En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題> 直播回顧 | IAM: 邁向零信任架構(gòu)的第一步

直播回顧 | IAM: 邁向零信任架構(gòu)的第一步

文章

2021-11-30瀏覽次數(shù):257

隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái),網(wǎng)絡(luò)安全邊界日益模糊,以邊界防護(hù)為主的安全理念正在逐步轉(zhuǎn)換成以人為中心的安全訪問(wèn)控制,因此,基于零信任架構(gòu)的身份與訪問(wèn)控制管理體系(IAM)應(yīng)運(yùn)而生。

 

IAM作為構(gòu)建零信任體系的重要一環(huán),能夠?yàn)榱阈湃螛?gòu)筑身份基礎(chǔ),進(jìn)行持續(xù)有效的驗(yàn)證,并對(duì)訪問(wèn)進(jìn)行有效控制。

 

在11月24日的直播中,為了讓大家更好的了解在零信任架構(gòu)下的身份治理問(wèn)題,派拉軟件研發(fā)總監(jiān)、cztp零信任專(zhuān)家茆正華先生,針對(duì)IAM的主要內(nèi)容及未來(lái)發(fā)展趨勢(shì)進(jìn)行深入探討。

 

直播亮點(diǎn)回顧

 

#Q1 什么是IAM

IAM:身份與訪問(wèn)控制管理, 其核心目標(biāo)是為每個(gè)用戶賦予一個(gè)身份,從用戶登錄系統(tǒng)到權(quán)限授予到登出系統(tǒng)的整個(gè)過(guò)程中,根據(jù)需要在恰當(dāng)?shù)臈l件下及時(shí)賦予正確的用戶對(duì)企業(yè)內(nèi)適當(dāng)資產(chǎn)的訪問(wèn)權(quán)。該數(shù)字身份一經(jīng)建立,在用戶的整個(gè)“訪問(wèn)生命周期”存續(xù)期間都應(yīng)受到良好的維護(hù)、調(diào)整與監(jiān)視。

 

#Q2 IAM主要都包括哪些

身份治理和管理:生命周期

對(duì)人事管理中的入職、轉(zhuǎn)崗、調(diào)職、離職等事件,實(shí)現(xiàn)基于流程的自動(dòng)化賬號(hào)創(chuàng)建、關(guān)閉和變更等身份的全生命周期管理。

 

身份治理和管理:策略管理

在身份管理系統(tǒng)中,主要是針對(duì)預(yù)設(shè)好的策略,對(duì)系統(tǒng)中的所有操作進(jìn)行管理,主要包括:賬號(hào)的開(kāi)通、用戶信息和身份的映射、密碼管理及用戶訪問(wèn)控制等。

 

 

身份治理和管理:身份供給

將各個(gè)方式創(chuàng)建的新用戶(自注冊(cè)服務(wù)、HR系統(tǒng)、其他系統(tǒng)數(shù)據(jù)源)信息集中存儲(chǔ)在存儲(chǔ)庫(kù)中,然后通過(guò)相關(guān)推送引擎,把用戶和權(quán)限信息推送到各個(gè)業(yè)務(wù)系統(tǒng)中。由于各個(gè)業(yè)務(wù)系統(tǒng)之間存在不同的接口或協(xié)議,因此,派拉基于零信任架構(gòu)的IAM會(huì)對(duì)應(yīng)地為每一個(gè)系統(tǒng)做連接器工廠,靈活匹配到各個(gè)業(yè)務(wù)系統(tǒng),并根據(jù)用戶信息的變更,實(shí)時(shí)將用戶信息同步到各個(gè)業(yè)務(wù)系統(tǒng)中。

 

訪問(wèn)控制-單點(diǎn)登錄

目前,比較主流單點(diǎn)登錄協(xié)議包括:OpenID Connect、OAuth、SMAL、JWT/REST、JWT/REST及FIDO2。

 

