云上的身份认证应对趋势 | 企业安全专题

本文为洋葱创始人兼CEO，前DNSPod创始人吴洪声应邀参加第二届乌云白帽大会时，在企业安全专场进行的专题演讲内容实录。

众所周知，近年来云服务市场异常火热，越来越多的企业开始尝试云服务，并且体会到云计算带来的便捷和成本优势。然而使用云服务的同时也可能会带来各种各样的问题，尤其是在初期。比如，当企业使用云服务时，员工会有各种各样的外部网站账号。一个云服务账号登录了，企业却不知道到底是员工本人在登录，还是黑客冒充登录，甚至可能只是一个恶意木马，密码体系从来只匹配账号密码是否匹配，从来不关心背后的人。

云服务意味着企业的防御边界也将不断向外扩张，在这种情况下企业如何做好身份认证，以应对越来越复杂的身份环境？今天我就来和大家一起讨论这个问题。

身份认证，举足轻重却漏洞百出

首先我们来看一组数据，Gartner在前不久发布的《2016年企业安全趋势报告》中提到了今年企业面临安全问题的5个核心领域，其中身份认证就在其中占一个很重要的位置。但是现实中的身份认证形势却不容乐观，根据《Verizon 2016数据泄露报告》中的数据统计，有超过一半的企业网络安全事故和身份认证凭据盗用有关。我们平时上乌云网也会看到，10个漏洞里面，起码有一半和和员工弱口令、账户体系控制不严等相关。

问题太普遍以至于大家都习以为常了，很多人归结为员工自身安全意识不足，常常草草了事，出了问题就让员工改复杂密码，改完就当问题解决了，下一次继续出现同样的问题，再继续整改，如此往复。员工和账户管理员也在一次次的整改中不厌其烦的改密码，改密码。

有的企业会用账号密码的限制策略，一些注重账号安全的企业常常会采用OTP（一次性密码）、手机短信等认证方式来替代账号密码或作为二次认证措施。我认识的一个朋友所在的企业，就曾为大部分员工配备了一次性动态令牌硬件，以保证安全性。这些方法有一定成效，但也存在种种弊端，比如成本昂贵、使用不便等。

目前成体系的解决方案主要有4A和IAM，在国内传统企业来说，大家都认4A，但是在国外使用更多的是IAM方案，IAM算是比4A更先进的企业身份认证解决方案，所有也被称为“大4A”，但其实从本质上看来，两者相差无几，都是把内部的多个系统进行集中授权和管理，配备一个强身份认证手段，根据不同用户的不同身份来分配对应的权限。近年大数据分析兴起，因此在IAM 的方案中，越来越多地开始采用大数据分析进行用户行为审计，判断用户身份的真实性。

防御边界正消失，身份无处不在

本地部署的4A方案和 IAM方案 固然能解决内部权限的认证和管理问题，但越来越多的企业都在往云上迁移，比如在国外经常用的Saleforce、国内用的比较多的钉钉、纷享销客等等，企业边界正在不断弱化，身份关系变得更加复杂，原本围墙式的防御措施正在逐渐失效，本地部署的IAM也显得捉襟见肘，很多地方顾及不到。

一旦上了云，员工在使用外部服务时，企业再也无法像管理内部应用一样管理员工的账号，无法再要求使用复杂密码或定期修改，无法得知登录者是员工本人，还是他人，甚至是恶意木马在登录，这些都无从得知，因为传统的认证方式只认凭据而不认人。

所以越来越多的企业干脆弱化内外网的概念，比如 Google 公司就已经不再区分内网外网。传统的防御方式被形容为「硬壳软糖」，外表看起来很坚固，咬破之后里面很美味，这种观点如今已经得到大部分人的认可，区分内外网的做法下，一旦攻击者突破边界就几乎可以为所欲为，非常危险。身份认证也是如此，以往员工只需要登录内部应用，将核心的内容和日常内容进行隔离就可以大致保证安全，如今身份认证无处不在，在内部，在云服务，在移动应用等等。

在去掉边界的情况下，新的问题就会不断产生，企业也会不断产生更多的身份认证需求。既然内外网不再区分，内部身份和外部身份错综复杂，这时把内部外部的身份打通，实现统一管理就成了新的强需求。

