在今日的現代企業中,安全性和身分管理之間的關係是密不可分的。 對安全性團隊而言,身分管理為基本安全性實務提供關鍵的功能。 對身分團隊而言,安全性是確保重要身分完整性的關鍵要素。 雲端型企業解決方案的採用已經改變了安全性和身分管理的動態,企業在考慮轉移到雲端前必須考量到兩者兼顧。
SailPoint 是身分管理的革新產品,藉由提供和管理本地端或雲端應用程式與系統的存取權限,讓客戶享有企業級的身分治理。 IdentityNow 是 SailPoint 的多租用戶雲端型身分治理解決方案,可提供統一平台進行存取驗證、佈建及密碼管理。
本文件提供 IdentityNow 的安全性技術檢視,以及說明 SailPoint 如何採用創新方式保障雲端身分治理的安全性。
在雲端中的身分
為了有效瞭解 SailPoint 如何確保雲端身分的完整性,就必須了解這個問題存在的原因。
今日的全球工作力是個複雜分布的員工網路: 員工、承包商、供應商、合作夥伴等等。 工作力保持高生產力所需的不同存取需求和相互關聯性,造就了安全性風險的複雜環境。 更多的使用者資訊暴露在網路中 - 這是對攻擊者而言極為珍貴的資料 - 讓 IT 企業在維護資料安全性和隱私方面承擔了更多壓力。
從身分管理的角度來看,使用者名稱和密碼是讓企業遭到入侵的常見弱點。 為了保護資料並確保隱私,企業組織都要求供應商 – 尤其是雲端供應商 – 提供多層作法的安全性。
使用者初步佈建帳戶是認證外洩風險的起點,使用者進一步採取其他帳戶動作,例如密碼更新和存取驗證,風險將持續。 敏感個人資料也可能是潛在目標,確保這些資訊 (無論動態或靜態) 的安全都很重要。 若要處理這些風險,企業必須找尋一項身分管理解決方案。這份方案必須能夠防護所有途徑的攻擊,包含認證和敏感資料的傳輸,確保身分平台、開發和營運流程以及人員訓練的安全性。
啟用企業級產品安全
有如此大量的資料在企業外部存取和共用,用來防護認證和敏感資料的傳統方法當然並不足夠。 SailPoint 從頭設計 IdentityNow 的目的就是要處理在雲端傳輸重要資料的各項核心挑戰。 無論敏感資料是在動態或靜態情形下,IdentityNow 都採用至少兩層加密。 這兩層加密一定是不同類型,因此如果任何一層遭到破解,另一層也無法用相同方式破解。
保護管理認證
SailPoint 在雲端身分服務方面注重的關鍵領域之一就是安全管理認證,佈建、密碼管理和許多其他管理工作都需要這項認證。 許多供應商通常只使用 HTTPS 或 SSL 保護動態的敏感資料。 如同 2012 年發現的「心臟出血」(Heartbleed) 漏洞等弱點,只靠單一層加密的風險太高了。
Zero Knowledge Encryption – SailPoint 的首創產品 – 可以針對 IdentityNow 必須使用管理認證才能完成自動化工作的任何動作,保護管理存取以及與外部系統的任何互動。
Zero Knowledge Encryption 保護認證的方式是藉由分隔金鑰和加密資料,如此一來,即使是 SailPoint 也無法解密客戶的資料。 SailPoint 完全沒有保留關於認真的任何資訊,可確保完全的安全性。
Zero Knowledge Encryption 透過 SailPoint Virtual Appliance 部署: 一個適用本地端和雲端資源的安全、靈活與備援介面。 虛擬設備可部署於叢集中,各叢集都包含多個備援虛擬設備。 叢集中的第一個虛擬設備會產生 RSA 2048 位元加密金鑰,在該叢集中是獨一無二的。 各叢集中的其他虛擬設備可以強化備援與負載平衡能力。 每個叢集都有本身特有由使用者指派的複雜密碼,使用者會部署多個叢集來滿足企業特殊安全模型的分布需求,例如在各資料中心或地理位置中部署一個叢集,以維持劃分安全性區域。
虛擬設備叢集會在防火墻內執行,無需連接埠即可開啟。 公司管理員會指定一組複雜密碼 (只有他們知道),用來產生一組 2048 位元 RSA 公開/私密金鑰組,虛擬設備會使用這組金鑰組保護管理通訊的安全。 所有加密都使用一個在安全界限中建立與維護的金鑰,確保企業的入侵防護功能和防火牆強制原則完整無缺。 這個金鑰會依據使用者的安全性原則加以管理和輪調。
