Authing 近日上线了 CAMFA,相较于传统多因素认证,不仅能用于认证登录场景,还能灵活地嵌入多种高风险场景中,可以根据当前操作环境或操作主体的行为特征,通过在工作流画布上简单拖拽节点就能完成 MFA 策略流编排。Authing CAMFA 简单易上手,从强大灵活的策略配置能力到多种 MFA 认证方式,Authing 能够更好保护和管理您的用户及其访问,您可以腾出更多时间关注您的核心业务发展。

01.什么是 CAMFA?


持续自适应 MFA(Continuous Adaptive Multi-Factor Authentication,CAMFA) 是基于持续自适应信任方法的一种安全身份验证方法,它结合了多个身份验证因素(如密码、生物识别、硬件令牌等),并在用户的访问生命周期过程中,使用行为风险评估技术对用户的关键行为进行持续地实时动态评估,当触发风险时会通过调用 MFA 认证对用户当前状态进行确认,从而提高账号的安全性,更好地保护业务系统内的数据与资源安全。

根据 Gartner 行业报告的战略规划假设:到 2025 年,采用持续自适应信任方法的组织将能够使盗用账号和其他身份风险降低 30%,同时将减少 20 倍安全提示从而优化组织成员的办公体验。企业需要一种更加积极主动的身份验证方式来填补传统 MFA 空白。在当前安全环境下,选择更安全的 MFA 解决方案成为企业亟需解决的问题。

02.为什么需要 CAMFA ?


复杂化访问场景

随着业务上云、生态协作、多云混合等场景涌现以及移动互联、IoT 设备的普及,大量的设备接入和上云让企业的身份信任边界外扩,近一半的组织使用 15 个以上的系统来管理身份和访问权限。但大多数身份产品都受静态、基于单组策略的管理。无论是在物理位置上还是在组织中的职位上,用户不断地移动。他们需要使用的软件或功能每天都会发生变化,并且他们应该被允许在该软件中执行的操作同样会随着时间而变化。截至 2023 年,7 成漏洞是由身份、访问或权限管理不善造成的。客户可能面临多种场景下的认证需求,例如不同用户角色、地理位置或网络环境,需要灵活的身份安全策略来应对。传统单一的 MFA 难以应对客户的多样化需求,管理员可能需要花费大量时间和精力进行配置和管理。


重塑安全思维方式

Gartner 提倡为了实现对更复杂威胁的防控,建议将安全思维方式从“应急响应”到“持续响应”转变。下一代的安全保护流程的核心是持续、普遍的监控和可见性,企业的安全监控应该无处不在,并尽可能多的包含 IT 堆栈层,包括网络活动、端点、系统交互、应用程序事务和用户活动监控。基于持续自适应信任的技术模型,可以持续收集每个用户在登录之后的每一个资源访问的行为数据,持续计算分析用户当前的风险水平与可信评分,并且能够根据风险水平实现自适应的访问许可或者控制操作。

Gartner 持续自适应认证


03.Authing CAMFA 的核心特性


Authing 持续自适应 MFA,依托于 Authing 身份自动化的编排能力,基于事件驱动的方式,能够基于用户属性、用户实行行为特征灵活编排安全策略,持续监测用户访问过程中的风险,设置触发多种 MFA。在确保用户体验的同时,有效提升认证与资源访问场景的安全性。

Authing 持续自适应多因素认证业务架构图
Authing 持续自适应 MFA 具备以下特性:

  • 多种接入使用方式:你可以通过多种方式为你的应用接入 Authing 持续自适应认证的能力。目前支持通过 Authing Guard/Authing 应用网关/Authing MFA 组件的方式为你的应用提供持续自适应 MFA 能力。
  • 多源行为数据上报:持续自适应 MFA 可以接入多种场景和多个应用系统的用户行为数据,包括设备特征、网络环境、行为类型等等,如果你是基于 Authing MFA 组件接入还可以完全自定义用户行为数据。
  • 可视化编排安全策略:你可以通过工作流可视化地灵活编排不同应用的 MFA 安全策略,策略可以基于多种用户属性、行为特征、风控指标进行编排,支持多个策略分支,不同策略触发不同的 MFA。
  • 多种 MFA 验证方式:Authing 持续自适应认证支持多种认证方式,包括手机号短信验证/电子邮箱验证/OTP 验证/人脸识别验证。
  • 开发者友好:提供 SDK 与开放接口,助力开发者快速调用相关能力。

04.Authing CAMFA 典型的使用场景

  • 你希望用户在他们经常登录的地理位置(国家/城市)无需触发 MFA,正常完成认证即可。但是当他们的账号在非常用地进行登录时,需要额外完成一次 MFA 才可以登录。
  • 你希望企业成员在内网环境访问你的应用时,无需触发 MFA,正常完成认证即可。但是当他们在外网环境访问应用时需要额外完成一次 MFA 才可以登录。
  • 你希望企业成员在内网环境访问你的应用时,无需触发 MFA,正常完成认证即可。但是当他们在外网环境访问应用时需要额外完成一次 MFA 才可以登录。
  • 你希望用户在访问你的应用时,如果某个 IP 在短时间内连续登录多个应用或者连续登录失败,那么这个 IP 需要做一次 MFA 验证才能继续登录。
    你希望用户在访问你的应用时,如果某个 IP 在短时间内连续登录多个应用或者连续登录失败,那么这个 IP 需要做一次 MFA 验证才能继续登录。

