Die Rolle von Identify Brokern in a SASE Lösung

In meinem vorherigen Blog am identitätsbewusst SASE Ich habe über Zero Trust gesprochen, die Rolle von SASEund die Bedeutung der Identität bei Zugangskontrollen. Ein weiterer Blog über SASE Proxy erklärte wie SASE Lösungen erhalten die Identitäten der Benutzer, nachdem sie über Identitätsanbieter (IdPs) authentifiziert wurden. Zusammenfassend lässt sich sagen, dass der Forward-Proxy-Teil von SASE Lösungen authentifizieren Benutzer mithilfe der Authentifizierungsmethoden Kerberos, NTLM, Digest und Basic. Mittlerweile authentifizieren Captive-Portale Benutzer über Kerberos oder OIDC. Der Reverse-Proxy-Teil von SASE Lösungen verwenden typischerweise entweder Kerberos oder OIDC zur Authentifizierung von Benutzern. VPN Gateway von SASE authentifiziert Benutzer auch mit EnterpAufstieg der Authentifizierungsdatenbanken. SASE Lösungen erwarten Benutzerinformationen wie den Identitätsanbieter, der die Benutzeranmeldeinformationen validiert hat, die E-Mail-Adresse des Benutzers, die Gruppen und Rollen, denen der Benutzer angehört usw JWT (JSON Web Token)-Format. SASE Lösungen nutzen diese Informationen (in der JWT-Terminologie als Ansprüche bezeichnet), um identitätsspezifische Zugriffskontrollen durchzusetzen.

Identitätsbroker

Ein Identitätsbroker ist ein Dienst, der als Vermittler fungiert und die Authentifizierung von Endbenutzern erleichtert SASE Lösungen mit verschiedenen Identitätsanbietern (IdPs). Nicht alle IdPs implementieren alle Authentifizierungsprotokolle; Einige implementieren möglicherweise nur OIDC, OAuth2 oder SAMLv2. Seit SASE Da Lösungen für die Zusammenarbeit mit mehreren IdPs konzipiert sind, nimmt ihre Komplexität zu, da sie verschiedene Authentifizierungsprotokolle unterstützen müssen. Identitätsbroker können als vertrauenswürdige Vermittlungsdienste dies ermöglichen SASE Lösung, ein einziges Authentifizierungsprotokoll im Backend zu verwenden und den Identitätsbroker den Authentifizierungsprozess über die von IdPs unterstützten Authentifizierungsprotokolle an IdPs weiterleiten zu lassen.

Das folgende Bild zeigt SASE Lösung mit und ohne Identitätsbroker.

Die linke Seite des Bildes zeigt SASE ohne Identitätsbroker:

Benutzerbrowser/Apps authentifizieren sich beim SASE Forward-Proxy mit Kerberos, NTLM, Benutzername/Passwort, Benutzername/Digest-Passwort.  SASE Benutzeranmeldeinformationen müssen validiert werden. Es verwendet mehrere Backend-Funktionsmodule, um mit verschiedenen IdPs/Authentifizierungssystemen zu kommunizieren. Im Fall von Kerberos wird das Serviceticket lokal innerhalb validiert SASE Datenebene und erhält dann Benutzerdekorationen von Authentifizierungssystemen wie AD über LDAP oder SCIM. Im Falle von Benutzername/Passwort wird das LDAP-Backend auch zur Validierung der Benutzeranmeldeinformationen verwendet.

SASE Reverse-Proxy- und Captive-Portale authentifizieren Benutzer entweder über OIDC (Open ID Connect) oder über SAMLv2. Wenn die Backend-IdPs ebenfalls OIDC- oder SAMLv2-basiert sind, werden die Benutzer an IdPs weitergeleitet. Bei LDAP-basierten Systemen  SASE Es wird erwartet, dass er als IdP arbeitet und LDAP zu AD verwendet, um Benutzeranmeldeinformationen zu validieren und auch Benutzerdekorationen zu erhalten, um das Identitätstoken in JWT-Form zu erstellen.

