引入SSO需要考慮的問題有哪些

本篇文章給大家分享的是有關(guān)引入SSO需要考慮的問題有哪些，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

單點(diǎn)登錄（single sign-on，SSO）提供了一種簡(jiǎn)單但安全的身份驗(yàn)證過程，不再要求員工每天輸入密碼。它使用戶可以選擇一組憑據(jù)來訪問多個(gè)帳戶和服務(wù)。那么，組織如何才能最好地將SSO用于其目的呢？

該身份驗(yàn)證方案在專用SSO策略服務(wù)器的協(xié)助下工作。當(dāng)用戶嘗試進(jìn)行身份驗(yàn)證時(shí)，服務(wù)器會(huì)將用戶的憑據(jù)發(fā)送回應(yīng)用程序上的代理模塊。SSO還根據(jù)已批準(zhǔn)的用戶列表驗(yàn)證用戶的身份。通過這種方式，該服務(wù)可以跨所有賬戶和應(yīng)用程序?qū)τ脩暨M(jìn)行身份驗(yàn)證。隨后，當(dāng)用戶再次嘗試訪問這些范圍內(nèi)的帳戶和應(yīng)用程序時(shí)，它將不需要驗(yàn)證密碼。

要做到這一點(diǎn)，組織首先需要清楚地了解SSO。

SSO的優(yōu)勢(shì)和挑戰(zhàn)

SSO為組織帶來了許多好處。其中有四點(diǎn)尤為重要：

1. 減少密碼疲勞。 當(dāng)用戶需要記住多個(gè)帳戶和網(wǎng)站的密碼時(shí)，通常會(huì)出現(xiàn)“密碼疲勞”。這種疲勞表現(xiàn)為用戶在多個(gè)帳戶間重復(fù)使用密碼，從而使他們免于記住很多個(gè)不同的密碼。通過這樣做，他們可以自我開放，并通過擴(kuò)展組織來承擔(dān)密碼重用攻擊的風(fēng)險(xiǎn)。SSO通過減少用戶需要記住的密碼數(shù)量來解決此問題。因此，用戶可以根據(jù)SSO策略更輕松地創(chuàng)建和記住強(qiáng)密碼。

2. 幫助管理員。 用戶通過SSO不必記住那么多密碼，這一事實(shí)也可以幫助管理員。當(dāng)員工忘記密碼時(shí)，他們會(huì)以"找回密碼"的形式給管理員帶來負(fù)擔(dān)。但是，在SSO下，用戶更有可能記住他們的密碼，這使管理員可以專注于其他任務(wù)。這包括使用SSO安全地提供對(duì)托管在本地，云中或跨混合云環(huán)境中的資源的訪問。

3. 協(xié)助合規(guī)性工作。 借助SSO，組織可以更有效地控制員工對(duì)某些類型的信息的訪問。當(dāng)與更易于實(shí)施密碼更改策略相結(jié)合時(shí)，此功能可幫助組織實(shí)現(xiàn)并保持對(duì)HIPAA和SOX等法規(guī)的遵從性。

4. 防止影子IT（shadow IT）。 術(shù)語 ”影子IT”是指在IT部門的常規(guī)流程之外購(gòu)買或管理的信息資產(chǎn)。它對(duì)組織構(gòu)成了威脅。在沒有IT監(jiān)督的情況下，員工可能會(huì)與那些可能沒有適當(dāng)保護(hù)措施的資產(chǎn)或設(shè)備共享過多的信息。IT管理員可以使用SSO來防范這種風(fēng)險(xiǎn)，具體方法是監(jiān)視白名單列出允許員工使用的應(yīng)用程序。

除了上面討論的好處外，組織在實(shí)施SSO時(shí)還面臨著重要的挑戰(zhàn)。包括以下幾點(diǎn)：

1. 單點(diǎn)故障。 如果攻擊者破壞了其SSO解決方案或提供程序，組織的連接系統(tǒng)可能會(huì)遭受破壞。同樣，如果攻擊者破壞了用戶的設(shè)備或用于SSO的單個(gè)密碼，則他們可能會(huì)獲得訪問其關(guān)聯(lián)帳戶的權(quán)限。

2. 實(shí)施問題。 企業(yè)的IT基礎(chǔ)架構(gòu)變得越來越復(fù)雜。不僅如此，不同的部門和團(tuán)隊(duì)的員工也有不同的SSO需求。他們需要訪問可能不適用于其他員工或其他部門的資源和資產(chǎn)。這使得很難創(chuàng)建適用于所有員工的SSO策略。

3. 可靠性問題。 實(shí)施后，SSO構(gòu)成了經(jīng)過身份驗(yàn)證的用戶訪問組織應(yīng)用程序的唯一途徑。當(dāng)存在連接問題時(shí)，通常也是失敗的因素。當(dāng)發(fā)生這種情況時(shí)，復(fù)雜性可能使組織難以確定發(fā)生了什么。同時(shí)，企業(yè)可以應(yīng)對(duì)停機(jī)時(shí)間，這會(huì)限制員工的工作效率并導(dǎo)致業(yè)務(wù)合作伙伴之間的緊張關(guān)系。

4. 采用挑戰(zhàn)。 組織采用SSO來增強(qiáng)其信息安全性并為用戶提供更方便的登錄過程。即便如此，SSO解決方案仍可能需要更改用戶的行為方式才能成功進(jìn)行身份驗(yàn)證。更改常規(guī)工作慣例可能會(huì)促使用戶嘗試?yán)@過SSO工具。隨后，這種阻力可能會(huì)更普遍地影響整個(gè)組織中SSO的集成。

