随笔 | 身份安全的下一个十年(5)

admin 2025年6月2日01:29:52评论12 views字数 1571阅读5分14秒阅读模式

从“够用”到“弹性”应对泛身份的挑战

在上一篇,我们聊到了现代身份管理需要应对的远不止员工,而是一个包含人类身份(People Identity)、非人类身份(NHI)的身份(Broad Identity)管理。伴随身份类型的爆炸式增长而来的,必然是系统容量的巨大挑战。这不仅是简单的数量增加,更是对系统性能、稳定性和扩展能力的严峻考验。今天,我们就来探讨身份系统如何从过去的够用就好,进化到必须具备弹性伸缩以应对海量身份的冲击。

数据量、吞吐量与弹性

1.数据量:

1)广度:即存储身份的绝对数量。传统的员工场景可能只有几千到几十万,而客户/消费者场景则从数百万甚至上亿。NHI的数量远超人类身份。

2)深度:即每个身份需要存储的属性数量。通常员工身份属性较多且结构化存储,而客户/消费者身份可能初始属性少,后期逐步扩展。这不仅对存储容量提出了要求,从传统的关系型数据库、LDAP目录服务,扩展到更灵活的NoSQL、文档数据库等,以适应不同身份类型和半结构化数据的需求。

2.数据同步与一致性:在分布式环境下,数据一致性至关重要。在分布式系统中,对于IAM(这里以IAM特指身份管理系统)的关键操作,如账号禁用、会话终止、密码更改、权限变更等,数据必须尽快且最终保持一致。任何延迟或不一致都可能导致严重的安全风险(如已离职员工仍能访问内部系统)。

3.吞吐量与弹性:吞吐量指的是IAM系统单位时间内处理的事务数量,如认证、权限变更等,吞吐量往往呈现峰谷波动,同时对系统的弹性提出了极高要求。这就要求系统必须能够:

1)快速扩展:在高峰期来临前或期间,迅速增加处理能力以应对瞬时高并发。

2)快速缩减:在高峰期过后,释放多余资源以控制成本。弹性需求贯穿身份生命周期的各个环节:认证、密码更改、会话管理、令牌颁发/刷新、权限变更等。任何一个环节成为瓶颈,都会影响整体服务。
随笔 | 身份安全的下一个十年(5)

架构设计面临的考验

过去设计企业内部系统,容量规划相对容易,用户量和并发量基本可预测,够用就好是常态。但进入云大物移智时代,尤其是面对大用户量时,架构设计如要考虑如下因素:

1.够用弹性的思维转变:最大的挑战在于思维模式的转变,必须拥抱不确定性,将弹性设计融入架构的血液中。比如在技术选型(如选择云原生数据库、无服务器计算、消息队列)、系统拆分(微服务化)、部署模式(容器化、自动化部署)等方面都要优先考虑可伸缩性。

2.一致性与可用性:在全球分布、高并发场景下,高度一致性往往意味着牺牲部分可用性或增加延迟。如何在关键操作(如授权、账号锁定)上保证一致性,而在非核心操作(如用户基础信息更新)上接受最终一致性,需要基于业务风险和用户体验进行权衡和设计。

3.性能优化的永恒追求:高并发下,性能优化是重点。多级与分布式缓存、异步处理、数据库读写分离、索引优化、连接池管理等手段必须综合运用。尤其在认证、令牌变更等核心路径上,任何毫秒级的延迟都可能被放大,影响用户体验。建议IAM供应商进行性能和弹性的考验测试。

4.NHI的冲击:NHI带来的容量挑战更具隐蔽性。单个API调用可能触发内部一连串的服务间调用和凭证交互,其并发量和吞吐量可能远超前端用户请求。

为规模而生,为弹性而计

总而言之,传统的IAM架构在规模化挑战面前显得力不从心,面向下一个十年,现代身份系统必须具备应对海量数据和高并发、高流量的张力。

接下来,似乎IAM保护的对象也越来越多了,下一篇,我们将探讨身份管理系统保护的边界延伸。

END

ima.copilot免费加入。价值:随时检索和利用AI总结,是星球的子集。
随笔 | 身份安全的下一个十年(5)

知识星球:付费。定位:做知识的深度整合(Deep Neaten)。好处:存档、可视化界面总结、播客几分钟就可了解,也可深入看。

随笔 | 身份安全的下一个十年(5)
随笔 | 身份安全的下一个十年(5)

原文始发于微信公众号(安全红蓝紫):随笔 | 身份安全的下一个十年(5)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月2日01:29:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   随笔 | 身份安全的下一个十年(5)http://cn-sec.com/archives/4118287.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息