企业身份现代化中的会话管理盲区与破局之道

企业通常通过启用OIDC或SAML等行业标准协议，以及云身份提供商（IDP）为传统应用程序提供单点登录（SSO）来达到先进的“现代化”应用程序的访问模式。这是朝着更好的用户体验、改善凭据安全和集中身份验证迈出的重要一步，但从安全性考虑来说还是不够。

大多数现代化项目止步于身份验证层（IAM），认为一旦SAML或OIDC实现接入，身份转换就完成了，我们经常忽视的是应用程序安全最重要的组成部分之一：会话管理。

SSO保障的是身份，也就是通常所说的入门券，一旦你进入后会话管理将成为重心：你保持登录多长时间，如何撤销会话，如何重新验证访问，以及如何维护身份上下文等等。

从网络安全以及职责定位的发展来看，这些是由网络访问管理（WAM）系统处理。这些集中式平台管理身份验证、会话处理、授权和用户目录集成。他们执行了一致的超时策略，提供了实时会话撤销，并使安全团队能够查看所有用户交互。WAM工具并不完美，但它们提供了企业级的管理控制能力。

随着云身份系统和联合登录协议的兴起，为了方便开放标准和联合，我们用许多内置的WAM功能进行对接。问题是：大多数云身份提供商不管理应用程序本身内的会话，该工作由应用程序开发人员负责，虽然我们现在有考虑开发安全，安全左移，这让开发人员的难度变得更重了。

去中心化的会话逻辑引入了风险

在大多数企业中，会话管理是使用应用程序框架的原生功能来实施的。Java应用程序可能会使用Spring Security，JavaScript前端可能依赖于Node.js中间件，Ruby on Rails处理会话的方式仍然不同。即使在使用相同语言或框架的应用程序中，不同团队的配置也经常有很大差异，特别是在具有分布式开发或最近收购的组织中。

这种碎片化造成了现实世界的风险：不一致的超时政策、延迟修补和会话撤销差距

此外，还有开发人员更替的问题：许多应用程序版本是由不再在组织中的团队开发的，如果没有知识积累和沉淀，并形成可查阅展示的平台，更新或审计会话行为就会变成一个猜测的游戏。

安全团队可能会认为他们的身份提供商可以立即撤销访问权限。但是，除非应用程序调用该身份系统进行会话验证——大多数没有这样做——这更像是一种幻觉，而不是一种保证。

集中控制比以往任何时候都更重要

这里的教训不是我们应该恢复到传统身份基础设施。相反，我们必须恢复WAM系统曾经提供的一些集中控制和可见性，特别是在会话管理方面。

身份和访问管理（IAM）应该被视为一种共享服务，而不是在每个应用程序中临时实施的服务。

通过恢复集中的会议监督，组织获得：

• 在所有应用程序和环境中立即撤销会话
• 一致的超时执行符合安全和合规政策和任务
• 身份相关活动的统一审计日志
• 与持续访问评估协议（CAEP）和零信任智能馈送的实时集成

这些不是理论上的问题；它们是现代企业安全管理的基本要求。

标准在多云身份中的作用

作为SAML标准的原始作者之一，我看到了身份协议是如何演变的，以及它们在哪里不足。当我们将SAML的范围完全集中在SSO上时，我们知道我们将其他关键领域（如授权和用户配置）排除在外。这就是为什么出现了其他标准，包括SPML、AuthXML，以及现在像IDQL（身份查询语言）这样的努力。

对跨云安全互操作的身份系统的需求并不新鲜，只是现在更加紧迫。互操作性的一部分包括跨异构环境的一致会话行为。

CISO和身份架构师现在应该做什么

如果您正在领导现代化计划，并依靠SAML或OIDC作为“正在完成”的证明，那么是时候重新评估了。以下是我推荐的：

1.进行会话管理审计

绘制关键应用程序如何处理会话的地图。识别超时、撤销能力和补丁安全管理方面的不一致之处。

2.重新集中会话控制

无论是通过集中代理、标准化SDK还是服务网格感知身份层，都能找到一种将会话监督放在一个管理体系下的方法。

3.持续评估和撤销计划

与CAEP集成或构建等效机制，以基于风险信号实现动态会话控制。

4.将IAM视为基础设施

就像DNS、网络或TLS一样，身份服务应该进行全局管理、持续验证和弹性。

应用程序身份现代化是一个旅程，而不是一个复选框。SAML和OIDC等现代协议解决了前门入场问题，但不能保护整个房子。为此，我们需要CISO过去认为理所当然的那种集中的、一致的和可执行的身份管理，现在必须找到新的交付方式。

在会话管理标准化和大规模管控之前，已有的身份管理架构并不现代，它还不完整。

消息来源：helpnetsecurity, 编译：安全114； 

本文由 anquan114.com 翻译整理，封面来源于网络；  

转载请注明“转自 anquan114.com”并附上原文