目錄服務的未來是無域的

已發表: 2020-05-05

安全、設備管理和訪問控制的基本方法正在發生變化。

在 30 年的大部分時間裡,這些核心 IT 優先事項與 Active Directory 和 OpenLDAP 密不可分,它們是本地域時代的優秀解決方案。 但最近向遠程工作的轉變清楚地表明,傳統的外圍安全和本地基礎設施不再足以保護組織的用戶身份和雲中的機密數據。

為了更好地管理現代工作環境,我們需要重新構想目錄服務的各個功能,並將這些功能與硬連線、城堡和護城河域的過時概念區分開來。 今天最重要的是保護用戶和設備,無論他們身在何處。

因此,目錄服務的未來是無域的。 下面更詳細地介紹了我們是如何做到這一點的、無域企業在實踐中的樣子,以及組織可以採取哪些步驟來實現其 IAM 基礎設施的現代化。

重新構想目錄服務和域概念

我們所知道的域概念本質上是在 1990 年代構建的,它是當時硬連線辦公環境中安全用戶和計算機治理的絕佳解決方案。 雖然從那時起,IT 的大多數其他領域已經完全轉變,但這種模式仍然是當今大多數組織的身份和訪問管理方法的基礎。

許多 IT 專業人員認為該域是理所當然的,並認為下一個合乎邏輯的步驟是通過添加 Web 應用程序單點登錄 (SSO) 提供商和其他身份橋樑來適應和擴展它以適應云時代。 但更實際的方法可能是回顧該領域最初旨在解決的核心問題,確定其中哪些問題在今天仍然相關,並探索使用現代創新解決這些問題的新方法。

在 1990 年代中期到 2000 年代中期,辦公室環境大不相同。 工人們使用鑰匙卡或實際鑰匙進入實體店。 他們走到辦公桌前,在固定的電腦前坐下。 這些計算機通過以太網電纜連接到物理辦公室內的一些內部數據中心或服務器機櫃。 從該中心位置內部,域控制器授予對本地網絡內 IT 資源的訪問權限。 反過來,該物理網絡受到防火牆和建築物本身的物理訪問保護,免受外部攻擊。

當時,這種設置本質上是安全且易於管理的,它提供了無縫的用戶體驗,用戶無需管理多個密碼或考慮在幕後發生的授權和身份驗證過程。 環境是同質的,每個工作站都有一個運行 Windows 和 Microsoft 程序的桌面塔。 Active Directory (AD) 非常適合這種類型的環境,它能夠為用戶提供可能是第一次單點登錄 (SSO) 體驗:一組憑據來訪問其基於 Windows 的 IT 資源單一系統登錄。

現在,快進到現在,拆除那棟建築的所有牆壁。 在雲技術和廣泛使用的高速無線互聯網的支持下,IT 趨向於在辦公室之外實現靈活性。 員工現在不再是帶有塔和管監視器的固定計算機,而是可以隨身攜帶筆記本電腦和其他設備,連接到互聯網並開始工作。 簡而言之,這就是無域企業,這就是我們當前的現實。

男人

但是在一個域外發生大量工作的世界中,IT 部門被迫重新評估 Active Directory 曾經獨自處理的挑戰。

領域模型的現代缺陷

Active Directory 一直在努力適應和集成現代云資源和非 Windows 操作系統,其設計的外圍安全模型不足以保護遠程工作人員。

因此,問題變成瞭如何將 AD 提供的集中式管理工作流程和簡單、安全的用戶體驗轉化為現代環境,包括 Mac 和 Linux 系統、Web 應用程序、雲服務器和遠程網絡,並且可能會或可能不會-prem 基礎設施。 無論用戶在哪里工作,用戶都需要以最小的摩擦連接到他們的 IT 資源,IT 管理員需要確信用戶身份和專有數據受到保護,不會受到攻擊。

問題在於,IT 幾乎無法像在傳統 AD 域環境中那樣控制現代用戶身份。 應用程序已從傳統的一次性購買、本地安裝架構遷移到基於雲的訂閱模式。 一些應用程序仍然安裝在本地,通過網絡瀏覽器在雲中處理身份和配置。

留給自己管理身份的用戶最終會得到數十個(如果不是數百個)密碼,並面臨忽略安全準則並共享或重用弱密碼的誘惑。

用戶也可能會在沒有 IT 部門批准或監管的情況下,在他們認為合適的情況下為新應用程序創建自己的帳戶。 這種影子 IT 會給組織帶來不必要的安全風險。 甚至由 IT 管理的身份可能存在於自己的孤島中,每個單獨的身份都需要自己的手動配置和取消配置過程。

沒有與過去的 AD 身份類似的單一的中心身份。 管理員需要一種新的方法來保護連接,將所有內容安全地置於 IT 的權限範圍內,滿足安全性和合規性基線,並為遠程工作準備設備。