保護密碼管理
密碼是經歷歲月考驗的運算安全性基石,但是也常常成為關鍵的漏洞。 雖然優良的密碼原則、教育和強化可以讓密碼本身更有效果,但是用來輔助密碼管理的工具可能會引進其他受攻擊面。 在今日工作力逐漸趨向行動化,並且密碼管理解決方案成為這些多元企業不可或缺的要素時,這個問題變得更加複雜。 SailPoint 設計的 IdentityNow 的密碼管理服務,內建強力的安全性基礎架構,足以確保認證決不會外洩給攻擊者。
當使用者在指定目標系統上更新密碼時,IdentityNow 會確保這項交易的安全,以防範攻擊者攔截移動中的新密碼。 IdentityNow 會再次執 Zero Knowledge Encryption 來完成密碼更新,讓認證避開風險。
IdentityNow 也使用 Zero Knowledge Encryption 防護更新密碼所需之敏感管理認證的安全,就像處理佈建等其他管理動作一般。
驗證
驗證是保護應用程式和系統存取的關鍵要素。 IdentityNow 使用高度安全的驗證機制。 如同其他重要服務一般,SailPoint 使用 Zero Knowledge Encryption 搭配多層加密直接驗證進入 IdentityNow。 此外,大範圍的讀寫直接連接器能幫助完成與已經使用的可信賴的驗證技術整合。
IdentityNow 管理員使用身分個人檔案定義使用者的群組,例如員工或承包商。 每個身分個人檔案都可以設定為使用直接 IdentityNow 驗證,或使用傳遞驗證搭配連接到 IdentityNow 的資料來源之一。
此外,IdentityNow 可以和單一登入工具整合,通過 SAML 通訊協定使用同盟強化驗證進入 IdentityNow 的能力。 這個驗證方法已經證實相當難遭到駭客攻擊。
直接 IdentityNow 驗證
SHA-256 是安全雜湊演算法 (SHA) 的 256 位元 (32 位元組) 實作。 這是個密碼編譯雜湊函式,像是文字或其他資料的簽章。 SHA-256 演算法是一個單向函式,可產生固定大小的 256 位元雜湊,這個雜湊無法解密回原始資料,是個非常理想的密碼加密工具。 SHA-256 是現有最強力的密碼編譯雜湊函式之一。
在為了進行直接 IdentityNow 驗證而設定的身分個人檔案中,有新的使用者建立密碼時,就會同時建立一個 SHA-256 雜湊。 這樣也會為密碼建立一個極度安全的密碼編譯表示法,透過安全的 TLS 連線傳送給 IdentityNow,提供兩層加密。 由於這個 SHA-256 演算法是個單向密碼編譯雜湊,所以純文字密碼無法從雜湊值復原,即使是 SailPoint 也辦不到。 SailPoint 完全無法得知或儲存使用者的密碼。
無論使用者後續何時登入 IdentityNow,都不會使用實際的密碼。 使用者每次登入時都會產生這個密碼編譯雜湊,使用者會依據雜湊值通過驗證進入 IdentityNow。 此外,如果他們需要強式驗證以存取受保護的資源,或是管理存取,安全問題的答案就在單向雜湊。 所有雜湊都透過 TLS 傳送,隨時都提供至少兩層的加密。
傳遞驗證
傳遞驗證可以讓管理員持續以過去相同方式控管使用者登入 IdentityNow: 藉由控管目錄。
其他解決方案要求在 LDAP 或 Microsoft Active Directory 伺服器上安裝代理程式,才能進行這種整合式驗證,這樣可能會導致安全性風險。 代理程式有延展性的限制,而且不提供備援或高度容錯。 部份其他解決方案甚至要求在防火牆中開啟連接埠才允許通訊。 IdentityNow 使用虛擬設備確保內部系統安全。
