隨著數(shù)字化轉(zhuǎn)型的不斷加速,企業(yè)不僅存在多個(gè)內(nèi)部網(wǎng)絡(luò),還存在通過遠(yuǎn)程連接本地網(wǎng)絡(luò)基礎(chǔ)設(shè)施的遠(yuǎn)程辦公室、移動(dòng)用戶以及云服務(wù)等,一旦攻擊者突破企業(yè)網(wǎng)絡(luò)的邊界防護(hù),便可以在內(nèi)部網(wǎng)絡(luò)中進(jìn)一步橫向移動(dòng)進(jìn)行攻擊破壞,不受阻礙和控制。因此,在傳統(tǒng)網(wǎng)絡(luò)邊界局限性日益凸顯的背景下,如何構(gòu)筑身份邊界、實(shí)現(xiàn)實(shí)時(shí)的風(fēng)險(xiǎn)感知和動(dòng)態(tài)的細(xì)粒度授權(quán)是當(dāng)下所關(guān)注的重點(diǎn)。
動(dòng)態(tài)授權(quán)成為零信任安全架構(gòu)關(guān)鍵組件
在零信任安全架構(gòu)中,其設(shè)計(jì)理念主要包括身份、環(huán)境、權(quán)限和訪問控制等主要因素,架構(gòu)設(shè)計(jì)中明確系統(tǒng)以身份為中心,構(gòu)建每一個(gè)應(yīng)用、設(shè)備、用戶等實(shí)體達(dá)到唯一的身份和唯一的標(biāo)識(shí),結(jié)合環(huán)境感知,對(duì)用戶終端的環(huán)境、網(wǎng)絡(luò)的環(huán)境以及用戶自身訪問的行為進(jìn)行持續(xù)的監(jiān)測(cè)和身份認(rèn)證,同時(shí)依據(jù)動(dòng)態(tài)的權(quán)限控制,進(jìn)行細(xì)粒度的權(quán)限管理和動(dòng)態(tài)權(quán)限的管控,整體架構(gòu)實(shí)踐的過程中,嚴(yán)格遵循業(yè)務(wù)安全訪問控制和安全策略,實(shí)現(xiàn)全面的安全執(zhí)行檢查點(diǎn),保障多維度安全體系。
動(dòng)態(tài)授權(quán)作為零信任安全架構(gòu)關(guān)鍵組件,發(fā)揮著整個(gè)零信任安全體系中大腦中樞的指揮作用,業(yè)務(wù)系統(tǒng)的安全訪問和使用,都與動(dòng)態(tài)授權(quán)能力緊密相連。
零信任框架下動(dòng)態(tài)授權(quán)核心能力
零信任框架下的動(dòng)態(tài)授權(quán)服務(wù)主要包括兩大核心能力,一是基于策略或安全需求形成的基礎(chǔ)授權(quán)服務(wù),一是基于風(fēng)險(xiǎn)感知形成的動(dòng)態(tài)授權(quán)服務(wù),其中基礎(chǔ)授權(quán)服務(wù),主要根據(jù)所屬組織機(jī)構(gòu)、職級(jí)等預(yù)置權(quán)限,通常依賴不同的權(quán)限模型如ABAC、RBAC、TBAC、WBAC等進(jìn)行權(quán)限分配和控制,而動(dòng)態(tài)授權(quán)服務(wù),以環(huán)境、風(fēng)險(xiǎn)評(píng)估、用戶信用等級(jí)等維度進(jìn)行風(fēng)險(xiǎn)評(píng)分而實(shí)現(xiàn)權(quán)限的自適應(yīng)服務(wù)。
如用戶A,目前擁有四個(gè)業(yè)務(wù)系統(tǒng)的訪問權(quán)限,其中業(yè)務(wù)系統(tǒng)N是一個(gè)高敏應(yīng)用,零信任安全平臺(tái)在用戶訪問系統(tǒng)過程中持續(xù)檢測(cè)環(huán)境和環(huán)境感知,將風(fēng)險(xiǎn)分值提供給認(rèn)證服務(wù),如果風(fēng)險(xiǎn)分值低,也就是風(fēng)險(xiǎn)等級(jí)高,那么認(rèn)證服務(wù)通知權(quán)限服務(wù),需做權(quán)限變更,調(diào)整該用戶的應(yīng)用訪問權(quán)限,實(shí)現(xiàn)動(dòng)態(tài)的變更。當(dāng)用戶再次登錄,因?yàn)闄?quán)限已做變更,則只展示A、B、C業(yè)務(wù)系統(tǒng),N業(yè)務(wù)系統(tǒng)的圖標(biāo)就無法看到。當(dāng)用戶環(huán)境恢復(fù)到安全狀態(tài),權(quán)限服務(wù)才將業(yè)務(wù)系統(tǒng)N的訪問權(quán)限重新賦予。通過認(rèn)證服務(wù)、權(quán)限服務(wù)和環(huán)境感知,可實(shí)現(xiàn)一次完整的用戶動(dòng)態(tài)權(quán)限的變更。
零信任框架下動(dòng)態(tài)授權(quán)的落地實(shí)踐
零信任安全架構(gòu)與現(xiàn)有邊界、縱深防御架構(gòu)結(jié)合和聯(lián)動(dòng),試點(diǎn)先行選擇特定業(yè)務(wù)場景,快速構(gòu)建零信任技術(shù)環(huán)境,落地提升安全能力,持續(xù)研究持續(xù)規(guī)劃分層落地,推動(dòng)企業(yè)網(wǎng)絡(luò)安全架構(gòu)的變革,通過快速構(gòu)建零信任架構(gòu)能力,“選擇場景-確定范圍-構(gòu)建環(huán)境-創(chuàng)建策略-監(jiān)控改進(jìn)” 流程,選擇“IAM-SDP-MSG” 技術(shù),快速構(gòu)建零信任安全技術(shù)能力流。
動(dòng)態(tài)授權(quán)核心能力逐步采取基礎(chǔ)授權(quán)服務(wù)構(gòu)建、權(quán)限試點(diǎn)應(yīng)用到自適應(yīng)動(dòng)態(tài)授權(quán)等幾個(gè)階段進(jìn)行落地和實(shí)踐,確保滿足企業(yè)的零信任安全規(guī)劃和實(shí)際業(yè)務(wù)需求。