VPN Gateway ist ein weiteres Modul, das für den Fernzugriff verwendet wird. Im Rahmen des IKEv2-Tunnelaufbaus VPN Gateway authentifiziert den Benutzer. Benutzeranmeldeinformationen werden mit der lokalen Datenbank, dem RADIUS-Server oder dem LDAP-Server validiert.

Wie Sie sehen, sind mehrere Datenebenenkomponenten erforderlich, um verschiedene Protokolle zu unterstützen und mit verschiedenen Benutzerbrowsern und nativen Anwendungen zu arbeiten. Außerdem müssen sie nicht nur mit mehreren IdPs verschiedener Mandanten arbeiten, sondern auch mit mehreren IdP-Anforderungen innerhalb einer Mandantenumgebung.

Die rechte Seite des Bildes zeigt SASE mit integriertem Identitätsbroker:

Mit Identitätsbroker, SASE Die Datenebene wird erheblich vereinfacht.  SASE Die Datenebene muss nur mit einem Authentifizierungsprotokoll gegenüber dem Broker arbeiten. Im obigen Bild ist OIDC nur das Protokoll SASE Die Datenebene muss unterstützt werden. Broker kann Authentifizierungssitzungen mit mehreren IdPs orchestrieren/föderieren. Vom Identitätsbroker wird außerdem erwartet, dass er JWT aus den Benutzerinformationen des SAMLv2-Sicherheitstokens, aus JWT, die von den Upstream-IdP-Servern stammen, oder aus den Benutzerinformationen in der lokalen Datenbank oder auf die über LDAP zugegriffen werden kann, erstellt. Das heißt, ein Identitätsbroker, der für entwickelt wurde SASE Es wird erwartet, dass JWT in allen Fällen bereitgestellt wird – unabhängig davon, ob sich der Benutzer mithilfe von Kerberos über Proxy-Header, Kerberos über WWW-Header, OIDC, IKEv2 authentifiziert und ob die IdPs auf OIDC, SAMLv2 oder LDAP basieren.

Der Zusammenbruch hat mehrere Vorteile SASE Datenebene von SASE Identitätsvermittler. Nachfolgend sind einige Vorteile aufgeführt.

1. Modularität macht die Gesamtlösung weniger komplex, weniger fehleranfällig und damit robuster.
2. Der Secure:Identity-Broker kann separat vom instanziiert werden SASE Datenebene in vertraulichen Computerumgebungen, um sicherzustellen, dass die Schlüssel/Passwörter/Anmeldeinformationen, die für die Kommunikation mit IdPs verwendet werden, auch während der Verwendung geschützt sind.
3. Erweiterbarkeit: Neue IdPs mit neueren Authentifizierungsprotokollen können ohne Auswirkungen auf die unterstützt werden SASE Datenebene.
4. Konsolidierung: Identity-Broker-Lösungen werden zunehmend auch für andere Anwendungen in Betracht gezogen. EnterpRises können den mitgelieferten Identitätsbroker verwenden SASE Lösung für ihre Anwendungen, anstatt sich für einen separaten Identitätsbrokerdienst/eine separate Identitätsbrokerlösung zu entscheiden.

SASE Spezielle Features

Die Funktionalität des Identitätsbrokers kann tatsächlich eine wichtige Rolle dabei spielen, den direkten Zugriff auf zu verhindern SaaS/Cloud Dienste, indem Richtlinienprüfungen erzwungen werden und sichergestellt wird, dass nur authentifizierte Benutzer mit angemessener Zugriffskontrolle auf diese Ressourcen zugreifen können. Darüber hinaus verfügen herkömmliche Identitätsbroker möglicherweise nicht über eine gute Unterstützung für Proxy-Kerberos, was für wichtig ist SASE Authentifizierung. Daher ist es für Identitätsbroker wichtig, Proxy-Kerberos und andere zu unterstützen SASE Anforderungen für eine effektive Integration SASE Lösungen. Durch die Bereitstellung dieser Verbesserungen können Identitätsbroker die Sicherheit und Benutzerfreundlichkeit verbessern SASE-Lösungen für enterperhebt sich.

