為了讓企業(yè)的 IT 系統(tǒng)完成驅(qū)動業(yè)務(wù)生產(chǎn)力的使命，公司決策者必須優(yōu)先考慮 IT 的安全工作，因?yàn)榘踩撬屑夹g(shù)的基礎(chǔ)。

而要選擇采用哪種統(tǒng)一身份認(rèn)證方案并不簡單，需要考慮很多因素，其中最重要的一點(diǎn)是所用的平臺是否遵循端到端的零信任方法框架。

近期，“零信任”這一概念在產(chǎn)品營銷中隨處可見，其概念也經(jīng)常被誤用。關(guān)于零信任最簡單的一種理解是：零信任是一個(gè)如何實(shí)現(xiàn) IT 安全的概念，具體涉及身份、工作負(fù)載、設(shè)備、網(wǎng)絡(luò)和數(shù)據(jù)。 統(tǒng)一身份認(rèn)證系統(tǒng)涵蓋了這些領(lǐng)域，在驗(yàn)證用戶和設(shè)備身份方面發(fā)揮著關(guān)鍵作用，有力保障安全訪問。

NingDS 身份目錄云和微軟的 Active Directory 聯(lián)合服務(wù)（ADFS）是兩種常見的統(tǒng)一身份認(rèn)證系統(tǒng)，可在跨域環(huán)境中將身份對接到 IT 資源。本文對比了 ADFS 和 NingDS，直觀展現(xiàn)兩種系統(tǒng)的異同，幫助企業(yè)正確選擇更適合的統(tǒng)一認(rèn)證方案，以實(shí)現(xiàn)零信任 IT 安全策略。

一、ADFS vs NingDS

比起用戶體驗(yàn)，ADFS 和 NingDS 最大的區(qū)別主要體現(xiàn)在底層架構(gòu)上。

微軟 AD 由 Windows 2000 引入，目的是在防火墻后進(jìn)行身份認(rèn)證、授權(quán)和管理。過去二十年里，IT 行業(yè)發(fā)生了翻天覆地的變化，其中基于 SAML 協(xié)議的單點(diǎn)登錄（SSO）工具作為一種跨域解決方案越來越受歡迎。ADFS 為了廣泛支持 SSO，將遺留的 AD 架構(gòu)進(jìn)行擴(kuò)展，以適用于 Web 端。

但是這種實(shí)現(xiàn)方式極其復(fù)雜：除了負(fù)載均衡器等基本的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之外，企業(yè)還需要部署、配置和管理運(yùn)維 server farm（服務(wù)器集群），才能實(shí)現(xiàn)這一點(diǎn)。

微軟自己也承認(rèn)實(shí)施這一方案難度很大。

其客戶指南中寫道：“我們不推薦使用 [ADFS] 這一功能 ，除非您需要集成單點(diǎn)登錄和本地密碼管理。這一方法需要管理多臺服務(wù)器，并且僅適用于安全設(shè)置和要求較為復(fù)雜的區(qū)域，部署難度和成本都較高?！?/p>

運(yùn)行 ADFS 的域控制器和運(yùn)行 Web 應(yīng)用程序代理的其他服務(wù)器都是必要組件，缺點(diǎn)是影響安全性以及增加 IT 管理開銷。因此微軟建議企業(yè)單獨(dú)為 SSO 部署專門的 server farm （服務(wù)器集群）。但是，AD 域控制器根本無法用于跨 WAN （廣域網(wǎng)）的 SSO，所以 ADFS 本質(zhì)上增加了服務(wù)器的安全風(fēng)險(xiǎn)。

相比之下，NingDS 適用于無域企業(yè)，無域環(huán)境沒有遺留系統(tǒng)，沒有需要管理的服務(wù)器，云 LDAP 目錄、IAM 平臺和輕量級代理都能支持易于配置的 SSO。此外，NingDS 也包含一個(gè)零信任框架，確保不會對“加域”設(shè)備隨意授予信任。這也是 ADFS 和 NingDS的一個(gè)關(guān)鍵區(qū)別：AD 中，域控制器本質(zhì)上是“信任的”；NingDS 則不是。