身份治理和管理-權(quán)限管理

權(quán)限管理作為零信任架構(gòu)建設(shè)中的重要基石,可實(shí)現(xiàn)集中的授權(quán)管理、權(quán)限的全生命周期管理、權(quán)限分配的智能化流程化、權(quán)限合規(guī)智能檢測(cè)、權(quán)限集中審計(jì)等功能。

 

未來(lái),權(quán)限管理模型和權(quán)限管理技術(shù)水平方面還將會(huì)進(jìn)一步發(fā)展完善,而零信任身份管理體系中權(quán)限管理的落地和實(shí)施也會(huì)貫徹始終,成為企業(yè)數(shù)字化發(fā)展中必不可少的一部分。

 

#Q3 IAM在零信任中的應(yīng)用

■  持續(xù)認(rèn)證:零信任架構(gòu)下,定義數(shù)據(jù)本身訪問(wèn)時(shí),以用戶實(shí)際的身份管理為基礎(chǔ),通過(guò)多因子、實(shí)時(shí)動(dòng)態(tài)的認(rèn)證來(lái)確保訪問(wèn)的身份和其所代表的身份是一致的;

■  動(dòng)態(tài)授權(quán):在零信任體系中,根據(jù)用戶身份和用戶訪問(wèn)操作進(jìn)行動(dòng)態(tài)的認(rèn)證和授權(quán),在動(dòng)態(tài)授權(quán)中,根據(jù)用戶當(dāng)前登錄的風(fēng)險(xiǎn)環(huán)境進(jìn)行評(píng)級(jí),智能化進(jìn)行認(rèn)證調(diào)度或權(quán)限調(diào)整,從而盡可能減小潛在的風(fēng)險(xiǎn);

■  最小權(quán)限:最小權(quán)限原則是零信任依賴的監(jiān)管策略之一,也就是只賦予用戶完成特定的工作所需的最小訪問(wèn)權(quán)限,在用戶認(rèn)證與授權(quán)過(guò)程中,基于用戶身份數(shù)據(jù)、組織崗位數(shù)據(jù)、角色數(shù)據(jù)等,結(jié)合規(guī)則模型,對(duì)權(quán)限進(jìn)行智能化匹配,簡(jiǎn)化權(quán)限分配工作。

零信任的核心是基于身份的訪問(wèn)控制,即該身份在可信終端,只有擁有權(quán)限才可對(duì)資源進(jìn)行請(qǐng)求。主要使用了IAM的認(rèn)證和授權(quán)能力,包括持續(xù)認(rèn)證、動(dòng)態(tài)授權(quán)和最小權(quán)限,通過(guò)融合企業(yè)內(nèi)外所有的身份體系,為所有身份訪問(wèn)之前的校驗(yàn)提供基礎(chǔ)。

 

具體實(shí)踐中充分考慮到授權(quán)策略的自適應(yīng)、可管理及可擴(kuò)展幾方面的平衡,通過(guò)各種權(quán)限模型,建立滿足最小權(quán)限原則的權(quán)限基線,并基于主體、客體和環(huán)境屬性實(shí)現(xiàn)角色的動(dòng)態(tài)映射,同時(shí)也可以通過(guò)風(fēng)險(xiǎn)評(píng)估和分析,對(duì)角色和權(quán)限進(jìn)行過(guò)濾,實(shí)現(xiàn)場(chǎng)景和風(fēng)險(xiǎn)的動(dòng)態(tài)授權(quán)。

 

針對(duì)不同的業(yè)務(wù)場(chǎng)景,提供不同的訪問(wèn)控制網(wǎng)關(guān),從而實(shí)現(xiàn)非常細(xì)粒度的安全訪問(wèn)控制,有效緩解端到端的業(yè)務(wù)訪問(wèn)風(fēng)險(xiǎn),保障信息化系統(tǒng)和網(wǎng)絡(luò)的整體安全性,形成從環(huán)境、角色、權(quán)限、網(wǎng)絡(luò)到數(shù)據(jù)等全面的縱深安全防御體系。