如果新使用者的身分個人檔案設定為使用傳遞驗證,而該使用者要建立密碼時,IdentityNow 會使用 Zero Knowledge Encryption 加密新的密碼。 新的密碼會在瀏覽器中使用 2048 位元 RSA 公開金鑰加密,此金鑰由虛擬設備主控。 只要在公司的防火牆內,這個虛擬裝置就會使用客戶管理的私密金鑰取得密碼,並且在目標系統上設置密碼。 SailPoint 無法得知密碼,也無法存取或解密。
未來使用者登入 IdentityNow 時,這個密碼的 2048 位元加密表示法會傳送給客戶防火牆內的 SailPoint 虛擬設備,即可從該處取得目標系統密碼。 目標驗證系統稍後必須驗證使用者的認證。 只有在使用者成功通過目標驗證系統的驗證之後,IdentityNow 才允許他們登入。
瀏覽器和 IdentityNow 之間的所有這類通訊都是透過 TLS 連線進行 – 這是除了 2048 位元 RSA 密碼加密以外的第二層加密。
強式驗證
強式驗證可以讓管理員為更敏感的資源提供更高的安全性,根據信賴的地理位置或網路降低未授權存取的風險。 IdentityNow 可以針對自助密碼管理、IdentityNow 的管理存取、較高風險應用程式的存取以及從不受信賴的地理位置或網路存取 IdentityNow,要求強式驗證取得更高的保障。
強式驗證也可以用來提供不同群組的使用者適當層級的額外監督,以允許 IdentityNow 的基本存取。 IdentityNow 中使用多個強式驗證機制,確保使用者的身分正確,所有機制都會依據各企業的驗證原則進行微調。
IdentityNow 中包含的一個常見強式驗證方法為知識基礎驗證,使用者會收到回答安全性問題的提示,以驗證他們的身分。
由於這些安全性問題的答案可以用來進行變更密碼或存取更高風險應用程式等動作,所以這些答案本身就是需要安全防護的敏感資料。 SailPoint 已成功滿足這個需求,使用與密碼和其他認證相同的嚴格標準,防護知識基礎驗證資訊的安全。
當 IdentityNow 使用者設定管理員定義的安全性問題時,答案會加密為單向雜湊,使用內含隨機字串常數和使用者 UUID 的 salt。
這樣可以讓使用者的答案非常難以遭到駭客攻擊。 IdentityNow 也包含多因子驗證的選項。 IdentityNow 管理員可以設定要支援何種多因子驗證方法,包含越來越長的信賴第三方整合清單,例如 Duo Security 和 RSA SecurID。
使用 SAML 的同盟
企業在處理大規模的身分管理專案時,通常會選擇一位身分識別提供者協助存取管理;尤其式單一登入。 當 IdentityNow 和這類工具整合時,經由驗證進入身分識別提供者的使用者將能夠使用同盟登入 IdentityNow。
同盟提供驗證功能,而且使用者不需要輸入密碼即可進入 IdentityNow。 使用同盟進行驗證的驗證方法已經證實相當難遭到駭客攻擊。 安全性聲明標記語言 (SAML) 是一項開放式標準資料格式,可讓受信賴各方之間交換驗證和授權資料。 SAML 可進行同盟驗證,IdentityNow 在其中信賴身分識別提供者執行驗證。 當 IdentityNow 使用同盟進行驗證時,IdentityNow 和身分識別提供者之間會建立信賴關係。 安全登入身分識別提供者的使用者可以直接存取 IdentityNow,無須輸入密碼。
IdentityNow 平台安全性
SailPoint 不只開發了 IdentityNow 來減少其他解決方案根深蒂固的風險,同時也部署了高度安全的雲端基礎架構。 平台的各元素都經過細心設計,盡可能提供最安全的服務。
雲端架構
IdentityNow 服務裝載於 Amazon Web Services (AWS) 雲端平台上,為基礎架構提供很多重要防護1,包括虛擬伺服器、資料儲存空間、資料庫、網路和其他資源。 SailPoint DevOps 為這個基礎架構安全性基準線提供另一層的安全性,包括監控和警示、特殊權限使用者控管以及其他嚴格稽核流程。 這些流程每年都接受 SOC 2 Type 2 稽核。
IdentityNow 資訊安全性評估
