零信任框架下的動(dòng)態(tài)授權(quán)

隨著數(shù)字化轉(zhuǎn)型的不斷加速，企業(yè)不僅存在多個(gè)內(nèi)部網(wǎng)絡(luò)，還存在通過遠(yuǎn)程連接本地網(wǎng)絡(luò)基礎(chǔ)設(shè)施的遠(yuǎn)程辦公室、移動(dòng)用戶以及云服務(wù)等，一旦攻擊者突破企業(yè)網(wǎng)絡(luò)的邊界防護(hù)，便可以在內(nèi)部網(wǎng)絡(luò)中進(jìn)一步橫向移動(dòng)進(jìn)行攻擊破壞，不受阻礙和控制。因此，在傳統(tǒng)網(wǎng)絡(luò)邊界局限性日益凸顯的背景下，如何構(gòu)筑身份邊界、實(shí)現(xiàn)實(shí)時(shí)的風(fēng)險(xiǎn)感知和動(dòng)態(tài)的細(xì)粒度授權(quán)是當(dāng)下所關(guān)注的重點(diǎn)。

動(dòng)態(tài)授權(quán)作為零信任安全架構(gòu)關(guān)鍵組件，發(fā)揮著整個(gè)零信任安全體系中大腦中樞的指揮作用，業(yè)務(wù)系統(tǒng)的安全訪問和使用，都與動(dòng)態(tài)授權(quán)能力緊密相連。

如用戶A，目前擁有四個(gè)業(yè)務(wù)系統(tǒng)的訪問權(quán)限，其中業(yè)務(wù)系統(tǒng)N是一個(gè)高敏應(yīng)用，零信任安全平臺(tái)在用戶訪問系統(tǒng)過程中持續(xù)檢測(cè)環(huán)境和環(huán)境感知，將風(fēng)險(xiǎn)分值提供給認(rèn)證服務(wù)，如果風(fēng)險(xiǎn)分值低，也就是風(fēng)險(xiǎn)等級(jí)高，那么認(rèn)證服務(wù)通知權(quán)限服務(wù)，需做權(quán)限變更，調(diào)整該用戶的應(yīng)用訪問權(quán)限，實(shí)現(xiàn)動(dòng)態(tài)的變更。當(dāng)用戶再次登錄，因?yàn)闄?quán)限已做變更，則只展示A、B、C業(yè)務(wù)系統(tǒng)，N業(yè)務(wù)系統(tǒng)的圖標(biāo)就無法看到。當(dāng)用戶環(huán)境恢復(fù)到安全狀態(tài)，權(quán)限服務(wù)才將業(yè)務(wù)系統(tǒng)N的訪問權(quán)限重新賦予。通過認(rèn)證服務(wù)、權(quán)限服務(wù)和環(huán)境感知，可實(shí)現(xiàn)一次完整的用戶動(dòng)態(tài)權(quán)限的變更。

動(dòng)態(tài)授權(quán)核心能力逐步采取基礎(chǔ)授權(quán)服務(wù)構(gòu)建、權(quán)限試點(diǎn)應(yīng)用到自適應(yīng)動(dòng)態(tài)授權(quán)等幾個(gè)階段進(jìn)行落地和實(shí)踐，確保滿足企業(yè)的零信任安全規(guī)劃和實(shí)際業(yè)務(wù)需求。