随着数字化转型的不断加速,企业不仅存在多个内部网络,还存在通过远程连接本地网络基础设施的远程办公室、移动用户以及云服务等,一旦攻击者突破企业网络的边界防护,便可以在内部网络中进一步横向移动进行攻击破坏,不受阻碍和控制。因此,在传统网络边界局限性日益凸显的背景下,如何构筑身份边界、实现实时的风险感知和动态的细粒度授权是当下所关注的重点。
动态授权成为零信任安全架构关键组件
在零信任安全架构中,其设计理念主要包括身份、环境、权限和访问控制等主要因素,架构设计中明确系统以身份为中心,构建每一个应用、设备、用户等实体达到唯一的身份和唯一的标识,结合环境感知,对用户终端的环境、网络的环境以及用户自身访问的行为进行持续的监测和身份认证,同时依据动态的权限控制,进行细粒度的权限管理和动态权限的管控,整体架构实践的过程中,严格遵循业务安全访问控制和安全策略,实现全面的安全执行检查点,保障多维度安全体系。
动态授权作为零信任安全架构关键组件,发挥着整个零信任安全体系中大脑中枢的指挥作用,业务系统的安全访问和使用,都与动态授权能力紧密相连。
零信任框架下动态授权核心能力
零信任框架下的动态授权服务主要包括两大核心能力,一是基于策略或安全需求形成的基础授权服务,一是基于风险感知形成的动态授权服务,其中基础授权服务,主要根据所属组织机构、职级等预置权限,通常依赖不同的权限模型如ABAC、RBAC、TBAC、WBAC等进行权限分配和控制,而动态授权服务,以环境、风险评估、用户信用等级等维度进行风险评分而实现权限的自适应服务。
如用户A,目前拥有四个业务系统的访问权限,其中业务系统N是一个高敏应用,零信任安全平台在用户访问系统过程中持续检测环境和环境感知,将风险分值提供给认证服务,如果风险分值低,也就是风险等级高,那么认证服务通知权限服务,需做权限变更,调整该用户的应用访问权限,实现动态的变更。当用户再次登录,因为权限已做变更,则只展示A、B、C业务系统,N业务系统的图标就无法看到。当用户环境恢复到安全状态,权限服务才将业务系统N的访问权限重新赋予。通过认证服务、权限服务和环境感知,可实现一次完整的用户动态权限的变更。
零信任框架下动态授权的落地实践
零信任安全架构与现有边界、纵深防御架构结合和联动,试点先行选择特定业务场景,快速构建零信任技术环境,落地提升安全能力,持续研究持续规划分层落地,推动企业网络安全架构的变革,通过快速构建零信任架构能力,“选择场景-确定范围-构建环境-创建策略-监控改进” 流程,选择“IAM-SDP-MSG” 技术,快速构建零信任安全技术能力流。
动态授权核心能力逐步采取基础授权服务构建、权限试点应用到自适应动态授权等几个阶段进行落地和实践,确保满足企业的零信任安全规划和实际业务需求。
7*24小时服务
专属安全顾问
Gartner推荐
IDC创新者
权威安全认证© 2021 Paraview Software. All rights reserved. 沪ICP备13029541号-1 
沪公网安备 31011502012922号
员工身份与访问控制eIAM
客户身份与访问控制cIAM
云身份治理IDaaS
智能身份认证IDA
细粒度权限管理xBAC
API安全网关API-SGW
API安全监测API-SD
API管理平台APIM
ESB 企业服务总线
特权访问管理PAM
数据库访问管理CQ
数据治理平台PDMP
一体化零信任
运维安全
数据安全治理
远程办公安全
国产化替代
企业合规管控
数字化集成平台
数字化员工门户
热门文章
