ブローカーを特定する役割 SASE ソリューション

前回のブログでは、 アイデンティティを意識した SASE ゼロトラストの役割について説明しました。 SASE、アクセス制御におけるアイデンティティの重要性。 別のブログで SASE プロキシ 方法を説明しました SASE ソリューションは、アイデンティティ プロバイダー (IdP) を通じてユーザーを認証した後、ユーザーの ID を取得します。 要約すると、フォワードプロキシ部分は、 SASE ソリューションは、Kerberos、NTLM、ダイジェスト、および基本認証方法を通じてユーザーを認証します。 一方、キャプティブ ポータルは、Kerberos または OIDC を通じてユーザーを認証します。 リバースプロキシ部分 SASE ソリューションでは通常、Kerberos または OIDC のいずれかを使用してユーザーを認証します。 VPN のゲートウェイ SASE Ent を使用してユーザーを認証することもできますerp認証データベースを上昇させます。 SASE ソリューションでは、ユーザー資格情報を検証した ID プロバイダー、ユーザーの電子メール アドレス、ユーザーが属するグループ、ロールなどのユーザー情報が必要です。 JWT (JSON Web トークン) 形式。 SASE ソリューションは、この情報 (JWT 用語ではクレームと呼ばれます) を使用して、ID 固有のアクセス制御を強制します。

アイデンティティブローカー

ID ブローカーは仲介者として機能し、エンドユーザーの認証を容易にするサービスです。 SASE さまざまな ID プロバイダー (IdP) を使用したソリューション。 すべての IdP がすべての認証プロトコルを実装しているわけではありません。 OIDC、OAuth2、または SAMLv2 のみを実装するものもあります。 以来 SASE ソリューションは複数の IdP で動作するように設計されていますが、さまざまな認証プロトコルをサポートする必要があるため、複雑さが増します。 ID ブローカーは、信頼できる仲介サービスとして、 SASE バックエンドで単一の認証プロトコルを使用し、IdP がサポートする認証プロトコルを介して Identity Broker が認証プロセスを IdP にプロキシさせるソリューションです。

次の図は、 SASE ID ブローカーを使用する場合と使用しない場合のソリューション。

写真の左側に表示されているのは、 SASE ID ブローカーを使用しない場合:

ユーザーのブラウザ/アプリは、 SASE Kerberos、NTLM、ユーザー名/パスワード、ユーザー名/ダイジェストパスワードを使用したフォワードプロキシ。  SASE ユーザーの資格情報を検証する必要があります。 複数のバックエンド機能モジュールを使用して、さまざまな IdP/認証システムと通信します。 Kerberos の場合、サービス チケットはローカルで検証されます。 SASE データ プレーンにアクセスし、LDAP または SCIM を介して AD などの認証システムからユーザー デコレーションを取得します。 ユーザー名/パスワードの場合、ユーザー資格情報の検証にも LDAP バックエンドが使用されます。

SASE リバース プロキシおよびキャプティブ ポータルは、OIDC (Open ID Connect) または SAMLv2 経由でユーザーを認証します。 バックエンド IdP も OIDC または SAMLv2 ベースである場合、ユーザーは IdP にリダイレクトされます。 LDAP ベースのシステムの場合、  SASE は IdP として機能し、ユーザー資格情報を検証するために AD への LDAP を使用し、ユーザー デコレーションを取得して JWT 形式で ID トークンを作成することも期待されています。

VPN ゲートウェイは、リモート アクセスに使用されるもう 2 つのモジュールです。 IKEvXNUMX トンネル確立の一環として、 VPN ゲートウェイがユーザーを認証します。 ユーザーの資格情報は、ローカル DB、RADIUS サーバー、または LDAP サーバーで検証されます。

ご覧のとおり、さまざまなユーザー ブラウザーやネイティブ アプリケーションで動作するさまざまなプロトコルをサポートするには、複数のデータ プレーン コンポーネントが必要です。 また、さまざまなテナントの複数の IdP を動作させるだけでなく、テナント環境内の複数の IdP 要件にも対応する必要があります。

写真の右側に表示されているのは、 SASE 組み込みの ID ブローカーを使用すると:

IDブローカーを使用すると、 SASE データプレーンは大幅に簡素化されます。  SASE データ プレーンは、ブローカーに対して XNUMX つの認証プロトコルで動作するだけで済みます。 上の図では、OIDC は唯一のプロトコルです。 SASE データプレーンがサポートする必要があります。 ブローカーは、複数の IdP との認証セッションを調整/統合できます。 ID ブローカーは、SAMLv2 セキュリティ トークンのユーザー情報、上流の IdP サーバーからの JWT、ローカル データベース内のユーザー情報、または LDAP 経由でアクセス可能なユーザー情報から JWT を作成することも期待されています。 つまり、アイデンティティ ブローカーは、 SASE ユーザーがプロキシ ヘッダー経由の Kerberos、WWW ヘッダー経由の Kerberos、OIDC、IKEv2 を使用して認証しているかどうか、および IdP が OIDC、SAMLv2、または LDAP に基づいているかどうか、すべての場合に JWT を提供することが期待されています。