說到系統,MacBook 和 Linux 系統現在已經司空見慣。 經驗豐富的 Microsoft 管理員曾經拒絕將 Mac 系統引入工作場所,但現在適應這些系統已成為標準做法。 在傳統的 Active Directory 域中,如果不添加 AD 之外的其他單點解決方案(例如係統管理工具甚至 MDM),Mac 和 Linux 系統管理就不會那麼流暢或安全。

坐在電腦上的人


圍繞 OpenLDAP 構建的域環境也好不到哪裡去:LDAP 域和服務器主要管理身份、密碼、組和組織單位,但通常缺乏系統管理、安全策略實施和雲應用集成能力。 IT 資源已從僅使用 LDAP 作為選擇的身份驗證協議轉變為利用現代標準,例如 SAML、SCIM、OAuth、OIDC 等。 傳統 LDAP 環境還需要高度的專業知識來配置和維護。

填補 IT 監督中上述空白的合乎邏輯的方法是實施現代無域架構。

無域在實踐中的真正含義是什麼?

對於有經驗的管理員來說,無域的前景可能聽起來有點可怕,但在當今 IT 環境中,正確配置的無域環境可能比傳統的域設置安全得多。 在無域環境中,組織的安全態勢圍繞著每個單獨的用戶、他們的 Mac、Windows 或 Linux 系統以及他們需要訪問的資源,無論這些組件位於何處。

現在,每個 IT 資源都有自己的嚴密邊界。 這意味著身份和訪問權限在經過一次身份驗證後不會在強化的更大範圍內基本上不安全地運行,而是不斷地檢查和驗證身份和訪問權限。 用戶直接通過標準互聯網連接訪問他們的資源,而不是通過域路由進行身份驗證。 雲目錄服務代替域控制器處理訪問管理、用戶身份驗證和安全實施。

正是這種雲目錄服務的概念使無域企業在實踐中成為可能。 但即使 IT 的許多其他方面已有效遷移​​到雲,許多管理員仍對在雲中實施全方位的目錄服務持保留態度。

在很大程度上,這是因為目錄服務本身的想法與 Active Directory 有著千絲萬縷的聯繫——現有工具代表了它曾經解決的個別問題。 並且域的安全方面更直觀:防火牆和門鎖很熟悉,它們給我們一種控制的感覺。 放棄域意味著增加遭受攻擊的風險並減少對安全性的控制,這似乎是合乎邏輯的。

但事實是,即使採取了防火牆、網絡檢測、端點檢測和響應等措施,組織仍然會受到攻擊。 在每次新的成功攻擊進入新聞周期後,IT 社區重新關注如何實施更好、更強大的相同安全方法版本。 顯然,舊的做事方式行不通。 現在是採用全新的以雲為中心的方法的時候了。

雲目錄服務的核心功能

短語云目錄服務用於描述鬆散地適合 IAM 類別的各種解決方案,但很難確定這個短語在供應商之間的真正含義。

不同的雲目錄解決方案很少能提供類似的功能,而且幾乎沒有一個能完全複製 AD 作為組織核心身份提供者的原始系統治理、身份驗證和訪問控制功能。 但這正是雲目錄服務為了支持和保護現代無域架構而需要做的事情。

雲目錄服務

事實上,一項有價值的雲目錄服務實際上應該超越 AD 的原始範圍,通過一個平台管理對第三方應用程序和非 Windows 操作系統的訪問。

在將真正的雲目錄服務與 Web 應用程序 SSO 平台進行比較時,這一區別非常重要,該平台為用戶提供了一個身份來訪問其 SaaS 應用程序,但可能無法管理設備訪問、安全基線或對舊版或本地用戶進行身份驗證使用他們首選的身份驗證協議的資源。 從這個意義上說,基於 SAML 的 SSO 只是雲目錄服務的一個組成部分; 這些術語不可互換。

適當的雲目錄服務不是在雲中創建已建立的 AD 域模型的一對一轉換,而是將 AD 的功能分解為其組成部分,並重​​新構想這些部分中的每一個部分。 如果我們能夠將個別問題與我們認為理所當然的解決方案區分開來,我們就可以找到解決它們的新方法。

以下核心功能對於為無域企業構建的雲目錄服務至關重要:

  • 單一、安全的用戶身份,用於訪問本地和雲中的設備、應用程序、WiFi/VPN、服務器和開發基礎設施,無論供應商如何
  • 能夠集成和整合來自其他服務的用戶身份,包括 G Suite、Office 365、AWS、AD/Azure 和 HR/薪資系統
  • 自動用戶配置和取消配置功能
  • 遠程系統管理,對 Mac、Windows 和 Linux 系統進行類似 GPO 的策略控制,並深入報告系統狀態和屬性
  • Mac、Windows 和 Linux 系統登錄時的多重身份驗證 (MFA),用於訪問幾乎所有其他 IT 資源,以及 SSH 密鑰管理功能
  • 通過腳本、API 或 PowerShell 進行靈活的自動化管理
  • 詳細的數據和事件記錄,以支持審計和合規性需求

