브로커 식별의 역할 SASE 해법

ID 브로커

내 이전 블로그에서 신원 인식 SASE 제로 트러스트의 역할에 대해 논의했습니다. SASE, 액세스 제어에서 ID의 중요성. 의 또 다른 블로그 SASE 대리 어떻게 설명 SASE 솔루션은 ID 공급자(IdP)를 통해 사용자를 인증한 후 사용자의 ID를 얻습니다. 요약하면 정방향 프록시 부분은 SASE 솔루션은 Kerberos, NTLM, 다이제스트 및 기본 인증 방법을 통해 사용자를 인증합니다. 한편 캡티브 포털은 Kerberos 또는 OIDC를 통해 사용자를 인증합니다. 리버스 프록시 부분 SASE 솔루션은 일반적으로 Kerberos 또는 OIDC를 사용하여 사용자를 인증합니다. VPN 의 관문 SASE 또한 Ent로 사용자를 인증합니다.erp상승 인증 데이터베이스. SASE 솔루션은 사용자 자격 증명을 검증한 ID 공급자, 사용자의 이메일 주소, 사용자가 속한 그룹 및 역할 등과 같은 사용자 정보를 기대합니다. JWT (JSON 웹 토큰) 형식입니다. SASE 솔루션은 이 정보(JWT 용어로 클레임이라고 함)를 사용하여 ID별 액세스 제어를 시행합니다.

ID 브로커

ID 브로커는 중개자 역할을 하는 서비스로, 다음을 통해 최종 사용자의 인증을 용이하게 합니다. SASE 다양한 IdP(Identity Provider) 솔루션. 모든 IdP가 모든 인증 프로토콜을 구현하는 것은 아닙니다. 일부는 OIDC, OAuth2 또는 SAMLv2만 구현할 수 있습니다. 부터 SASE 솔루션은 여러 IdP와 함께 작동하도록 설계되었으며 서로 다른 인증 프로토콜을 지원해야 하므로 복잡성이 증가합니다. 신뢰할 수 있는 중개 서비스인 ID 브로커는 다음을 활성화할 수 있습니다. SASE 백엔드에서 단일 인증 프로토콜을 사용하고 Identity Broker가 IdP가 지원하는 인증 프로토콜을 통해 인증 프로세스를 IdP에 프록시하도록 하는 솔루션입니다.

다음 그림은 묘사합니다 SASE ID 브로커가 있거나 없는 솔루션.

SASE-해결책

그림의 왼쪽이 보여줍니다. SASE ID 브로커 없이:

사용자 브라우저/앱은 SASE Kerberos, NTLM, 사용자 이름/비밀번호, 사용자 이름/다이제스트 비밀번호를 사용하여 프록시를 전달합니다.  SASE 사용자 자격 증명을 확인해야 합니다. 여러 백엔드 기능 모듈을 사용하여 다양한 IdP/인증 시스템과 통신합니다. Kerberos의 경우 서비스 티켓은 로컬 내에서 유효성이 검사됩니다. SASE 그런 다음 LDAP 또는 SCIM을 통해 AD와 같은 인증 시스템에서 사용자 데코레이션을 가져옵니다. 사용자 이름/비밀번호의 경우 LDAP 백엔드는 사용자 자격 증명의 유효성도 확인하는 데 사용됩니다.

SASE 리버스 프록시 및 캡티브 포털은 OIDC(Open ID Connect) 또는 SAMLv2를 통해 사용자를 인증합니다. 백엔드 IdP도 OIDC 또는 SAMLv2 기반인 경우 사용자를 IdP로 리디렉션합니다. LDAP 기반 시스템의 경우,  SASE IdP로 작동하고 LDAP를 AD로 사용하여 사용자 자격 증명을 확인하고 사용자 데코레이션을 얻어 JWT 형식으로 ID 토큰을 생성할 것으로 예상됩니다.

VPN 게이트웨이는 원격 액세스에 사용되는 또 다른 모듈입니다. IKEv2 터널 설정의 일부로, VPN 게이트웨이는 사용자를 인증합니다. 사용자 자격 증명은 로컬 DB, RADIUS 서버 또는 LDAP 서버로 검증됩니다.

보시다시피 다양한 사용자 브라우저 및 기본 애플리케이션과 함께 작동하기 위해 다양한 프로토콜을 지원하려면 여러 데이터 평면 구성 요소가 필요합니다. 또한 다양한 테넌트뿐만 아니라 테넌트 환경 내에서 여러 IdP 요구 사항의 여러 IdP를 작동해야 합니다.

그림의 오른쪽이 보여줍니다. SASE 내장 ID 브로커 사용:

ID 브로커를 사용하면 SASE 데이터 플레인이 극적으로 단순화됩니다.  SASE 데이터 플레인은 브로커에 대해 하나의 인증 프로토콜만 사용하면 됩니다. 위 그림에서 OIDC는 단지 프로토콜입니다. SASE 데이터 플레인이 지원해야 합니다. 브로커는 여러 IdP로 인증 세션을 오케스트레이션/연합할 수 있습니다. ID 브로커는 또한 SAMLv2 보안 토큰의 사용자 정보, 업스트림 IdP 서버에서 오는 JWT 또는 로컬 데이터베이스의 사용자 정보 또는 LDAP를 통해 액세스할 수 있는 JWT에서 JWT를 생성해야 합니다. 즉, ID 브로커는 다음을 위해 설계되었습니다. SASE 는 모든 경우에 JWT를 제공할 것으로 예상됩니다. 사용자가 프록시 헤더를 통한 Kerberos, WWW 헤더를 통한 Kerberos, OIDC, IKEv2를 사용하여 인증하는지 여부와 IdP가 OIDC, SAMLv2 또는 LDAP를 기반으로 하는지 여부.

