为了让企业的 IT 系统完成驱动业务生产力的使命,公司决策者必须优先考虑 IT 的安全工作,因为安全是所有技术的基础。
而要选择采用哪种统一身份认证方案并不简单,需要考虑很多因素,其中最重要的一点是所用的平台是否遵循端到端的零信任方法框架。
近期,“零信任”这一概念在产品营销中随处可见,其概念也经常被误用。关于零信任最简单的一种理解是:零信任是一个如何实现 IT 安全的概念,具体涉及身份、工作负载、设备、网络和数据。 统一身份认证系统涵盖了这些领域,在验证用户和设备身份方面发挥着关键作用,有力保障安全访问。
NingDS 身份目录云和微软的 Active Directory 联合服务(ADFS)是两种常见的统一身份认证系统,可在跨域环境中将身份对接到 IT 资源。本文对比了 ADFS 和 NingDS,直观展现两种系统的异同,帮助企业正确选择更适合的统一认证方案,以实现零信任 IT 安全策略。
一、ADFS vs NingDS
比起用户体验,ADFS 和 NingDS 最大的区别主要体现在底层架构上。
微软 AD 由 Windows 2000 引入,目的是在防火墙后进行身份认证、授权和管理。过去二十年里,IT 行业发生了翻天覆地的变化,其中基于 SAML 协议的单点登录(SSO)工具作为一种跨域解决方案越来越受欢迎。ADFS 为了广泛支持 SSO,将遗留的 AD 架构进行扩展,以适用于 Web 端。
但是这种实现方式极其复杂:除了负载均衡器等基本的网络基础设施之外,企业还需要部署、配置和管理运维 server farm(服务器集群),才能实现这一点。
微软自己也承认实施这一方案难度很大。
其客户指南中写道:“我们不推荐使用 [ADFS] 这一功能 ,除非您需要集成单点登录和本地密码管理。这一方法需要管理多台服务器,并且仅适用于安全设置和要求较为复杂的区域,部署难度和成本都较高。”
运行 ADFS 的域控制器和运行 Web 应用程序代理的其他服务器都是必要组件,缺点是影响安全性以及增加 IT 管理开销。因此微软建议企业单独为 SSO 部署专门的 server farm (服务器集群)。但是,AD 域控制器根本无法用于跨 WAN (广域网)的 SSO,所以 ADFS 本质上增加了服务器的安全风险。
相比之下,NingDS 适用于无域企业,无域环境没有遗留系统,没有需要管理的服务器,云 LDAP 目录、IAM 平台和轻量级代理都能支持易于配置的 SSO。此外,NingDS 也包含一个零信任框架,确保不会对“加域”设备随意授予信任。这也是 ADFS 和 NingDS的一个关键区别:AD 中,域控制器本质上是“信任的”;NingDS 则不是。
二、ADFS 违反零信任原则
微软 AD 中存在一种固有的“信任”原则,在初始访问完成后就会为域上的 Windows 设备授予所有访问权限。而为了确认设备是否可信,还需要一个完整的安全工具生态系统进行验证。因此,这种原生的信任关系与零信任原则完全相反。一旦微软的域控制器接受并信任加域设备,这种信任就会延伸,使得该设备能够访问域中的所有资源。
用户认证工作流
NingDS
登录托管设备,开启用户门户会话,每个应用程序都需要用户名和密码(甚至多因素认证MFA)才能访问。
ADFS
登录到域资源(通常是与域绑定的设备),然后自动对用户进行身份认证并授权访问现有的任意 SSO 应用程序。
由此可见,ADFS 对域资源的原生信任不仅违反了零信任原则,而且为加域设备提供了访问所有资源的权限,反而迫使 IT 管理员采用更多工具来加强访问安全。要保护 ADFS 配置中的组件更是大大增加了管理负担。
三、ADFS 防护费时费力
域控制器安全取决于补丁、端点检测和响应(EDR)、硬件安全以及各环节的运维情况,其复杂程度可想而知:每隔一个周二,Windows Server 就会源源不断地出现零日漏洞。中小企业(SME)很难跟上系统维护的步伐。很多野生的系统漏洞也经常被攻击者利用。2021年,零日攻击次数更是创下新高。种种迹象表明,运行服务器的风险比以往任何时候都高,究其原因就在于冷血的黑客组织受到利益驱使而不断攻击中小企业。
这绝非危言耸听,真实案例比比皆是。例如 Cozy Bear,该组织被认为与俄罗斯情报机构相关,去年年底就利用了 ADFS 身份认证栈中的一个漏洞,导致140多家微软经销商成为攻击目标,其中14家数据被盗。由于 ADFS 的高度复杂性,即使是微软认证的专家在安全方面也是捉襟见肘。
你可能会问,“我的关键任务应用程序是否应该自动信任域控制器?” 当然不行。但如果部署 ADFS 是为了启用 SSO,那么这种信任就不可避免,而且是违背零信任的。 ADFS 是 Active Directory 的配套方案,为微软生态增加了便利。但这种便利和熟悉并不是企业回避现代化基础设施的理由。
四、有代价的安全
如前所述,AFDS 并非完全不安全的方案。Windows Server 还是可以被锁定,只是中小企业不太可能会对安全运营中心(SOC)中的威胁狩猎等安全活动全部叠加使用。微软通过 Azure AD 提供一系列收费的安全服务,仅 Azure AD 就有三种不同的威胁和安全工具。如果只是为了增强 ADFS 的安全,购买这些工具只会让成本飙升,效果可能还不好。
如果有安全方面的预算,可以聘请专家处理各类安全问题。否则,即便买再多工具或方案也不能有效提升安全。相比之下,基于零信任框架的 NingDS 更能满足企业的现代化安全需求。
(下篇将讲述 NingDS 零信任架构的优势,以及中小企业使用 NingDS 有何好处。)
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)
了解更多