Top100summit安全既服务案例分析-–-Windows-Azure-AD-身份云的架构和设计

揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！安全既服务案例分析–WindowsAzureAD身份云的架构和设计李雨航YaleLi微软全球首席安全架构师云安全联盟全球总战略顾问揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！摘要1）传统IT安全软件的问题和不足2）安全既服务的产生和要解决的问题3）WindowsAzureAD身份云的架构和设计4）开发人员使用场景5）打造身份云吸取的经验教训揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！传统IT安全软件的问题和不足•不适应多租户的云服务•用户扩展性的局限•无法跟上快速开发部署的步伐SecuritySoftwareExamples:Ad-AwareFreeAntivirus+Protectyourpersonalcomputeragainstvirusandspywareattacks.ComodoInternetSecurityProtectPCfromviruses,Trojans,worms,bufferoverflows,zero-dayattacks,spywareandhackers.ComodoFirewallGuardyourWindowsPCfrommalwareandInternetbasedattacks.SuperAntiSpywareFreeEditionDetectandremovespyware,malware,rootkits,trojans,hijackers,andothermaliciousthreats.ComodoAntivirusDetectanddestroymalwareandviruses.USBDiskSecurityProvideprotectionagainstanymaliciousprogramstryingtoattackviaUSBdrive.HitmanPro3(32-bit)Rescueyourcomputerfromvirusesandmalware.TrendMicroHijackThisScanyourRegistryandharddriveforspyware.MicrosoftSecurityEssentials(64-bit)ProtectyourcomputerwithMicrosoft'slatestsecuritysoftware.SuperAdBlockerBlockallformsofadvertising,includingpop-ups,Flashads,andbannerads.揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！安全既服务的产生和要解决的问题•云计算的安全问题•安全既服务带来的机会•云安全联盟的十大SECaaS•身份云要解决的问题描述揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！云计算的安全问题•DataBreaches•DataLoss•AccountHijacking•InsecureAPIs•DenialofService•MaliciousInsiders•AbuseofCloudServices•InsufficientDueDiligence•SharedTechnologyIssues揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！安全既服务带来的机会•盾牌式战略思维：把注意力放在使用旧安全工具来保护云中数据和系统•利剑式战略思维：为什么不能用云的力量创造出新一代安全工具这就是安全既服务（SecurityasaServiceorSECaaS)：Provisioningelastic,scalablesecuritysolutionsandservicestobothcloudbasedandtraditionalonpremisessystemsinpurecloudorhybridmodels.揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！云安全联盟的十大SECaaS分类•IdentityandAccessManagement(IAM)–身份云•DataLossPrevention(DLP)•WebSecurity•EmailSecurity•SecurityAssessments•IntrusionManagement,Detection,andPrevention(IDS/IDP)•SecurityInformationandEventManagement(SIEM)•Encryption•BusinessContinuityandDisasterRecovery(BCDR)•NetworkSecurity揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！身份云要解决的问题•云用户账号身份生命周期的管理•支持所以云应用的登录•统一技术标准的线上线下身份认证手段•组织机构的内外部共享•所有员工和个人等•减少企业卡，工作证，校园卡，组织机构代码证等的分别发放•线上线下使用同一身份认证介质、资源管理和服务分享手段•实名上网和统一数据跟踪、行为跟踪能力•建立大数据和大数据溯源监控的能力•使用的方便和简洁直接决定用户体验，新时代的特点揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！WindowsAzureAD身份云的架构和设计•WindowsAzureAD身份云设计原则•WindowsAzureAD身份云工作原理•WindowsAzureAD身份云联邦身份（Federation）•WindowsAzureAD身份云一键登录(SingleSignOn)•WindowsAzureAD身份云多因验证(PhoneFactor)揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！WindowsAzureAD身份云设计原则•Theclouddesignpointdemandscapabilitiesthatarenotpartofcurrent-dayWindowsServerActiveDirectory•Maximizedevice&platformreach•http/web/RESTbasedprotocols•Multi-tenancy•Customerownsdirectory,notMicrosoft•Optimizeforavailability,consistentperformance,andscale•Keepitsimple•Leverageon-premisesinvestments,providecloudadditions揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！WindowsAzureAD身份云工作原理揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！WindowsAzureAD身份云的架构和设计MSODSFederationsUsers•PwdsTenants•Subscriptions,SKUs•UsersandGroups•ServiceprincipalsSyncTenants•IdentityProviders•ServiceprincipalsADOn-premEnterpriseOrgIDACSAADCreateServiceprincipalsADFSDirsyncusers,groupsIdentityFederationMetadataNametoIDlookupAADDirectoryMgmtPortalGraphAPIPScmdsDirectorymanagementNativeClientAuthNlibLocateusersIdentityproviderRichclaimsintoken•Federations•Federations揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！WindowsAzureAD身份云一键登录(SingleSignOn)•Singleidentityandsign-onforon-premisesandcloudservices•Identitiesmasteredon-premises,singlepointofmanagement•SecureTokenbasedauthentication•ClientaccesscontrolbasedonIPaddresswithADFSandOffice365services•Strongfactorauthenticationoptionsforadditionalsecurity揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！WindowsAzureAD身份云多因验证(PhoneFactor)Whymultifactor•Yourdataandapplicationsareunderattack•Passwordsareeasilycompromised•ConsumerizationofIThasonlyincreasedthescopeofvulnerability•StrengtheningregulatoryrequirementscallforstronglyauthenticatingaccessProvenAuthenticationPlatform•Poweredbymarket-leadingPhoneFactorplatform•Trustedbythousandsofenterprisecustomersacrossawiderangeofindustries,includinghealthcare,financialservices,manufacturing,andgovernment•AuthenticatingmillionsofloginsandtransactionseachmonthUserExperience(afterusername/passwordauthentication)•MobileApp:Theusertaps“Verify”intheapptoauthenticate.•PhoneCall:Placesanautomatedvoicecalltotheuser.Theuseranswersthecallandpresses#inthephonekeypadtoauthenticate.•TextMessage:Sendsatextpasscodetotheuser.Theusereitherrepliestothetextmessagewiththepasscodeorentersthepasscodeintothesign-ininterface.揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！开发人员使用场景•AdeveloperofanestablishedcloudapplicationenablessignupofcustomerswhohaveAzureAD(开发企业自有身份云的云应用)•Singlesignoninsteadofseparateusername/passwordforapp•QueryDirectoryGraphforuserinformation,provisioning•AdeveloperofanewcloudapplicationusesAzureADasoff-the-shelfidentitysys