분해하면 여러 가지 이점이 있습니다. SASE 데이터 평면 SASE 신원 브로커. 몇 가지 장점이 아래에 나열되어 있습니다.

  1. 모듈화로 인해 전체 솔루션이 덜 복잡해지고 오류가 덜 발생하므로 더 강력해집니다.
  2. Secure:Identity 브로커는 SASE IdP와 통신하는 데 사용되는 키/암호/자격 증명이 사용 중인 동안에도 보호되도록 기밀 컴퓨팅 환경의 데이터 플레인.
  3. 확장성: 최신 인증 프로토콜을 사용하는 새로운 IdP는 SASE 데이터 플레인.
  4. 통합: ID 브로커 솔루션은 다른 애플리케이션에서도 점차 고려되고 있습니다. 엔트erp상승은 다음과 함께 제공되는 신원 브로커를 사용할 수 있습니다. SASE 별도의 ID 브로커 서비스/솔루션을 사용하는 대신 애플리케이션을 위한 솔루션입니다.

SASE 특정 기능

Identity Broker 기능은 실제로 다음에 대한 직접 액세스를 중지하는 데 중요한 역할을 할 수 있습니다. SaaS/Cloud 정책 확인을 시행하고 적절한 액세스 제어가 있는 인증된 사용자만 이러한 리소스에 액세스할 수 있도록 보장하여 서비스를 제공합니다. 또한 기존 ID 브로커는 프록시 Kerberos를 제대로 지원하지 못할 수 있습니다. SASE 입증. 따라서 ID 브로커가 프록시 Kerberos 및 기타를 지원하는 것이 중요합니다. SASE 효과적으로 통합하기 위한 요구 사항 SASE 솔루션. 이러한 향상된 기능을 제공함으로써 ID 브로커는 보안 및 사용 편의성을 향상시킬 수 있습니다. SASE 솔루션 엔트를 위해erp상승합니다.

  1. 다음에 대한 ID 기반 액세스 제어 보장 SaaS 및 cloud 항상 결정적으로 서비스를 제공합니다: Enterp상승은 점점 더 사용 SaaS 및 cloud 어디서나 액세스할 수 있는 인프라 서비스입니다. 이는 큰 장점이지만 많은 기업에게 보안 문제이기도 합니다.erp상승한다. 엔트erp상승 want에서 데이터에 대한 액세스를 제한합니다. SaaS/Cloud 특정 직원을 위한 서비스 SASE 보장할 것으로 기대됩니다. 그러나 이는 사용자 트래픽이 다음으로 이동하는 경우에만 가능합니다. SaaS/Cloud 서비스가 진행 중입니다 SASE 데이터 플레인. 트래픽이 발생하는 경우 SaaS/Cloud 서비스를 우회하여 직접 서비스 SASE 데이터 플레인에서는 액세스가 거부될 것으로 예상됩니다. ID 브로커는 이러한 액세스를 중지하는 데 도움이 될 수 있습니다. 구성하여 SaaS/Cloud 이용하기 위한 서비스 SASE 신원 브로커, 모든 새로운 사용자 인증 세션이 SASE 신원 브로커. 그만큼 SASE ID 브로커는 정책 확인을 통해 사용자가 서비스에 직접 액세스하지 못하도록 차단할 수 있습니다.
  2. Kerberos 부여 지원: 많은 사용 사례에서 암시적 권한 부여 유형과 암호 부여 유형이면 충분합니다. 그러나 이 두 가지 부여 유형은 Kerberos 인증을 지원하기에 충분하지 않습니다. 기대는 SASE 데이터 플레인은 프록시 헤더 또는 사용자(예: 브라우저)의 WWW 헤더를 통해 Kerberos 서비스 티켓을 받으면 서비스 티켓의 유효성을 검사하고 인증 데이터베이스에서 해당 사용자 데코레이션을 가져올 것으로 예상됩니다. 브로커는 자격 증명의 유효성을 검사하는 데 사용되므로 OIDC 프로토콜 구현에는 SASE 데이터 플레인을 자격 증명 브로커에 연결하고 자격 증명이 확인되면 JWT를 가져옵니다.

마무리

신원 중개인은 실제로 포괄적인 프로세스에서 중요한 역할을 할 수 있습니다. SASE (Secure Access Service Edge) 솔루션입니다. ID 브로커를 SASE 아키텍처, 조직은 ID 및 액세스 관리(IAM) 솔루션과 자사의 통합을 단순화할 수 있습니다. SASE 하부 구조. 이를 통해 사용자를 위한 보다 간소화되고 안전한 인증 및 액세스 제어 프로세스로 이어질 수 있습니다.

또한 제로 트러스트 보안 원칙을 시행함으로써 ID 브로커는 권한이 있는 사용자만 리소스에 액세스하도록 할 수 있습니다. SASE 환경. 이를 통해 데이터 유출 및 기타 보안 사고의 위험을 줄일 수 있습니다.

업계 분석가는 현재 SASE, 조직이 IT 환경의 보안 및 효율성을 향상시키는 방법을 계속 모색함에 따라 이는 변경될 수 있습니다.

  • CTO 인사이트 블로그

    XNUMXD덴탈의 Aryaka CTO Insights 블로그 시리즈는 네트워크, 보안 및 보안에 대한 사고 리더십을 제공합니다. SASE 주제. 을 위한 Aryaka 제품 사양 참조 Aryaka 데이터시트.

저자,

Srini Addepalli
Srini Addepalli 25년 이상의 경력을 가진 보안 및 에지 컴퓨팅 전문가입니다. Srini 네트워킹 및 보안 기술 분야에서 다수의 특허를 보유하고 있습니다. 그는 BITS, Pilani에서 전기 및 전자 공학 학사(우등) 학위를 취득했습니다. India.