隨著社會的高度發(fā)展,互聯(lián)網在生活中的應用越來越多,尤其企業(yè)的數(shù)字化推進使用戶數(shù)據(jù)越來越集中,隨著頻頻暴露的各類網絡攻擊,企業(yè)對數(shù)據(jù)的重視程度與日俱增。對企業(yè)來說,數(shù)據(jù)中心每天都會有很多用戶數(shù)據(jù)進入,雖然有用戶數(shù)據(jù)的涌入對企業(yè)來說應該是好事,但企業(yè)如何保證用戶數(shù)據(jù)訪問和應用程序的充分安全是關注的重點。很多數(shù)據(jù)泄露的主要原因在于員工,尤其數(shù)據(jù)在生產過程中,可能會因人為管理不善帶來各類風險,如內部人員導致的數(shù)據(jù)泄露和暴露企業(yè)與個人隱私等。
即使很多企業(yè)正在部署或者已經部署了管理用戶身份數(shù)據(jù)的系統(tǒng),這些系統(tǒng)絕大部分都缺乏顆粒級的授權支持,這也意味著企業(yè)在權限管理中會存在一些問題,如:
■ 同崗不同權:系統(tǒng)授權管理沒有標準和公示,存在同崗不同權,不申請就沒有權限的情況;
■ 權限不公開:員工自己并不知道自己已經擁有和應該擁有哪些權限;
■ 權限變更慢:權限變更為“需求-響應”模式,且人工調整需要大量時間;
■ 離職交接不清:工作交接過程中需要人工確認歷史數(shù)據(jù)的交接。
因此在企業(yè)的用戶身份和訪問管理方面,需要顆粒級的授權來滿足安全需求,這也就是為什么細粒度授權被提及。細粒度授權也叫數(shù)據(jù)范圍授權,即不同的用戶所擁有的操作權限相同,但是能夠操作的數(shù)據(jù)范圍是不一樣的, 比如說,部門經理只可以訪問本部門的員工信息,普通員工只可以看到自己權限內的菜單,而大區(qū)經理可以看到本區(qū)的銷售訂單。
只有經過授權,才能實現(xiàn)某些權限的操作,比如當微信登錄成功后用戶即可使用微信的功能,比如,發(fā)紅包,發(fā)朋友圈,添加好友等,沒有綁定銀行卡的用戶是無法發(fā)送紅包的,綁定銀行卡的用戶才可以發(fā)紅包,發(fā)紅包功能、發(fā)朋友圈功能都是微信的資源即功能資源,用戶擁有發(fā)紅包功能的權限才可以正常使用發(fā)紅包功能,擁有發(fā)朋友圈功能的權限才能使用發(fā)朋友圈功能,這個根據(jù)用戶的權限來控制用戶使用資源的過程就是授權。認證是為了保證用戶身份的合法性,授權則是為了更細粒度的對隱私數(shù)據(jù)進行劃分,授權是在認證通過后發(fā)生的,控制不同的用戶能夠訪問不同的權限。
對企業(yè)來說,要解決數(shù)據(jù)安全管理,授權是很重要的環(huán)節(jié)。目前很多企業(yè)的授權采用的是人工授權,假如企業(yè)人數(shù)不多,人工授權方式是最常見的管理方式之一,比如HR給新員工開通郵箱賬號,等員工轉正之后再給員工開通其他權限。在人數(shù)不多的情況下,人為操作倒是可以滿足對權限的操控。
但面對成百上千人數(shù)的中大型企業(yè),部署身份和訪問管理系統(tǒng)是最常用的手段,身份和訪問管理(IAM)解決方案的授權方法各不相同,基于角色的訪問控制會比較常見。它涉及定義公司所需的角色,為每個角色指定權限,然后將用戶與角色進行匹配,安全定義好的規(guī)則實現(xiàn)自動化授權。比如在員工入職之后,系統(tǒng)會根據(jù)員工的角色自動生成其權限。
細粒度授權也可以繼續(xù)升級至動態(tài)的細粒度權限,動態(tài)授權會結合人的屬性、環(huán)境、設備等多種因素來判斷權限,單一屬性的變化都會導致權限變化。動態(tài)細粒度授權能有效提升企業(yè)管理,并減少數(shù)據(jù)泄露風險。
在網絡威脅更加多元化的今天,企業(yè)對安全的需求與日俱增。派拉結合多年的身份安全實踐經驗和對技術的精益求精,推出一體化零信任安全解決方案,在統(tǒng)一身份管理的基礎上,建立統(tǒng)一授權中心,實行基于“屬性”的動態(tài)授權體系,滿足零信任架構下更加“細粒度”的權限管控需求。