录服务不是在云中创建已建立的 AD 域模型的一对一转换,而是将 AD 的功能分解为其组成部分,并重新构想这些部分中的每一个部分。 如果我们能够将个别问题与我们认为理所当然的解决方案区分开来,我们就可以找到解决它们的新方法。

以下核心功能对于为无域企业构建的云目录服务至关重要:

  • 单一、安全的用户身份,用于访问本地和云中的设备、应用程序、WiFi/VPN、服务器和开发基础设施,无论供应商如何
  • 能够集成和整合来自其他服务的用户身份,包括 G Suite、Office 365、AWS、AD/Azure 和 HR/薪资系统
  • 自动用户配置和取消配置功能
  • 远程系统管理,对 Mac、Windows 和 Linux 系统进行类似 GPO 的策略控制,并深入报告系统状态和属性
  • Mac、Windows 和 Linux 系统登录时的多重身份验证 (MFA),用于访问几乎所有其他 IT 资源,以及 SSH 密钥管理功能
  • 通过脚本、API 或 PowerShell 进行灵活的自动化管理
  • 详细的数据和事件记录,以支持审计和合规性需求

许多安全故障并非源于上述任何一个组件的完全缺失,而是无法在整个组织内统一应用、实施和更新它们。 考虑到这一点,集中式云目录服务的价值就变得清晰起来。

无域化的关键:设备信任和 MFA

尽管许多云 IAM 解决方案完全基于浏览器,但它们缺少现代无域安全性的关键:设备。 用户仍然需要一个物理网关来工作,无论该网关是笔记本电脑、平板电脑还是智能手机。 保护无域环境所需的大量持续验证应该由设备处理,使用我们可以认为是设备信任的框架。

这个想法是,用户使用密码或无密码凭据加上 MFA 的组合登录设备一次,然后获得对其所有 IT 资源的安全访问。 每笔交易都在原子级别上得到保护和加密,因此可以通过标准的互联网连接安全地进行工作。

用户体验类似于在 1990 年代后期/2000 年代中期 AD 域中登录桌面计算机的 SSO 体验,但幕后发生的事情要复杂得多,并且可供访问的 IT 资源的广度是大得多。

多发性硬化症

为了让云目录服务与设备建立信任关系,必须满足几个标准并不断重申。 这些标准简化为验证:

  • 正确的用户正在访问设备,并且该用户就是他们所说的那个人
  • 正确的设备正在请求访问
  • 正在从正确的位置请求访问
  • 正在为给定资源中的用户/设备强制执行正确的权限

这就是 MFA 概念超越 TOTP 令牌和 WebAuthn 安全密钥等面向用户的措施的地方。 可以在设备和云目录服务之间确认上述要求,建立第三、第四、第五和更多的身份验证因素,攻击者几乎不可能一起复制。

这种重复的多因素身份验证彻底改变了破坏网络的想法:在一次初始身份验证之后,在开放会话期间不再有不安全的区域可以遍历。 这是因为在无域模型中,安全和访问控制有效地发生在每个级别,而不仅仅是在网络级别。 只有正确的人,使用正确的机器,从正确的位置以适当的权限进行访问,才能访问数据和应用程序。

云目录服务通过将类似 GPO 的系统治理、基于最小特权原则构建的软件以及传输中和静止的所有数据的加密相结合来建立设备信任。 考虑这种方法的另一种方法是在零信任安全的背景下。

实践中的零信任安全

零信任安全意味着负责身份验证的目录服务绝不会将用户、设备、应用程序或其他 IT 资源的合法性视为理所当然。 它是通过保护以下四个领域来实现的:员工、系统、应用程序和网络。

雇员

建立了一个系统,通过根据目录数据库确认他们的密码(他们知道的东西)和他们的 MFA 令牌(他们拥有的东西)来验证他们的真实身份,目录数据库是权威的事实来源。

系统

经过验证的人员用来访问 IT 资源的系统(可能是公司发行的机器)必须是干净的,并且该人员必须有权访问该机器。 在实践中,这意味着某种机制可以确保机器是已知的、策略和设置强制执行安全标准,以及高度确定用户就是他们所说的那个人。 检查和更新安全软件。 系统遥测有助于确保机器本身不受损害的可见性。

应用

只有受信任系统上的合适人员才能访问应用程序,这一点至关重要。 因此,上述逻辑扩展是验证用户和机器是否有权访问应用程序和应用程序所在的网络,并验证该网络的安全性。 这就是VPN有时仍然可以在无域企业中发挥关键作用的地方,作为通向应用程序或资源的安全隧道。

网络

无论用户在哪个网络上都应该尽可能安全,但即使它不完全安全,用户也可以使用 VPN 在该网络内创建一个安全飞地。 此外,可以通过 MFA 甚至 VLAN 分段等其他方式来保护网络。

实现无域架构的第一步

这种由云目录服务和零信任安全支持的无域架构的想法并不是纯粹的哲学思想或对未来的某种遥远的愿望:它现在就在这里,IT 团队可以立即开始实施它,无论是完全还是采用适合其现有基础设施的渐进式方法。

对于深入投资于正常运行的 AD 域的组织,云目录服务可以封装 AD 实例,提供无域模型的许多好处,并作为全云模型的垫脚石。

强大的云目录服务将能够独立作为核心身份提供者,因此即使是尚未准备好实现 100% 无域的组织,现在也可以选择在迁移确实有意义时无缝地脱离 AD。

如果您想了解更多信息,请浏览有关G2 上的云目录服务的信息。