现在你根本无法在城堡周围挖一条安全的护城河。 人们普遍认为,网络边界的“城堡和护城河”安全模型并不有效。 你可能听说过身份边界和零信任,但它们在现实世界中到底意味着什么? 我们还面临其他挑战,例如以一致、安全的方式授权访问 API,以便安全专家可以测试和审核。
身份边界是关于确保谁可以访问什么,它有三个关键部分。 首先,我们需要安全地识别用户的能力——这就是 Multifactor 发挥作用的地方。 其次,我们需要将身份扩展到应用——这就是我们使用联合的地方。 第三,我们还必须要求使用该身份来访问所有内容,以便我们拥有单一的控制点和检查设备的能力——这是访问代理有用的地方。 F5 实验室的报告《从十年数据泄露事件中吸取的教训》显示,33% 的泄露事件最初针对的是身份信息。 显然我们还有很多工作要做。
Google 的 BeyondCorp 方法将访问代理确定为强制单点控制的功能。 这使得它成为零信任架构的关键部分。 虽然一些供应商有访问代理解决方案,但大多数供应商在可部署的云、可从的身份供应商处使用或可实施的控制方面受到限制。
失效的身份验证和失效的访问控制是 Web应用中很常见且严重的问题,被列入 OWASP Top 10 之中。 这些威胁非常常见,以至于身份验证绕过在攻击脚本库中占有重要地位,正如F5 Labs 的 2018 年应用保护报告所示。 访问代理提供了一种一致的方法来实现应用所需的访问控制和身份验证要求。 这样就无需相信每个应用开发人员都是身份验证专家(不太可能)。 我们花了很多时间讨论“上市时间”,但“安全时间”也同样重要。
当直接在您的应用中实现 API 授权控制时,每种语言和框架的实现方式都必须略有不同。 这使得评估和确定控制措施的有效性变得非常具有挑战性,并显著增加了需要修补、测试和维护的安全控制的数量。 一个能够跨云运行且无论使用何种应用语言都能以相同方式部署的单一解决方案对于成功保护 API 至关重要。
F5 正在发布Access Manager来帮助客户解决这些问题。 一些主要特点如下:
IDaaS 和联合集成- 支持 SAML、OAuth 和 OpenID Connect,使 Access Manager 能够扩展您的身份以保护更多应用并维护单一控制点。 通过引导配置支持主要的 IDaaS 供应商,例如 Okta 和 Azure AD。 Access Manager 还可以充当身份提供者或授权服务器,提供完整的解决方案。
API 授权——访问管理器通过支持 OAuth、OpenID Connect、证书授权等,为您的 API 提供一种安全、一致的方式来实施授权控制。
凭证保护——身份攻击不会在数据中心边缘停止,因此您的保护也不应该停止。 Access Manager 通过在用户输入凭证时(甚至在使用 F5 DataSafe 提交之前)对其进行加密,将身份保护扩展到用户的浏览器。
细粒度的策略控制– Access Manager 包含一个可视化策略构建器,可帮助您根据每个应用、用户或设备创建细粒度的控制来控制风险。
引导配置——通过清晰的指导将复杂的任务提炼为简单的步骤。 这使安全团队能够快速建立零信任架构、保护 API、扩展其 IDaaS 解决方案的覆盖范围或授予对应用的访问权限。
展望未来,F5 发现需要采用新的基于风险的用户身份验证模型来以几年前不可能实现的方式来确保身份安全。 显然,集成代理和一致的安全身份验证和授权方法至关重要。 期待很快出现保护身份边界的新方法。