1. Gewährleistung einer identitätsbasierten Zugriffskontrolle für SaaS und cloud Dienste immer und deterministisch: EnterpAnstiege werden zunehmend genutzt SaaS und cloud Infrastrukturdienste, auf die von überall aus zugegriffen werden kann. Dies ist ein großer Vorteil, für viele Enthusiasten aber auch ein Sicherheitsrisikoerperhebt sich. Enterpsteigt want den Zugriff auf ihre Daten einzuschränken SaaS/Cloud Dienstleistungen für bestimmte Mitarbeiter und SASE soll dafür sorgen. Dies ist jedoch nur möglich, wenn der Benutzerverkehr zu SaaS/Cloud Dienstleistungen läuft über SASE Datenebene. Wenn der Verkehr zunimmt SaaS/Cloud Dienste direkt unter Umgehung der SASE Auf der Datenebene wird erwartet, dass der Zugriff verweigert wird. Ein Identitätsbroker kann dabei helfen, diese Zugriffe zu stoppen. Durch die Konfiguration des SaaS/Cloud Dienste zur Nutzung der SASE Identitätsbroker, jede neue Benutzerauthentifizierungssitzung landet zuerst auf dem SASE Identitätsvermittler. Der SASE Identity Broker kann über seine Richtlinienprüfungen verhindern, dass Benutzer direkt auf Dienste zugreifen.
2. Unterstützung für Kerberos-Gewährung: Für viele Anwendungsfälle sind implizite Autorisierungsgewährungstypen und Passwortgewährungstypen ausreichend. Diese beiden Gewährungstypen reichen jedoch nicht aus, um die Kerberos-Authentifizierung zu unterstützen. Die Erwartung ist, dass die SASE Sobald die Datenebene das Kerberos-Dienstticket entweder über Proxy-Header oder WWW-Header vom Benutzer (z. B. Browser) erhält, wird erwartet, dass sie das Dienstticket validiert und entsprechende Benutzerdekorationen aus Authentifizierungsdatenbanken erhält. Da der Broker zur Validierung der Anmeldeinformationen verwendet wird, muss die Implementierung des OIDC-Protokolls erweitert werden, um das Senden des Servicetickets vom zu unterstützen SASE Datenebene an den Identitätsbroker senden und das JWT abrufen, wenn die Anmeldeinformationen validiert sind.

Abschließende Gedanken

Identitätsvermittler können in der Tat eine entscheidende Rolle in einem umfassenden Prozess spielen SASE (Secure Access Service Edge)-Lösung. Durch die Integration eines Identitätsbrokers in die SASE Architekturkönnen Unternehmen die Integration von Lösungen für das Identitäts- und Zugriffsmanagement (IAM) in ihre vereinfachen SASE Infrastruktur. Dies kann zu einem effizienteren und sichereren Authentifizierungs- und Zugriffskontrollprozess für Benutzer führen.

Darüber hinaus kann ein Identitätsbroker durch die Durchsetzung von Zero-Trust-Sicherheitsprinzipien dazu beitragen, sicherzustellen, dass nur autorisierte Benutzer auf Ressourcen innerhalb des Netzwerks zugreifen SASE Umfeld. Dies kann dazu beitragen, das Risiko von Datenschutzverletzungen und anderen Sicherheitsvorfällen zu verringern.

Während Branchenanalysten Identitätsbroker derzeit möglicherweise nicht im Zusammenhang mit diskutieren SASE, ist es möglich, dass sich dies ändert, da Unternehmen weiterhin nach Möglichkeiten suchen, die Sicherheit und Effizienz ihrer IT-Umgebungen zu verbessern.

• CTO Insights-Blog

  Die Aryaka-CTO-Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE-Themen. Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.