En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題> 直播回顧 | IAM: 邁向零信任架構(gòu)的第一步

直播回顧 | IAM: 邁向零信任架構(gòu)的第一步

文章

2021-11-30瀏覽次數(shù):274

隨著萬物互聯(lián)時代的到來,網(wǎng)絡(luò)安全邊界日益模糊,以邊界防護為主的安全理念正在逐步轉(zhuǎn)換成以人為中心的安全訪問控制,因此,基于零信任架構(gòu)的身份與訪問控制管理體系(IAM)應(yīng)運而生。

 

IAM作為構(gòu)建零信任體系的重要一環(huán),能夠為零信任構(gòu)筑身份基礎(chǔ),進行持續(xù)有效的驗證,并對訪問進行有效控制。

 

在11月24日的直播中,為了讓大家更好的了解在零信任架構(gòu)下的身份治理問題,派拉軟件研發(fā)總監(jiān)、cztp零信任專家茆正華先生,針對IAM的主要內(nèi)容及未來發(fā)展趨勢進行深入探討。

 

直播亮點回顧

 

#Q1 什么是IAM

IAM:身份與訪問控制管理, 其核心目標(biāo)是為每個用戶賦予一個身份,從用戶登錄系統(tǒng)到權(quán)限授予到登出系統(tǒng)的整個過程中,根據(jù)需要在恰當(dāng)?shù)臈l件下及時賦予正確的用戶對企業(yè)內(nèi)適當(dāng)資產(chǎn)的訪問權(quán)。該數(shù)字身份一經(jīng)建立,在用戶的整個“訪問生命周期”存續(xù)期間都應(yīng)受到良好的維護、調(diào)整與監(jiān)視。

 

#Q2 IAM主要都包括哪些

身份治理和管理:生命周期

對人事管理中的入職、轉(zhuǎn)崗、調(diào)職、離職等事件,實現(xiàn)基于流程的自動化賬號創(chuàng)建、關(guān)閉和變更等身份的全生命周期管理。

 

身份治理和管理:策略管理

在身份管理系統(tǒng)中,主要是針對預(yù)設(shè)好的策略,對系統(tǒng)中的所有操作進行管理,主要包括:賬號的開通、用戶信息和身份的映射、密碼管理及用戶訪問控制等。

 

 

身份治理和管理:身份供給

將各個方式創(chuàng)建的新用戶(自注冊服務(wù)、HR系統(tǒng)、其他系統(tǒng)數(shù)據(jù)源)信息集中存儲在存儲庫中,然后通過相關(guān)推送引擎,把用戶和權(quán)限信息推送到各個業(yè)務(wù)系統(tǒng)中。由于各個業(yè)務(wù)系統(tǒng)之間存在不同的接口或協(xié)議,因此,派拉基于零信任架構(gòu)的IAM會對應(yīng)地為每一個系統(tǒng)做連接器工廠,靈活匹配到各個業(yè)務(wù)系統(tǒng),并根據(jù)用戶信息的變更,實時將用戶信息同步到各個業(yè)務(wù)系統(tǒng)中。

 

訪問控制-單點登錄

目前,比較主流單點登錄協(xié)議包括:OpenID Connect、OAuth、SMAL、JWT/REST、JWT/REST及FIDO2。

 

身份治理和管理-權(quán)限管理

權(quán)限管理作為零信任架構(gòu)建設(shè)中的重要基石,可實現(xiàn)集中的授權(quán)管理、權(quán)限的全生命周期管理、權(quán)限分配的智能化流程化、權(quán)限合規(guī)智能檢測、權(quán)限集中審計等功能。

 

未來,權(quán)限管理模型和權(quán)限管理技術(shù)水平方面還將會進一步發(fā)展完善,而零信任身份管理體系中權(quán)限管理的落地和實施也會貫徹始終,成為企業(yè)數(shù)字化發(fā)展中必不可少的一部分。

 

#Q3 IAM在零信任中的應(yīng)用

■  持續(xù)認(rèn)證:零信任架構(gòu)下,定義數(shù)據(jù)本身訪問時,以用戶實際的身份管理為基礎(chǔ),通過多因子、實時動態(tài)的認(rèn)證來確保訪問的身份和其所代表的身份是一致的;

■  動態(tài)授權(quán):在零信任體系中,根據(jù)用戶身份和用戶訪問操作進行動態(tài)的認(rèn)證和授權(quán),在動態(tài)授權(quán)中,根據(jù)用戶當(dāng)前登錄的風(fēng)險環(huán)境進行評級,智能化進行認(rèn)證調(diào)度或權(quán)限調(diào)整,從而盡可能減小潛在的風(fēng)險;

■  最小權(quán)限:最小權(quán)限原則是零信任依賴的監(jiān)管策略之一,也就是只賦予用戶完成特定的工作所需的最小訪問權(quán)限,在用戶認(rèn)證與授權(quán)過程中,基于用戶身份數(shù)據(jù)、組織崗位數(shù)據(jù)、角色數(shù)據(jù)等,結(jié)合規(guī)則模型,對權(quán)限進行智能化匹配,簡化權(quán)限分配工作。

零信任的核心是基于身份的訪問控制,即該身份在可信終端,只有擁有權(quán)限才可對資源進行請求。主要使用了IAM的認(rèn)證和授權(quán)能力,包括持續(xù)認(rèn)證、動態(tài)授權(quán)和最小權(quán)限,通過融合企業(yè)內(nèi)外所有的身份體系,為所有身份訪問之前的校驗提供基礎(chǔ)。

 

具體實踐中充分考慮到授權(quán)策略的自適應(yīng)、可管理及可擴展幾方面的平衡,通過各種權(quán)限模型,建立滿足最小權(quán)限原則的權(quán)限基線,并基于主體、客體和環(huán)境屬性實現(xiàn)角色的動態(tài)映射,同時也可以通過風(fēng)險評估和分析,對角色和權(quán)限進行過濾,實現(xiàn)場景和風(fēng)險的動態(tài)授權(quán)。

 

針對不同的業(yè)務(wù)場景,提供不同的訪問控制網(wǎng)關(guān),從而實現(xiàn)非常細粒度的安全訪問控制,有效緩解端到端的業(yè)務(wù)訪問風(fēng)險,保障信息化系統(tǒng)和網(wǎng)絡(luò)的整體安全性,形成從環(huán)境、角色、權(quán)限、網(wǎng)絡(luò)到數(shù)據(jù)等全面的縱深安全防御體系。