于是，在身份无处不在的情况下，产生了一种新的身份认证模式——IDaaS 身份即服务，目前这种模式在国外也已经十分火热，被看做是未来身份认证的发展方向之一。

所谓 IDaaS，把验证作为一个云服务提出来，整个架设在云上，把企业内外部的身份认证打通。会有专门的身份认证服务商来提供相应的服务，企业只需要把身份认证委派给云身份提供商即可。

接入IDaaS服务之后，员工入职时，只需要给员工登记一次身份信息以后，不管是在内网的OA系统、WiFi、VPN等系统还是外部使用的SaaS、PaaS服务，甚至外部网站的身份认证、账号全部由IDaaS来提供。

由于身份认证服务自身就放在云上，因此无论是内部员工、还是外部的合作伙伴、子公司甚至顾客，无论他们使用的是什么设备，身在何处，无论他们访问的是内部系统还是外部的云服务，都可以做到统一的认证。

身份认证的发展时期

在Gartner 整理的身份认证解决方案的技术成熟度曲线图中，IDaaS刚过了一个顶峰期，所谓顶峰期就是早期公众的过分关注，媒体大力鼓吹演绎出了一系列成功的创业故事（当然同时也有众多失败的例子）。在国外IDaaS刚经历过这么一段时期，在这之后就会进入一个相对成熟稳定的发展阶段。

而在国内，目前由于云服务尚且处于快速发展阶段，环境还不够成熟，所以IDaaS的方案在国内几乎很少见到，但相信以后随着企业越来越多的使用云服务，这一趋势也将在国内出现。

密码使用率降低，手机认证成为主流

前面我们提到了Gartner发布的《2016企业安全趋势报告》，其中有两个关于身份认证的预测，其一是：到2019年，40%企业的内部IAM方案会被企业IDaaS取代，越来越多的企业会采用IDAAS作为身份认证的解决方案。另一个则是：在许多场景下，密码口令的认证方式的使用率将会大幅降低，其他新型的识别技术将取而代之。

在未来的2~5年，账号密码的使用率将大幅降低，而手机作为一种认证工具的做法将成为主流。因为手机硬件已经可以支持多种生物识别技术，同时还可以通过网络环境、设备指纹、位置信息等内容进行大数据风控，和单一的硬件令牌相比，安全性更高也更可控。

在众多基于手机的认证方式中，最被看好的就是OOB模式（Out of band），OOB模式就是我们常说的旁路通道部署。我们常用的短信认证就是OOB的原理，用另一个通道来实施身份认证。和传统的6位数动态验证码的OTP模式（One time password)相比，短信以及推送验证的使用体验更好，同时还可以结合多种生物识别方式和大数据风控来增强安全性。而且，由于通过另一个通道来实施验证，也避免整个通道中的中间人劫持等高风险行为。，因此未来手机OTP将会逐渐被OOB模式替代。

随着手机硬件的升级，公钥令牌的认证方式也会逐渐的到推广，所谓公钥令牌就是在手机里内置一个认证的Key，然后通过NFC等方式来实施认证，但是这种方式尚未普及，所以这里不进行详细讲解。

IoT 物联网的身份认证

随着物联网的发展，IOT的身份认证的身份认证因为将成为企业面临的问题，

当企业采用越来越多的智能设备，比如智能冰箱，空调时，企业又如何对这些设备进行统一的身份认证和统一管理，如何防止他人冒用身份攻击企业的智能设施，如何确保只有授权的人才能使用正确的设备，这些问题都需要得到解决。

如今所有的智能设备厂商也是自称一派，各自有各自的账号体系，但是对于用户来说，无法做到统一的认证和管理。那么在未来IDaaS也会进入IOT的领域，实现一个以人为中心的验证，每个人都可以有一个唯一的ID，当他在企业中，企业可以定义他拥有哪些权限，得到有效的管控。

总之，随着云计算的普及，基于云的身份认证方案在未来将大行其道，帮助企业和物联网实现跨越边界的统一身份认证和管理。目前绝大部分分主流的提供身份服务的厂商都有自己的云身份服务，但国内还存在较大的空白，这也是我创办洋葱的原因，希望能通过创新，帮助企业实现简单、安全的认证和统一的身份管理。