分解するとメリットがたくさんある SASE からのデータプレーン SASE アイデンティティブローカー。 いくつかの利点を以下に示します。

1. モジュール化により、ソリューション全体の複雑さが軽減され、エラーが発生しにくくなり、より堅牢になります。
2. Secure:Identity ブローカーは、 SASE 機密コンピューティング環境のデータ プレーンを使用して、IdP との通信に使用されるキー/パスワード/資格情報が使用中であっても確実に保護されるようにします。
3. 拡張性: 新しい認証プロトコルを備えた新しい IdP は、 SASE データプレーン。
4. Consolidation:Identity Broker ソリューションは、他のアプリケーションでも検討されることが増えています。 エントerpRise は付属の ID ブローカーを使用できます SASE 個別の ID ブローカー サービス/ソリューションを使用するのではなく、アプリケーションに合わせたソリューションを提供します。

SASE 特定の機能

ID ブローカー機能は、への直接アクセスを阻止する上で確かに重要な役割を果たすことができます。 SaaS/Cloud ポリシーチェックを強制し、適切なアクセス制御を持つ認証されたユーザーのみがこれらのリソースにアクセスできるようにすることで、サービスを保護します。 さらに、従来の ID ブローカーは、プロキシ Kerberos を適切にサポートしていない可能性があります。 SASE 認証。 したがって、アイデンティティ ブローカーがプロキシ Kerberos などをサポートすることが重要です。 SASE 効果的に統合するための要件 SASE ソリューション。 これらの機能拡張を提供することで、アイデンティティ ブローカーはセキュリティと使いやすさを向上させることができます。 SASE ソリューション 耳鼻咽喉科用erp上昇します。

1. ID ベースのアクセス制御を確保する SaaS & cloud サービスを常にかつ決定的に: Enterpを使用する人が増えています SaaS & cloud どこからでもアクセスできるインフラストラクチャ サービス。 これは大きな利点ですが、多くの企業にとってセキュリティ上の懸念事項でもあります。erp上昇します。 エントerp上昇 wanデータへのアクセスを制限するには SaaS/Cloud 特定の従業員向けのサービス、および SASE それを確保することが期待されています。 ただし、これはユーザー トラフィックが次の場合にのみ可能です。 SaaS/Cloud サービスは経由で行われます SASE データプレーン。 渋滞が発生する場合は、 SaaS/Cloud サービスを直接バイパスして、 SASE データ プレーンでは、アクセスが拒否されることが予想されます。 ID ブローカーは、これらのアクセスを阻止するのに役立ちます。 を設定することで、 SaaS/Cloud を利用するためのサービス SASE ID ブローカーでは、新しいユーザー認証セッションは最初に SASE アイデンティティブローカー。 の SASE ID ブローカーは、そのポリシー チェックを通じて、ユーザーがサービスに直接アクセスすることを停止できます。
2. Kerberos 付与のサポート: 多くのユースケースでは、暗黙的な認可付与タイプとパスワード付与タイプで十分です。 ただし、これら XNUMX つの許可タイプは、Kerberos 認証をサポートするには十分ではありません。 期待されるのは、 SASE データ プレーンは、ユーザー (ブラウザなど) からプロキシ ヘッダーまたは WWW ヘッダーを介して Kerberos サービス チケットを受信すると、サービス チケットを検証し、対応するユーザー デコレーションを認証データベースから取得することが期待されます。 ブローカーは資格情報の検証に使用されるため、OIDC プロトコルの実装には、サーバーからのサービス チケットの送信をサポートするための拡張が必要です。 SASE データ プレーンを ID ブローカーに送信し、資格情報が検証された場合は JWT を取得します。

最終的な考え

ID ブローカーは確かに、包括的なサービスにおいて重要な役割を果たすことができます。 SASE (セキュア アクセス サービス エッジ) ソリューション。 ID ブローカーを統合することで、 SASE 建築、組織は ID およびアクセス管理 (IAM) ソリューションと自社のソリューションの統合を簡素化できます。 SASE インフラストラクチャー。 これにより、ユーザーの認証およびアクセス制御プロセスがより効率的かつ安全になる可能性があります。

さらに、アイデンティティ ブローカーは、ゼロトラスト セキュリティ原則を強制することで、承認されたユーザーのみがネットワーク内のリソースにアクセスできるようにすることができます。 SASE 環境。 これは、データ侵害やその他のセキュリティ インシデントのリスクを軽減するのに役立ちます。

業界アナリストは現在、アイデンティティ ブローカーについて議論していないかもしれませんが、 SASE、組織が IT 環境のセキュリティと効率を強化する方法を模索し続けるにつれて、この状況が変わる可能性があります。

• CTO の洞察ブログ

  　 Aryaka CTO Insights ブログ シリーズでは、ネットワーク、セキュリティ、およびセキュリティに関するソート リーダーシップを提供します。 SASE トピック。 のために Aryaka 製品仕様を参照してください Aryaka データシート。