Authing CAMFA 强大的策略编排能力

目前,在已经发布的 CAMFA 版本中,已经包含数十种基于用户访问环境、用户行为特征和用户业务属性的策略配置能力,其中一些比较典型的策略配置能力。
基于用户认证方式
Authing CAMFA 不仅支持手机号密码、手机号验证码、邮箱密码、邮箱验证码等多种认证配置,还集成企业内部常用的 Windows AD、飞书和钉钉等多种办公系统的认证配置可供选择。企业的 CAMFA 策略可以基于根据判断条件来自动触发相应的认证策略以适应不同用户和不同应用场景的需求,实现智能化的身份验证流程。

基于当前用户的访问地理位置
用户在他们经常登录的地理位置(国家/城市)无需触发 MFA,正常完成认证即可。但是当他们的账号在非常用地进行登录时,需要额外完成一次 MFA 才可以登录。

基于用户当前访问设备
在复杂的网络环境和融合业务场景下,网络的软硬件系统复杂,网络设备的安全暴露面增多,身份假冒、地址欺骗等多种安全风险也会更大。新的网络体系需要确保网络设备的身份可信,确保网络设备在运行过程中的行为可预期,能够及时发现并上报异常行为。同时,可以通过唯一性标识的方法确保网络传输过程的完整性、保密性以及可追溯性。Authing CAMFA 新增基于可信任设备的策略配置,无需输入动态密码。当设备属于可信任设备时,用户可以自动登录应用系统。反之,系统会自动触发相应的 MFA 进行身份认证。

基于用户访问时的网络环境
Authing CAMFA 可自动有效识别用户登录请求的来源 IP 地址,判断是否来自内部网络。当用户请求来自已知的内部 IP 地址时,系统将根据事先设定的安全策略,自动信任用户身份,无需进行繁琐的认证流程。但是当他们在外网环境访问应用时需要额外完成一次 MFA 才可以登录。通过识别和验证 IP 地址,可以有效降低外部攻击者的入侵风险,保障系统和数据的安全性。

基于各种复杂场景下多种条件分支策略配置
通过持续自适应多因素认证提供持续风险评估能力来判断外部风险信号和内部数据,同时基于「持续自适应多因素认证」的策略引擎来根据组织设定的安全策略对这些风险信号和访问请求进行评估。基于 Authing 策略编排画布,管理员可根据业务场景配置多个组合因素策略分支,实现 MAF 自定义编排流程。通过用户登录认证时的属性、位置、行为等数据判断登录风险,仅在风险范围内开启二次认证,从而实现不同策略条件触发不同 MFA 方式的复杂场景安全需求,以此帮助企业平衡信息安全、员工效率与用户体验。

06.Authing CAMFA 的典型案例


世界 500 强快消集团
痛点需求

由于各公司各组织分布在全球多个地区,下游企业众多、业态丰富、层级复杂、跨多区域、人员庞杂且变动频繁,企业面临着日益复杂的安全挑战。当外网用户需要访问企业内部应用时,企业内面临更高的安全风险,可能受到来自恶意攻击和未经授权的访问。企业需要区分内外网访问,增加额外的身份验证和访问控制策略,但自研困难且运维周期长。

企业内部采用了多种身份源,某些特定应用存储了敏感信息或关键业务数据,对用户身份验证的要求更高,需要确保用户身份的真实性和安全性。针对这些关键的企业应用或系统,需要确保最高级别的安全性,无论用户在何时何地以何种方式访问,都需要进行强制的多因素认证,以防止未经授权的访问和数据泄露。

解决方案

为了加强安全性,所有应用默认配置要求外网用户进行多因素认证。

1、用户在外网环境通过 AD 登录时触发短信多因素认证;
2、用户在外网环境通过企业微信登录时触发邮件多因素认证;
3、用户在内网环境登录时可以无需再进行多因素认证。

确保外部访问的安全性,降低潜在的入侵风险,帮助企业更高效、更精准、更全面的保护业务系统内的数据和资源的安全,延展企业信息安全管控纵深,同时解决用户体验与安全管理间的摩擦问题。

针对某个指定应用的特定配置,无论用户在内网还是外网,不管什么情况都触发 MFA,提高访问的安全性。

1、对于通过 AD 登录访问特定应用的用户,设置为触发短信多因素认证。
2、对于通过企业微信登录访问特定应用的用户,设置为触发企业邮箱多因素认证。


通过这种组合身份认证策略有效提升应用的安全性和访问控制水平,保护企业敏感信息不受未经授权的访问和攻击。

Authing 的 CEO 谢扬表示,Authing 始终把为客户提供「生产力升级」的「最佳实践」作为产品研发的方向指引,自适应 MFA 是 Authing 业务中非常重要的部分。通过灵活的 MFA 策略编排满足各类大中型企业复杂的安全场景自定义需求,致力于企业更加安全、高效的运转。当前我们在全球市场已经成功帮助众多知名企业客户落地了成熟的 MFA 最佳实践,帮助 B2B / B2C / B2E 企业在复杂的业务场景下,实现了强大的多因素认证能力。未来我们将进一步深耕身份云领域,助力客户成功,支持中国的产业数字化升级战略。