En 400-6655-581
5
返回列表
> 資源中心 > 技術(shù)干貨 | 零信任安全架構(gòu)的核心基礎(chǔ)——統(tǒng)一身份認(rèn)證

技術(shù)干貨 | 零信任安全架構(gòu)的核心基礎(chǔ)——統(tǒng)一身份認(rèn)證

2019-11-14瀏覽次數(shù):1354

什么是統(tǒng)一身份認(rèn)證?



統(tǒng)一身份認(rèn)證系統(tǒng)(IAM:Identity Access Managent),可以簡單的理解為識別用戶身份和訪問控制的管理。


通過定義誰(身份)對哪些資源具有哪種訪問權(quán)限(角色)來管理訪問權(quán)限控制,是各類IT系統(tǒng)必不可少的基礎(chǔ)安全管理機(jī)制和復(fù)雜云服務(wù)最核心的基礎(chǔ)安全框架,是對資源提供可控安全的訪問解決方案,是零信任安全架構(gòu)的核心基礎(chǔ)。


統(tǒng)一身份認(rèn)證系統(tǒng)做為基礎(chǔ)安全框架,至少具備這三大功能模塊:身份認(rèn)證模塊、權(quán)限管理模塊和安全審計模塊。




身份認(rèn)證


數(shù)字身份,在互聯(lián)網(wǎng)開放融合背景下,用戶行為、特征、愛好、社交屬性、生物特征屬性等標(biāo)簽共同組成了用戶的數(shù)字身份,全面身份化,設(shè)備、應(yīng)用、API等等物聯(lián)身份支持,身份零信任架構(gòu)打破舊式邊界防護(hù)思維,引入MFA進(jìn)行多次驗證。



數(shù)字身份圖


物聯(lián)身份圖




權(quán)限管理


無法證明可被信任即無法獲得權(quán)限,安全策略、用戶屬性、環(huán)境屬性、其他風(fēng)險因子等,對訪問進(jìn)行授權(quán)判定,得到一個信任等級,最終根據(jù)模型計算得出信任等級分配用戶一個最小訪問權(quán)限。



安全審計


跟蹤記錄誰在什么時間什么地點(diǎn)以什么樣的方式做了什么,聚焦在及時發(fā)現(xiàn)和處理異常。


其中身份認(rèn)證模塊包含了統(tǒng)一身份認(rèn)證服務(wù)和單點(diǎn)登錄功能。建設(shè)多樣化的身份認(rèn)證手段,是提升業(yè)務(wù)系統(tǒng)安全性與靈活性的關(guān)鍵舉措。統(tǒng)一身份認(rèn)證的優(yōu)點(diǎn)是,采用統(tǒng)一身份認(rèn)證后,用戶只需要使用同一用戶名、同一令牌就可以登錄所有允許他登錄的系統(tǒng),用戶使用更加方便;從安全角度出發(fā),管理人員可以在認(rèn)證系統(tǒng)集中地對各個應(yīng)用系統(tǒng)上的用戶進(jìn)行管理。



零信任和IAM


IAM的授權(quán)空間



企業(yè)為什么要做統(tǒng)一身份認(rèn)證


1、企業(yè)戰(zhàn)略管理、發(fā)展需要



企業(yè)“云”的信息化轉(zhuǎn)型,未來面向行業(yè)云業(yè)務(wù)的發(fā)展,將覆蓋企業(yè)各個分支機(jī)構(gòu),并支持樓宇、移動和家居辦公。


打破組織邊界、管理邊界,在深度上達(dá)到每個桌面和移動終端設(shè)備的準(zhǔn)入控制,在廣度上達(dá)到企業(yè)每個生產(chǎn)系統(tǒng)的個性化管控;


打造整個企業(yè)信息化項目的神經(jīng)系統(tǒng),觸及包括人員、設(shè)備、軟件、應(yīng)用等在內(nèi)的每一個對象,對它們的互訪、互認(rèn)、互授進(jìn)行管控審計。


以人力資源為主要信息來源,全生命周期在線管理人員的賬號與身份信息;提供統(tǒng)一身份管理規(guī)范,為新應(yīng)用的開發(fā)和現(xiàn)有應(yīng)用可能的改造提供依據(jù);為企業(yè)應(yīng)用登錄認(rèn)證提供統(tǒng)一的登錄入口和認(rèn)證強(qiáng)度規(guī)范;支持企業(yè)客戶、合作方和第三方供應(yīng)商、互聯(lián)網(wǎng)用戶的身份標(biāo)識和訪問控制。


通過建立信息化標(biāo)準(zhǔn)體系,梳理規(guī)范及完善線上工作流程,實現(xiàn)生產(chǎn)與管理的深度融合,全面提升企業(yè)管理能級。


梳理各類信息數(shù)據(jù)的人口,建立統(tǒng)一的企業(yè)應(yīng)用集成平臺,為全企業(yè)的業(yè)務(wù)提供強(qiáng)有力的技術(shù)平臺支持,提高企業(yè)市場核心競爭能力,加快與國際先進(jìn)企業(yè)接軌步伐。


2、企業(yè)安全需求


“沒有網(wǎng)絡(luò)安全,就沒有國家安全”的“護(hù)網(wǎng)行動”是國家網(wǎng)絡(luò)安全主管部門為落實全國網(wǎng)絡(luò)安全和信息化工作會議精神而發(fā)起的長期專項行動,旨在檢驗各單位信息基礎(chǔ)設(shè)施和重點(diǎn)網(wǎng)站網(wǎng)絡(luò)安全的綜合防御能力和水平,實戰(zhàn)驗證相關(guān)單位“監(jiān)測發(fā)現(xiàn)、安全防護(hù)和應(yīng)急處置”的能力,發(fā)現(xiàn)并整改網(wǎng)絡(luò)系統(tǒng)存在的深層次安全問題,進(jìn)一步以防攻擊、防破壞、防泄密、防重大故障為重點(diǎn),構(gòu)建多層次多渠道合作、各單位各行業(yè)和全民共同參與、眾人受益的“鋼鐵城墻”。



“沒有網(wǎng)絡(luò)安全,就沒有國家安全”的網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)的發(fā)布,是具有里程碑意義的一件大事,標(biāo)志著國家網(wǎng)絡(luò)安全等級保護(hù)工作步入新時代。尤其在移動互聯(lián)、云計算、物聯(lián)網(wǎng)等新的業(yè)務(wù)環(huán)境均提供安全建設(shè)標(biāo)準(zhǔn)和指導(dǎo)。


注:部分圖片來源于網(wǎng)絡(luò)



派拉軟件是中國領(lǐng)先的信息安全服務(wù)提供商,數(shù)據(jù)定義、AI驅(qū)動、智能算法、場景分析,為企業(yè)和機(jī)構(gòu)提供跨業(yè)務(wù)、跨用戶的信息安全數(shù)據(jù)價值創(chuàng)新服務(wù),涉及身份安全、應(yīng)用安全、數(shù)據(jù)安全三大安全領(lǐng)域,提供企業(yè)身份安全、客戶身份安全、特權(quán)身份管理、數(shù)據(jù)安全網(wǎng)關(guān)、服務(wù)治理、日志分析、數(shù)據(jù)中臺等產(chǎn)品及實施服務(wù),融合微服務(wù)架構(gòu)、人工智能算法、大數(shù)據(jù)分析等專業(yè)技術(shù),已經(jīng)為汽車、制造、金融、保險、證券、零售、教育等行業(yè)的500多家大中型企業(yè)成功提供了信息安全和價值創(chuàng)新服務(wù)。


統(tǒng)一身份認(rèn)證選派拉就對了