SailPoint 為其 IdentityNow 產線完成了兩項資訊安全性評估。 這些標準會評估開發做法以及產品內的機密資訊處理方式。 這兩項評估包括:
ISO/IEC 27001:2013
這是一項國際認可的安全性標準,指明要建立、實施、維護與持續改善企業環境中的資訊安全管理系統 (ISMS) 所需的必要條件。 它也包含專為企業需求量身設計的評估與處理資訊安全性風險所需的必要條件。
SOC 2 Type 2 證明
由美國會計師協會 (AICPA) 建立,針對服務企業控管提供詳細資訊與保障,內容與其系統處理之資訊安全性、可用性和機密性等信託服務原則相關。
完成評估時,SailPoint 客戶就可以信賴 IdentityNow 服務的完整性、安全性和可信度。
IdentityNow 的網路應用程式使用 HTTPS,其採用在 TLS 安全性層級之上的超文字傳輸通訊協定。 瀏覽器和 IdentityNow 伺服器之間的所有通訊都透過 HTTPS 進行。 使用 HTTPS 可提供一層加密,同時在整個工作階段確保伺服器的驗證。 這就表示所有敏感資料在傳輸時都受到保護,可防範偽造內容、惡意伺服器、竄改或竊聽。
網路應用程式攻擊防範
IdentityNow 採用各種產業級特殊技術,可防範可能遭遇的各種網路應用程式攻擊。 每個可能在伺服器上修改資料的 HTTPS 要求,例如 POST,都必須包含跨網站偽造要求 (CSRF) 防護標頭。 此外,為了進一步防範 CSRF 攻擊,為每一個必須通過伺服器驗證的要求建立一個一次性使用的隨機數字,稱為密碼編譯 nonce。
IdentityNow 採用大量措施防範跨網站指令碼 (XSS) 攻擊。 例如,IdentityNow 不允許從任何網域載入 JavaScript,除非是由 SailPoint 控管的預先設定網域,以及 SailPoint 使用的應用程式內通知工具。 此外,IdentityNow 拒絕任何產生於 XSS 插入的 XMLHttpRequest (XHR)。
如果有人企圖違反這些安全原則,即便攻擊並未成功,IdentityNow 也會要求瀏覽器通知伺服器。
傳輸層安全性 (TLS) 是一項通訊協定,可以提供隱私,並確保其連結的網路瀏覽器和伺服器之間具備資料完整性。 透過 TLS 傳送的資料會使用安全性憑證以及公開和私密金鑰組合進行加密,提供網路安全的基礎層,對使用者而言完全透明。
超文字傳輸通訊協定 (HTTP) 搭配 TLS 使用即為所謂的 HTTPS。 這項通訊協定廣泛使用於網際網路上,可確保網站的驗證,並保護與其交換之資料的隱私和完整性。
在初步資料握手的 TLS 交換中,網路伺服器會傳送其簽署憑證,瀏覽器會使用此憑證來確認該伺服器是和驗證過的伺服器互動,而不是惡意或未授權伺服器。 加密金鑰會在工作階段期間交換並使用,以加密瀏覽器和網路伺服器之間的所有通訊。
客戶資料隱私和安全性
由於雲端服務會儲存資料並且代表許多客戶進行互動,所以請務必確認每位客戶的資料都很安全,而且只有獲得授權的客戶可以存取。 IdentityNow 只會在使用者 IdentityNow 執行個體的範圍內驗證每位使用者,而且只有通過該範圍內驗證的使用者可存取其執行個體的任何資料。 這個使用者範圍的驗證會在每個 API 呼叫中進行,包括來自 IdentityNow 網路應用程式或 SailPoint 行動應用程式的呼叫。 在這個額外的措施中,所有輸入伺服器的內容都會在伺服器上經過驗證,確保內容格式正確。
此外,一開始就能夠定義與限制哪些資料可能在雲端中儲存,也非常重要。 IdentityNow 可以讓管理員針對連接到 IdentityNow 的各來源,微調其帳戶和身分屬性,以及單獨儲存在雲端中的其他使用者資料。 這樣可以確保 IdentityNow 只將客戶辨識為必要的資料儲存在雲端中。
流程安全性
達成安全性目標不只是透過產品架構和優秀的平台標準。 為了建立真正安全的解決方案,供應商在整合產品時,也應該實施嚴格控管 - 尤其是在雲端中,產品的更新速度遠超過現實世界。
安全開發標準