許多安全故障並非源於上述任何一個組件的完全缺失,而是無法在整個組織內統一應用、實施和更新它們。 考慮到這一點,集中式雲目錄服務的價值就變得清晰起來。

無域化的關鍵:設備信任和 MFA

儘管許多雲 IAM 解決方案完全基於瀏覽器,但它們缺少現代無域安全性的關鍵:設備。 用戶仍然需要一個物理網關來工作,無論該網關是筆記本電腦、平板電腦還是智能手機。 保護無域環境所需的大量持續驗證應該由設備處理,使用我們可以認為是設備信任的框架。

這個想法是,用戶使用密碼或無密碼憑據加上 MFA 的組合登錄設備一次,然後獲得對其所有 IT 資源的安全訪問。 每筆交易都在原子級別上得到保護和加密,因此可以通過標準的互聯網連接安全地進行工作。

用戶體驗類似於在 1990 年代後期/2000 年代中期 AD 域中登錄桌面計算機的 SSO 體驗,但幕後發生的事情要復雜得多,並且可供訪問的 IT 資源的廣度是大得多。

多發性硬化症

為了讓雲目錄服務與設備建立信任關係,必須滿足幾個標準並不斷重申。 這些標準簡化為驗證:

  • 正確的用戶正在訪問設備,並且該用戶就是他們所說的那個人
  • 正確的設備正在請求訪問
  • 正在從正確的位置請求訪問
  • 正在為給定資源中的用戶/設備強制執行正確的權限

這就是 MFA 概念超越 TOTP 令牌和 WebAuthn 安全密鑰等面向用戶的措施的地方。 可以在設備和雲目錄服務之間確認上述要求,建立第三、第四、第五和更多的身份驗證因素,攻擊者幾乎不可能一起復制。

這種重複的多因素身份驗證徹底改變了破壞網絡的想法:在一次初始身份驗證之後,在開放會話期間不再有不安全的區域可以遍歷。 這是因為在無域模型中,安全和訪問控制有效地發生在每個級別,而不僅僅是在網絡級別。 只有正確的人,使用正確的機器,從正確的位置以適當的權限進行訪問,才能訪問數據和應用程序。

雲目錄服務通過將類似 GPO 的系統治理、基於最小特權原則構建的軟件以及傳輸中和靜止的所有數據的加密相結合來建立設備信任。 考慮這種方法的另一種方法是在零信任安全的背景下。

實踐中的零信任安全

零信任安全意味著負責身份驗證的目錄服務絕不會將用戶、設備、應用程序或其他 IT 資源的合法性視為理所當然。 它是通過保護以下四個領域來實現的:員工、系統、應用程序和網絡。

僱員

建立了一個系統,通過根據目錄數據庫確認他們的密碼(他們知道的東西)和他們的 MFA 令牌(他們擁有的東西)來驗證他們的真實身份,目錄數據庫是權威的事實來源。

系統

經過驗證的人員用來訪問 IT 資源的系統(可能是公司發行的機器)必須是乾淨的,並且該人員必須有權訪問該機器。 在實踐中,這意味著某種機制可以確保機器是已知的、策略和設置強制執行安全標準,以及高度確定用戶就是他們所說的那個人。 檢查和更新安全軟件。 系統遙測有助於確保機器本身不受損害的可見性。

應用

只有受信任系統上的合適人員才能訪問應用程序,這一點至關重要。 因此,上述邏輯擴展是驗證用戶和機器是否有權訪問應用程序和應用程序所在的網絡,並驗證該網絡的安全性。 這就是VPN有時仍然可以在無域企業中發揮關鍵作用的地方,作為通向應用程序或資源的安全隧道。

網絡

無論用戶在哪個網絡上都應該盡可能安全,但即使它不完全安全,用戶也可以使用 VPN 在該網絡內創建一個安全飛地。 此外,可以通過 MFA 甚至 VLAN 分段等其他方式來保護網絡。

實現無域架構的第一步

這種由雲目錄服務和零信任安全支持的無域架構的想法並不是純粹的哲學思想或對未來的某種遙遠的願望:它現在就在這裡,IT 團隊可以立即開始實施它,無論是完全還是採用適合其現有基礎設施的漸進式方法。

對於深入投資於正常運行的 AD 域的組織,雲目錄服務可以封裝 AD 實例,提供無域模型的許多好處,並作為全雲模型的墊腳石。

強大的雲目錄服務將能夠獨立作為核心身份提供者,因此即使是尚未準備好實現 100% 無域的組織,現在也可以選擇在遷移確實有意義時無縫地脫離 AD。

如果您想了解更多信息,請瀏覽有關G2 上的雲目錄服務的信息。