直播回顧 | IAM： 邁向零信任架構(gòu)的第一步

IAM作為構(gòu)建零信任體系的重要一環(huán)，能夠為零信任構(gòu)筑身份基礎(chǔ)，進行持續(xù)有效的驗證，并對訪問進行有效控制。

在11月24日的直播中，為了讓大家更好的了解在零信任架構(gòu)下的身份治理問題，派拉軟件研發(fā)總監(jiān)、cztp零信任專家茆正華先生，針對IAM的主要內(nèi)容及未來發(fā)展趨勢進行深入探討。

IAM：身份與訪問控制管理， 其核心目標(biāo)是為每個用戶賦予一個身份，從用戶登錄系統(tǒng)到權(quán)限授予到登出系統(tǒng)的整個過程中，根據(jù)需要在恰當(dāng)?shù)臈l件下及時賦予正確的用戶對企業(yè)內(nèi)適當(dāng)資產(chǎn)的訪問權(quán)。該數(shù)字身份一經(jīng)建立，在用戶的整個“訪問生命周期”存續(xù)期間都應(yīng)受到良好的維護、調(diào)整與監(jiān)視。

身份治理和管理：生命周期

對人事管理中的入職、轉(zhuǎn)崗、調(diào)職、離職等事件，實現(xiàn)基于流程的自動化賬號創(chuàng)建、關(guān)閉和變更等身份的全生命周期管理。

身份治理和管理：策略管理

在身份管理系統(tǒng)中，主要是針對預(yù)設(shè)好的策略，對系統(tǒng)中的所有操作進行管理，主要包括：賬號的開通、用戶信息和身份的映射、密碼管理及用戶訪問控制等。

身份治理和管理：身份供給

將各個方式創(chuàng)建的新用戶（自注冊服務(wù)、HR系統(tǒng)、其他系統(tǒng)數(shù)據(jù)源）信息集中存儲在存儲庫中，然后通過相關(guān)推送引擎，把用戶和權(quán)限信息推送到各個業(yè)務(wù)系統(tǒng)中。由于各個業(yè)務(wù)系統(tǒng)之間存在不同的接口或協(xié)議，因此，派拉基于零信任架構(gòu)的IAM會對應(yīng)地為每一個系統(tǒng)做連接器工廠，靈活匹配到各個業(yè)務(wù)系統(tǒng)，并根據(jù)用戶信息的變更，實時將用戶信息同步到各個業(yè)務(wù)系統(tǒng)中。

訪問控制-單點登錄

目前，比較主流單點登錄協(xié)議包括：OpenID Connect、OAuth、SMAL、JWT/REST、JWT/REST及FIDO2。

身份治理和管理-權(quán)限管理

權(quán)限管理作為零信任架構(gòu)建設(shè)中的重要基石，可實現(xiàn)集中的授權(quán)管理、權(quán)限的全生命周期管理、權(quán)限分配的智能化流程化、權(quán)限合規(guī)智能檢測、權(quán)限集中審計等功能。

未來，權(quán)限管理模型和權(quán)限管理技術(shù)水平方面還將會進一步發(fā)展完善，而零信任身份管理體系中權(quán)限管理的落地和實施也會貫徹始終，成為企業(yè)數(shù)字化發(fā)展中必不可少的一部分。

零信任的核心是基于身份的訪問控制，即該身份在可信終端，只有擁有權(quán)限才可對資源進行請求。主要使用了IAM的認(rèn)證和授權(quán)能力，包括持續(xù)認(rèn)證、動態(tài)授權(quán)和最小權(quán)限，通過融合企業(yè)內(nèi)外所有的身份體系，為所有身份訪問之前的校驗提供基礎(chǔ)。

具體實踐中充分考慮到授權(quán)策略的自適應(yīng)、可管理及可擴展幾方面的平衡，通過各種權(quán)限模型，建立滿足最小權(quán)限原則的權(quán)限基線，并基于主體、客體和環(huán)境屬性實現(xiàn)角色的動態(tài)映射，同時也可以通過風(fēng)險評估和分析，對角色和權(quán)限進行過濾，實現(xiàn)場景和風(fēng)險的動態(tài)授權(quán)。

針對不同的業(yè)務(wù)場景，提供不同的訪問控制網(wǎng)關(guān)，從而實現(xiàn)非常細粒度的安全訪問控制，有效緩解端到端的業(yè)務(wù)訪問風(fēng)險，保障信息化系統(tǒng)和網(wǎng)絡(luò)的整體安全性，形成從環(huán)境、角色、權(quán)限、網(wǎng)絡(luò)到數(shù)據(jù)等全面的縱深安全防御體系。