关于Azure AD
微软官方文档解释到,其实在Azure上提供的云端身份表示和资源访问服务,可以帮助员工登录以及访问以下位置的资源:
• 外部资源:例如Microsoft 365 ,Azure门户以及成千上万的其他SaaS应用程序。
• 内部资源:例如公司网络和intranet上的应用,以及有自己的组织开发的任何云应用。
对应开发人员来讲,按照这些理解,我们大概了解到Azure AD其实是微软基于云的标识和授权访问管理服务,它可以帮助我们在Azure中登录和访问资源。我们可以通过Azure的标识平台生成应用程序,采用微软标识登录。以及获取令牌来调用受保护的API资源,这里和Identity Server 4 类似,这一些功能也是基于包含Oauth2.0和Open ID Connect的身份验证服务。
实现标识平台,Azure AD所支持的项目类型。
以上,是引用微软关于Azure AD介绍的所支持的所有类型的身份认证平台
微软标识平台的发展
微软标识平台由Azure AD开发人员平台演变而来。借助该平台,开发人员可以生成登录用户的应用程序,以及获取令牌调用API。例如Microsoft Graph或受保护的API资源。它包含身份验证服务,开源库,应用程序注册和配置等等和其他人开放人员内容。微软标识平台支持行业标准协议,例如Oauth2.0和OpenID Connect。
说到这里,不如再聊一聊微软的零信任。零信任是当前网络环境一直居高不下的热门词汇,是企业数字化转型之后的首要目标,也是传统的安全模型的一次变革。
什么是零信任安全模型
零信任是一种安全模型,基于访问主体身份、网络环境、终端状态等尽可能多的信任要素对所有用户进行持续验证和动态授权。
零信任与传统的安全模型存在很大不同,传统的安全模型通过“一次验证+静态授权”的方式评估实体风险,而零信任基于“持续验证+动态授权”的模式构筑企业的安全基石。
其实基于零信任,不同的人不同的领域,又会有不同的解释,但是不论是什么解释,大家都会有一个共识,达成企业环境完全零信任是很难的,我们需要依托于很多的场景进行构想,很多的方案进行优化。从安全基线的调整,安全策略的制定,访问原则的规划,等等。我们都要逐一进行规划,部署和测试。而完成这一切我们又需要依托于各种工具又或者是应用技术去实现,以微软为例:
这是一个非常庞大,而且复杂的模型。
为什么零信任很重要呢?
随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有安全边界,企业信息安全面临着前所未有的挑战。
访问者身份及接入终端的多样化、复杂化打破了网络的边界,传统的访问管控方式过于单一。在用户一次认证后,整个访问过程不再进行用户身份合规性检查,无法实时管控访问过程中的违规和异常行为。
业务上云后各种数据的集中部署打破了数据的边界,同时放大了静态授权的管控风险,数据滥用风险变大。高低密级数据融合导致权限污染,被动抬高整体安全等级,打破安全和业务体验的平衡。
资源从分散到云化集中管理,按需部署。由于当前安全管控策略分散、协同水平不高,云端主机一旦受到攻击,攻击将难以快速闭环,很难形成全局防御。
零信任是应对上述挑战的重要方法。采用零信任方案可以统一身份管理,构筑身份边界,实时感知风险,实现动态和细粒度授权。
零信任的核心原则
持续验证,动态授权,全局防御
-
持续验证,永不信任,构建身份安全基石
零信任对人、终端和应用进行统一身份化管理,建立以身份为中心的访问控制机制。以访问主体的身份、网络环境、终端状态等作为认证的动态考量因素,持续监测访问过程中的违规和异常行为,确保接入网络的用户和终端持续可信。 -
动态授权,精细访问控制,权限随需而动
零信任不依赖通过网络层面控制访问权限,而是将访问目标的权限细化到应用级、功能级、数据级,只对访问主体开放所需的应用、功能或数据,满足最小权限原则,极大收缩潜在攻击面。同时安全控制策略基于访问主体、目标客体、环境属性(终端状态、网络风险、用户行为等)进行权限动态判定,实现应用、功能、数据等维度的精细和动态控制。 -
全局防御,网安协同联动,威胁快速处置
零信任通过对终端风险、用户行为异常、流量威胁、应用鉴权行为进行多方面评估,创建一条完整的信任链。并对信任分低的用户或设备生成相应的处置策略,联动网络或安全设备进行威胁快速处置,为企业搭建一张“零信任+网安联动”的安全网络。
Azure AD与零信任
说起Azure AD和零信任之间的关系,其实二者的关系是非常紧密的。一方面是微软的资源控制平台(标识平台),一方面是零信任的要求,持续验证,永不信任,动态授权,全局资源控制。可以说Azure AD 就是微软为了筑起零信任模型的第一道防线。我们可以依托于此来保护我们的身份和标识,来让我们的资源访问行为更加的安全。文章来源:https://www.toymoban.com/news/detail-781602.html
- 我们可以将业务的应用系统集成
- 我们可以将认证平台改为Azure AD支撑单点登录
- 我们可以对所有的访问进行动态的判断
- 我们可以对所有的权限从新划分
- 。。。
所以我称其为零信任的第一道防线,当然微软也是这样去制定的,所以Azure AD在零信任方向,才会表现的如此出众。文章来源地址https://www.toymoban.com/news/detail-781602.html
到了这里,关于什么是Azure AD?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
