随着IT步入虚拟化和云计算时代,信息安全面临的挑战也开始朝着多元化复杂化的形势发展。身份认证作为防护信息资产的第一道关口,当然需要随之而变。RSA作为全球领先的信息安全解决方案提供商,在身份认证方面提供最全和最新的解决方案供客户使用。日前,e-works记者采访到EMC信息安全事业部RSA中国区资深技术顾问冯崇彪先生,请冯顾问介绍了目前企业面临的安全威胁、企业在身份认证方面的挑战和虚拟化和云计算时代的身份认证跟传统的认证有什么区别,并请他就多种身份认证的技术的优缺点进行了深入的分析,最后介绍了RSA认证的方法以及相应的解决方案。
图1 RSA中国区资深技术顾问冯崇彪
身份认证技术是整个信息安全的基础,它是企业信息安全体系的门锁,如果进入者的身份都无从识别,那么再坚固的房子都形同虚设,因此身份认证技术广泛应用在企业信息安全的各个层面。然而,随着IT技术的快速发展,云计算、社交化、移动办公等大潮的侵袭,身份认证的对象、应用环境和场景都发生了变化,身份认证开始面临巨大的挑战。
这些挑战里面,最热词当数BYOD(Bring Your Own Device)。BYOD是指用自带的设备到企业内部,登录到企业的网络访问内部的信息,这些设备包括智能手机、平板等等各种各样的客户端。从以前企业网络内部单一的设备到现在各式各样的终端只是变化的一部分,事实上,使用这些终端的人员由以前单一的企业内部员工,已经演变成包上下游合作伙伴、客户等等,而且这些设备接入的入口已经扩展到移动,连应用都延伸到各种“云”里。“任何用户、任何设备、任何地方接入,这些对于咱们现在的身份认证就带来了非常大的挑战。” RSA中国区资深技术顾问冯崇彪表示。
可见,新时期的身份认证,需要针对于不同的用户的群体采取不同的认证方式。冯顾问列举这些不同群体就包括内部的员工、临时工、合同工、合作伙伴、客户、审计人员,还有远程需要接入的员工等等,这些用户需要在任何的时间从任何的地方(比如在家里、出差的时候)使用任意设备(包括传统的笔记本、台式机或者是ipad等各种移动设备)通过这些设备来进行安全的访问。
图2 新时期身份认证的挑战
除了不同用户和BYOD外,“认证”技术也需要加强。因为,新的高级威胁也给身份认证也带来了更高的挑战,比如攻击者已经由一个黑客发展成地下产业链、APT攻击今年让很多企业损失惨重,这些威胁需要通过更高级的分层策略来判断和控制。第四个方面,云和可管理服务资源共享给大家带来便利的同时,用户去“云”上访问资源时候如何做身份认证?另外一方面,客户如何安全的通过托管的、可管理的身份认证去访问第三方云平台提供的认证服务?
应对这些挑战,冯顾问介绍了四种认证技术:
·一次性口令(OTP)。它一般由一个静态口令加上一个令牌组成比如时间型的令牌码,在当前这一分钟之内有效,过了这一分钟就无效。并且这个口令用一次别人就不能再用了,所以叫做一次性口令。
·基于风险的认证呢。它根据用户行为或者动作来判断操作行为风险的高低,根据他风险的高低来判别使用什么样认证的方式。比如判断网购交易异常,数额高于一般交易时会弹出警告进一步认证操作者身份。
·数字证书。数字证书的技术是基于PKI的架构,用户做认证,首先需要申请证书,激活之后,这个证书可以用于做邮件的加密或者做用户的认证等等各。
·基于知识的认证。它是通过询问客户问题的方式来做认证。比如宠物的名称等每个人设定的特有的问题和答案。
这四种主流的身份认证方式,各有不同的应用场景,如图2所示。“可以看出,数字证书的定位主要是基于设备的认证,一次性令牌是对于人的认证,基于知识的认证可以应对高速增长的客群,而基于风险的认证则可以广泛应用,各个侧重点不同。”冯顾问进一步区别了四种技术的应用场景。
图3 不同认证技术的应用场景
“RSA的身份认证方法主要是建立于基于风险的分析,是所有认证解决方案的基础。”冯顾问讲到RSA能提供广泛的认证技术、方法以及平台,来满足客户独特的需求。他举例到,“比如说我们针对于各行各业不同大小的机构,有不同的认证方式,同时可以保护集成最广泛的应用和设备。对于不同的应用、设备,为不同的用户群提供身份认证,包括不同的认证方式的因素以及认证处理的流程。并且,RSA根据客户的预算来定制,可以做客户的端到端的认证解决方案。”
在解决方案方面,RSA针对于不同的目标市场都有相应的不同使用场景,并且采用不同的技术和不同的解决方案,如图4和图5所示。对于小型和中型的SMB的企业,主要用在保护SSL VPN和网络应用,所以使用基于风险的认证,采用的是RSA Authentication Manager Express解决方案;对于企业级用户,需要保护任何应用门户以及网络架构,这里面使用认证的技术有一次性口令以及基于风险的认证,后台使用的是RSA Authentication Manager认证管理器;对于企业级的消费者,主要是保护团队的应用,比如保护网银、网上游戏等等,还是使用基于风险的认证技术,采用RSA自适应身份认证。(自适应是根据客户的行为、根据客户不同的用户群、根据不同的使用产品和风险的级别,采用不同的认证方式。);对于大型机构对设备的认证,采用RSA的数字证书服务;对于面向B2C的市场,是动态的基于知识的认证,比如我在账号做登记或者做客户支持电话的时候使用。
图4 RSA解决方案平台
图5 RSA针对性的解决方案平台
冯顾问总结到,“RSA可以针对客户不同的使用场景、不同的目标客户、不同的用户情况,采用不同的技术和不同的解决方案,来为各类客户提供独特的定制化的方案。”因此,RSA的方案是全方位覆盖云时代的身份认证。这种全方位覆盖,还体现在RSA对第三方平台的集成上。比如RSA的自适应身份认证的平台,实际上是可以集成各种第三方的认证方式。用户可以从客户端、中间的应用端以及后台的认证端三方集成,包括提供KPI和开放结果,比如跟苹果的app store做一些相应的集成。冯顾问指出“ RSA提供多种选择给客户,客户是想从便利性、成本以及安全性方面都得到满足。” 此外,为了完善RSA方案的覆盖力,每年RSA通过召开信息安全大会和扩大合作阵容,和国内的友商一块来推进整个中国的市场。
在选择身份认证解决方案方面,冯顾问认为需要注重三方面的内容,也是RSA做到的:第一点,可用性,即兼顾用户使用感受,首先就要注重方便性——不让用户觉得麻烦;第二点是可扩展性,当用户量扩大的时候额外扩充身份认证设备需要花很多钱;第三点是统一认证,在统一平台上管理用不同的技术实现的不同客户的身份认证,从而充分利用IT资源,最大化效率。
后记:信息安全问题在云时代受到前所未有的重视,在身份认证这个信息安全前端领域,要把好这个关卡,需要用全面的解决方案应对多方的“情况”。因为这个“情况”不仅来自于不同的人,还有不同的设备,还有不同的分布式IT环境和不同地点的应用。RSA的理念就是让任何人在任何时间任何地点使用任何设备来进行安全访问,从冯顾问的访谈里,我们可以清晰的看到这一点。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:RSA冯崇彪:全面应对云时代的身份认证
本文网址:http://www.toberp.com/html/consultation/1083936525.html
相关文章