二、ADFS 違反零信任原則

微軟 AD 中存在一種固有的“信任”原則，在初始訪問完成后就會為域上的 Windows 設(shè)備授予所有訪問權(quán)限。而為了確認(rèn)設(shè)備是否可信，還需要一個(gè)完整的安全工具生態(tài)系統(tǒng)進(jìn)行驗(yàn)證。因此，這種原生的信任關(guān)系與零信任原則完全相反。一旦微軟的域控制器接受并信任加域設(shè)備，這種信任就會延伸，使得該設(shè)備能夠訪問域中的所有資源。

用戶認(rèn)證工作流

NingDS

登錄托管設(shè)備，開啟用戶門戶會話，每個(gè)應(yīng)用程序都需要用戶名和密碼（甚至多因素認(rèn)證MFA）才能訪問。

ADFS

登錄到域資源（通常是與域綁定的設(shè)備），然后自動對用戶進(jìn)行身份認(rèn)證并授權(quán)訪問現(xiàn)有的任意 SSO 應(yīng)用程序。

由此可見，ADFS 對域資源的原生信任不僅違反了零信任原則，而且為加域設(shè)備提供了訪問所有資源的權(quán)限，反而迫使 IT 管理員采用更多工具來加強(qiáng)訪問安全。要保護(hù) ADFS 配置中的組件更是大大增加了管理負(fù)擔(dān)。

三、ADFS 防護(hù)費(fèi)時(shí)費(fèi)力

域控制器安全取決于補(bǔ)丁、端點(diǎn)檢測和響應(yīng)（EDR)、硬件安全以及各環(huán)節(jié)的運(yùn)維情況，其復(fù)雜程度可想而知：每隔一個(gè)周二，Windows Server 就會源源不斷地出現(xiàn)零日漏洞。中小企業(yè)（SME）很難跟上系統(tǒng)維護(hù)的步伐。很多野生的系統(tǒng)漏洞也經(jīng)常被攻擊者利用。2021年，零日攻擊次數(shù)更是創(chuàng)下新高。種種跡象表明，運(yùn)行服務(wù)器的風(fēng)險(xiǎn)比以往任何時(shí)候都高，究其原因就在于冷血的黑客組織受到利益驅(qū)使而不斷攻擊中小企業(yè)。

這絕非危言聳聽，真實(shí)案例比比皆是。例如 Cozy Bear，該組織被認(rèn)為與俄羅斯情報(bào)機(jī)構(gòu)相關(guān)，去年年底就利用了 ADFS 身份認(rèn)證棧中的一個(gè)漏洞，導(dǎo)致140多家微軟經(jīng)銷商成為攻擊目標(biāo)，其中14家數(shù)據(jù)被盜。由于 ADFS 的高度復(fù)雜性，即使是微軟認(rèn)證的專家在安全方面也是捉襟見肘。

你可能會問，“我的關(guān)鍵任務(wù)應(yīng)用程序是否應(yīng)該自動信任域控制器？” 當(dāng)然不行。但如果部署 ADFS 是為了啟用 SSO，那么這種信任就不可避免，而且是違背零信任的。 ADFS 是 Active Directory 的配套方案，為微軟生態(tài)增加了便利。但這種便利和熟悉并不是企業(yè)回避現(xiàn)代化基礎(chǔ)設(shè)施的理由。

四、有代價(jià)的安全

如前所述，AFDS 并非完全不安全的方案。Windows Server 還是可以被鎖定，只是中小企業(yè)不太可能會對安全運(yùn)營中心（SOC）中的威脅狩獵等安全活動全部疊加使用。微軟通過 Azure AD 提供一系列收費(fèi)的安全服務(wù)，僅 Azure AD 就有三種不同的威脅和安全工具。如果只是為了增強(qiáng) ADFS 的安全，購買這些工具只會讓成本飆升，效果可能還不好。

如果有安全方面的預(yù)算，可以聘請專家處理各類安全問題。否則，即便買再多工具或方案也不能有效提升安全。相比之下，基于零信任框架的 NingDS 更能滿足企業(yè)的現(xiàn)代化安全需求。

（下篇將講述 NingDS 零信任架構(gòu)的優(yōu)勢，以及中小企業(yè)使用 NingDS 有何好處。）

（本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）