SailPoint 開發者必須接受持續的安全性訓練,包括如何開發安全碼的說明,以及所有程式碼在認可前都需要簽核。 IdentityNow 程式碼使用產業標準雲端程式碼存放庫確保安全,它要求所有使用者通過驗證進入使用 SailPoint 的企業。 它也依據各使用者的部門或角色使用存取層級限制。 例如,具備認可特殊權限的開發者無法存取生產資源,具備生產存取權的開發者無法修改或認可原始程式碼。
IdentityNow 建立的基礎架構在 SailPoint 的資料中心進行本地裝載,具備安全防火牆防禦任何入侵。 要存取此建構基礎架構也需要通過安全性驗證進入使用 SailPoint 的企業。 為了進一步確保建構和部署流程不會遭到破解,實際執行環境中的任何部署都需要主管層級的核准。
此外,IdentityNow 原始程式碼不包含任何可以用來進行反項工程或解密已加密敏感使用者資料的資訊。 SailPoint 的 Zero Knowledge Encryption 可以確保 SailPoint 絕對不知道可以解密客戶資料的金鑰,而且在平台內為非使用者資料所使用的其他安全性金鑰,不會認可存放在原始程式碼存放庫中。
滲透和安全性測試
SailPoint 會對 IdentityNow 進行定期的第三方滲透測試,確保平台的長期安全性。 這套測試會評估平台的所有部分,找尋各種弱點。 這些測試可以有效評估 IdentityNow 因應各種攻擊的彈性,這些攻擊包括對通過驗證或未通過驗證者的攻擊。
IdentityNow 會例行性接受測試,測試層級包含大範圍評估所有弱點類別。 進行測試的第三方安全性公司會收到不受限制的 IdentityNow 存取權限,如此一來他們才能完整分析應用程式和資源,並且建立足夠多弱點,完整測試其彈性。
測試結果可以用來強化和精進 SailPoint 的開發做法並改善 IdentityNow 的安全性。
平台安全性實務
IdentityNow 平台部署團隊採用各種工具,盡可能完整稽核與追蹤所有會影響 IdentityNow 服務安全性的動作。 當任何此類動作出現時,會自動產生所有 AWS 基礎架構動作的完整稽核記錄。 此外,在命令列介面上執行的所有命令都會記錄和儲存在這個稽核記錄中。 稽核記錄會儲存在安全的異地位置,所有 SailPoint 人員都無法將其刪除、編輯或變更。
除了記錄之外,安全性相關事件也會產生警示,開發作業人員會及時收到事件通知。
只有關鍵人員才有 IdentityNow 實際執行環境的存取權限,網路層的存取權也會鎖定,確保只有獲授權人員可以存取任何敏感資料。
人員
為了持續確保 IdentityNow 現在和未來的安全性,SailPoint 員工每年都要完成線上電腦安全性意識訓練。 部門層級也提供適用各角色的額外訓練。 所有工程團隊成員都要接受開發和測試安全性應用程式的相關教育,包括開放網路應用程式安全專案 (OWASP) 的建構安全網路應用程式和網路服務指南、OWASP 十大專案的最新文件、安全程式設計委員會的使用 Java/JavaEE 之安全程式設計人員基礎技能,以及 SANS 的 25 大程式設計錯誤。
結論
為了將轉移至雲端的優勢發揮到極致,現代企業都需要採用深層的企業安全性實務。 使用者、應用程式和資料的可見性與控管,加上三者之間的關聯,使得身分管理對企業安全性而言相當重要。 企業應該找尋一套可提供強大功能性和進階防護的身分管理解決方案,以防禦各種攻擊。 SailPoint IdentityNow 透過全面性的流程與技術組合,提供創新的企業級安全性,涵蓋雇用和訓練、軟體架構和開發、營運和基本的雲端基礎架構。 SailPoint 對創新與安全性的承諾,今日都實現於 IdentityNow,在我們致力於身分治理以維護企業安全的同時,也將成為我們的未來目標。
- Amazon 的安全性可以在其白皮書中檢視: https://d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf