細粒度授權二三事，你了解多少？

隨著社會的高度發(fā)展，互聯(lián)網在生活中的應用越來越多，尤其企業(yè)的數(shù)字化推進使用戶數(shù)據(jù)越來越集中，隨著頻頻暴露的各類網絡攻擊，企業(yè)對數(shù)據(jù)的重視程度與日俱增。對企業(yè)來說，數(shù)據(jù)中心每天都會有很多用戶數(shù)據(jù)進入，雖然有用戶數(shù)據(jù)的涌入對企業(yè)來說應該是好事，但企業(yè)如何保證用戶數(shù)據(jù)訪問和應用程序的充分安全是關注的重點。很多數(shù)據(jù)泄露的主要原因在于員工，尤其數(shù)據(jù)在生產過程中，可能會因人為管理不善帶來各類風險，如內部人員導致的數(shù)據(jù)泄露和暴露企業(yè)與個人隱私等。

即使很多企業(yè)正在部署或者已經部署了管理用戶身份數(shù)據(jù)的系統(tǒng)，這些系統(tǒng)絕大部分都缺乏顆粒級的授權支持，這也意味著企業(yè)在權限管理中會存在一些問題，如：

因此在企業(yè)的用戶身份和訪問管理方面，需要顆粒級的授權來滿足安全需求，這也就是為什么細粒度授權被提及。細粒度授權也叫數(shù)據(jù)范圍授權，即不同的用戶所擁有的操作權限相同，但是能夠操作的數(shù)據(jù)范圍是不一樣的， 比如說，部門經理只可以訪問本部門的員工信息，普通員工只可以看到自己權限內的菜單，而大區(qū)經理可以看到本區(qū)的銷售訂單。

只有經過授權，才能實現(xiàn)某些權限的操作，比如當微信登錄成功后用戶即可使用微信的功能，比如，發(fā)紅包，發(fā)朋友圈，添加好友等，沒有綁定銀行卡的用戶是無法發(fā)送紅包的，綁定銀行卡的用戶才可以發(fā)紅包，發(fā)紅包功能、發(fā)朋友圈功能都是微信的資源即功能資源，用戶擁有發(fā)紅包功能的權限才可以正常使用發(fā)紅包功能，擁有發(fā)朋友圈功能的權限才能使用發(fā)朋友圈功能，這個根據(jù)用戶的權限來控制用戶使用資源的過程就是授權。認證是為了保證用戶身份的合法性，授權則是為了更細粒度的對隱私數(shù)據(jù)進行劃分，授權是在認證通過后發(fā)生的，控制不同的用戶能夠訪問不同的權限。

對企業(yè)來說，要解決數(shù)據(jù)安全管理，授權是很重要的環(huán)節(jié)。目前很多企業(yè)的授權采用的是人工授權，假如企業(yè)人數(shù)不多，人工授權方式是最常見的管理方式之一，比如HR給新員工開通郵箱賬號，等員工轉正之后再給員工開通其他權限。在人數(shù)不多的情況下，人為操作倒是可以滿足對權限的操控。

但面對成百上千人數(shù)的中大型企業(yè)，部署身份和訪問管理系統(tǒng)是最常用的手段，身份和訪問管理（IAM）解決方案的授權方法各不相同，基于角色的訪問控制會比較常見。它涉及定義公司所需的角色，為每個角色指定權限，然后將用戶與角色進行匹配，安全定義好的規(guī)則實現(xiàn)自動化授權。比如在員工入職之后，系統(tǒng)會根據(jù)員工的角色自動生成其權限。

細粒度授權也可以繼續(xù)升級至動態(tài)的細粒度權限，動態(tài)授權會結合人的屬性、環(huán)境、設備等多種因素來判斷權限，單一屬性的變化都會導致權限變化。動態(tài)細粒度授權能有效提升企業(yè)管理，并減少數(shù)據(jù)泄露風險。

在網絡威脅更加多元化的今天，企業(yè)對安全的需求與日俱增。派拉結合多年的身份安全實踐經驗和對技術的精益求精，推出一體化零信任安全解決方案，在統(tǒng)一身份管理的基礎上，建立統(tǒng)一授權中心，實行基于“屬性”的動態(tài)授權體系，滿足零信任架構下更加“細粒度”的權限管控需求。