随着万物互联时代的到来,网络安全边界日益模糊,以边界防护为主的安全理念正在逐步转换成以人为中心的安全访问控制,因此,基于零信任架构的身份与访问控制管理体系(IAM)应运而生。
IAM作为构建零信任体系的重要一环,能够为零信任构筑身份基础,进行持续有效的验证,并对访问进行有效控制。
在11月24日的直播中,为了让大家更好的了解在零信任架构下的身份治理问题,派拉软件研发总监、cztp零信任专家茆正华先生,针对IAM的主要内容及未来发展趋势进行深入探讨。
直播亮点回顾
#Q1 什么是IAM
IAM:身份与访问控制管理, 其核心目标是为每个用户赋予一个身份,从用户登录系统到权限授予到登出系统的整个过程中,根据需要在恰当的条件下及时赋予正确的用户对企业内适当资产的访问权。该数字身份一经建立,在用户的整个“访问生命周期”存续期间都应受到良好的维护、调整与监视。
#Q2 IAM主要都包括哪些
身份治理和管理:生命周期
对人事管理中的入职、转岗、调职、离职等事件,实现基于流程的自动化账号创建、关闭和变更等身份的全生命周期管理。
身份治理和管理:策略管理
在身份管理系统中,主要是针对预设好的策略,对系统中的所有操作进行管理,主要包括:账号的开通、用户信息和身份的映射、密码管理及用户访问控制等。
身份治理和管理:身份供给
将各个方式创建的新用户(自注册服务、HR系统、其他系统数据源)信息集中存储在存储库中,然后通过相关推送引擎,把用户和权限信息推送到各个业务系统中。由于各个业务系统之间存在不同的接口或协议,因此,派拉基于零信任架构的IAM会对应地为每一个系统做连接器工厂,灵活匹配到各个业务系统,并根据用户信息的变更,实时将用户信息同步到各个业务系统中。
访问控制-单点登录
目前,比较主流单点登录协议包括:OpenID Connect、OAuth、SMAL、JWT/REST、JWT/REST及FIDO2。
身份治理和管理-权限管理
权限管理作为零信任架构建设中的重要基石,可实现集中的授权管理、权限的全生命周期管理、权限分配的智能化流程化、权限合规智能检测、权限集中审计等功能。
未来,权限管理模型和权限管理技术水平方面还将会进一步发展完善,而零信任身份管理体系中权限管理的落地和实施也会贯彻始终,成为企业数字化发展中必不可少的一部分。
#Q3 IAM在零信任中的应用
■ 持续认证:零信任架构下,定义数据本身访问时,以用户实际的身份管理为基础,通过多因子、实时动态的认证来确保访问的身份和其所代表的身份是一致的;
■ 动态授权:在零信任体系中,根据用户身份和用户访问操作进行动态的认证和授权,在动态授权中,根据用户当前登录的风险环境进行评级,智能化进行认证调度或权限调整,从而尽可能减小潜在的风险;
■ 最小权限:最小权限原则是零信任依赖的监管策略之一,也就是只赋予用户完成特定的工作所需的最小访问权限,在用户认证与授权过程中,基于用户身份数据、组织岗位数据、角色数据等,结合规则模型,对权限进行智能化匹配,简化权限分配工作。
零信任的核心是基于身份的访问控制,即该身份在可信终端,只有拥有权限才可对资源进行请求。主要使用了IAM的认证和授权能力,包括持续认证、动态授权和最小权限,通过融合企业内外所有的身份体系,为所有身份访问之前的校验提供基础。
具体实践中充分考虑到授权策略的自适应、可管理及可扩展几方面的平衡,通过各种权限模型,建立满足最小权限原则的权限基线,并基于主体、客体和环境属性实现角色的动态映射,同时也可以通过风险评估和分析,对角色和权限进行过滤,实现场景和风险的动态授权。
针对不同的业务场景,提供不同的访问控制网关,从而实现非常细粒度的安全访问控制,有效缓解端到端的业务访问风险,保障信息化系统和网络的整体安全性,形成从环境、角色、权限、网络到数据等全面的纵深安全防御体系。