需要考慮的問題

幸運(yùn)的是，安全專業(yè)人員可以以一種有助于最大程度地減少上述風(fēng)險(xiǎn)的方式優(yōu)化組織的SSO實(shí)施。他們需要考慮以下問題：

“如何使SSO造成的單點(diǎn)故障最小化？”

SSO的失敗點(diǎn)取決于攻擊者竊取員工密碼的訪問權(quán)限。承認(rèn)在現(xiàn)實(shí)中，安全人員可以通過使用額外的安全控制來提供多層保護(hù)，從而消除單點(diǎn)故障。

他們應(yīng)首先要求所有員工使用雙因素身份驗(yàn)證或多因素身份驗(yàn)證方法，無論哪個(gè)賬戶是根據(jù)組織的SSO策略授權(quán)的。這些措施將在有人獲得訪問其憑據(jù)的權(quán)限時(shí)保護(hù)對(duì)員工連接賬戶的訪問。安全人員可以通過實(shí)施最小特權(quán)原則來補(bǔ)充此功能。這將限制攻擊者能夠訪問的服務(wù)、賬戶和信息的類型，前提是他們能夠成功地在公司環(huán)境中對(duì)自己進(jìn)行身份驗(yàn)證。為了在其端點(diǎn)上實(shí)施最小特權(quán)策略，自動(dòng)循環(huán)密碼并記錄特權(quán)會(huì)話活動(dòng)，組織還應(yīng)該考慮投資特權(quán)帳戶管理解決方案。

從那里，安全專家可以使用活動(dòng)目錄控件來跟蹤網(wǎng)絡(luò)中的所有外部訪問會(huì)話。這將幫助他們發(fā)現(xiàn)可疑的連接或網(wǎng)絡(luò)活動(dòng)。

“服務(wù)中斷時(shí)會(huì)受到什么影響？”

SSO解決方案有助于維護(hù)組織內(nèi)部的信息安全。這些工具通過限制用戶可以訪問的資源類型來保護(hù)數(shù)據(jù)完整性。此外，它們通過保護(hù)負(fù)責(zé)存儲(chǔ)數(shù)據(jù)的應(yīng)用程序來確保機(jī)密性。最后，他們通過在員工忘記其憑證的情況下提供應(yīng)用程序、PC和其他資產(chǎn)來保證可用性。

鑒于SSO的安全功能，組織需要關(guān)注停機(jī)的可能性。組織需要與服務(wù)提供商合作，以評(píng)估連接故障如何影響其系統(tǒng)的機(jī)密性，完整性和可用性。

不僅如此，組織還應(yīng)將其SSO解決方案納入其漏洞管理程序中。SSO工具與其他任何軟件程序一樣，都可能存在安全漏洞。安全團(tuán)隊(duì)需要關(guān)注這些問題，并相應(yīng)地為其確定補(bǔ)丁的優(yōu)先級(jí)。否則，他們可能會(huì)冒著惡意行為者濫用這些漏洞以竊取組織的敏感信息的風(fēng)險(xiǎn)。

“當(dāng)SSO連接斷開時(shí)我們?cè)撛趺崔k？”

在實(shí)施過程中，SSO解決方案可能失去連接性，從而有可能破壞業(yè)務(wù)。重要的是，安全專業(yè)人員應(yīng)制定一個(gè)計(jì)劃以防萬一。

安全團(tuán)隊(duì)無需在停機(jī)期間計(jì)劃SSO中斷。事實(shí)上，他們應(yīng)該征求不同部門的意見，創(chuàng)建一個(gè)將SSO考慮在內(nèi)的總體災(zāi)難恢復(fù)策略。然后，他們可以使用該策略的離散步驟，使組織經(jīng)歷SSO中斷，從而建立其針對(duì)類似事件的網(wǎng)絡(luò)恢復(fù)能力。

“我們是否有一項(xiàng)計(jì)劃覆蓋所有員工？”

安全專業(yè)人員要解決的最后一件事是不能持續(xù)管理SSO解決方案。在缺乏直接監(jiān)督的情況下，安全團(tuán)隊(duì)在雇用員工時(shí)可能無法將其納入SSO策略中，從而使組織面臨上述一些風(fēng)險(xiǎn)。相反，如果他們?cè)趥€(gè)人離開公司后未能撤消憑據(jù)，則此人可以利用他們的詳細(xì)信息在離開公司很長(zhǎng)時(shí)間內(nèi)保留對(duì)組織網(wǎng)絡(luò)或數(shù)據(jù)的訪問權(quán)限。

也就是說，安全專業(yè)人員需要確保制定一個(gè)涵蓋員工整個(gè)組織時(shí)間的策略。該策略應(yīng)特別包括培訓(xùn)員工首次使用時(shí)如何使用和注冊(cè)SSO解決方案。當(dāng)員工的訪問要求或組織中的職位發(fā)生變化時(shí)，還應(yīng)該留出空間來管理和更新員工的SSO需求。該計(jì)劃應(yīng)詳細(xì)說明在個(gè)人離開后，從SSO解決方案中撤消其憑據(jù)的必要過程。最后，他應(yīng)該撤消他們對(duì)組織的SSO部署可能未涵蓋的所有其他數(shù)字資產(chǎn)的訪問權(quán)限。

以上就是引入SSO需要考慮的問題有哪些，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。