零信任|IAM是基于动态身份的安全新边界
IAM概述
IAM(Identity and Access Management),即身份与访问管理,或称为身份管理与访问控制,作为零信任模型中的重要组成部分,可以实现身份管理、认证和授权等重要功能,如图所示:
IAM身份管理与访问控制系统作为新一代身份认证与资源整合产品,主要用于给人或物赋予恰当的权限,从而允许其访问相应的资源。其中,“人或物”称为主体,“资源”称为客体。IAM产品主要由身份管理、认证管理、权限管理、单点登录和审计等模块组成,实现集中帐号管理、集中认证、集中授权、应用集成和集中审计等功能。
具体功能体现在:
■ 可实现应用的单点登录;
■ 实现用户电子身份、账号权限的全生命周期的自动化管控,做到自动创建与一键回收,规避人为不当操作造成的安全后门和对信息的恶意窃取;
■ 融合多终端、多因素的认证方式;
■ 对敏感数据的使用行为做到集中化管控和有效的分级授权,实现对各应用系统的统一授权管理,建立统一的权限管理模型,支持未来新业务发展。
IAM可与环境感知等模块或终端安全设备联动,对内、外用户的访问行为实现实时的事前预警与防范,通过预警等信息为主体动态授权从而实现事中访问控制,通过审计日志实现事后责任追溯,从而形成了完善的风险控制管理体系。
IAM典型应用
基于IAM的用户业务接入方案如下图所示:
其工作流程图如下所示:
用户访问视角的IAM业务处理流程:
1)用户访问业务系统,通过IAM认证中心多因素认证登录;
2)用户登录成功后,根据单点登录应用导航直接进行业务访问。
3)IAM和HR系统连接,同步用户信息。
三大IAM主要模块
身份管理模块
身份管理模块提供统一用户身份管理,主要负责用户、机构、应用业务等的管理。该模块实现用户信息与账号的集中存储、全生命周期闭环管理,用户账号可自动开通、变更和回收,同时对下游应用系统提供用户主数据供给。支持多用户授权模式。
该模块主要具有以下功能特点:
■ 标准化接口:产品提供完整的管理 REST API 接口,可以轻松进行业务流程再造,支持标准化的集成场景。整合OA系统、AD等用户身份信息,形成用户、组织机构信息的权威数据源,如下图所示:
■ 实现用户身份全生命周期管理。
■ 实现多组织机构管理,支持用户与多套组织机构关联。
■ 建立统一规则、密码强度规则等,实现全局管控。
■ 个人自助服务中心:可实现用户信息自助更新、权限申请和权限审批等功能。
认证管理模块
认证管理模块,主要用于在主体申请访问客体时对主体进行认证。认证方式支持用户名密码、短信验证码、数字证书、人脸和声纹等。认证协议或实现单点登录的方案有SAML、oAuth、Cookie等,认证协议通常和单点登录息息相关。单点登录(Single Sign On),简称为 SSO,是指多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
认证管理平台为用户、应用业务等提供认证服务,支持标准代理、SDK、代填代理的方式,实现对应用的访问控制。标准代理和SDK将拦截所有应用的请求,在认证管理平台进行统一的认证,为应用提供单点登录服务;代填代理为不易改造的应用提供了密码代填模式,以表单代填的方式,实现单点登录。应用做少量的改造工作,即可实现统一认证,和其他接入的应用一起实现单点登录功能。
该模块主要具有以下功能特点:
丰富的多因素认证功能
■ 支持的认证因子包含口令、数字证书、手机短信认证、证书认证、人脸识别、声纹识别、指纹识别、虹膜识别等;多个认证因素可以灵活地进行组合认证,形成多种认证方式。
■ 支持目前市面上主流的社交应用认证源,如微信,钉钉等。
敏捷的应用业务、第三方组件对接
■ 支持丰富的默认连接器:可以通过默认连接器实现与商业化产品例如DB、LDAP、SAP、AD、Domino等应用的快捷对接,应用端无需开发。
■ 支持强大的自定义连接器框架:对于与客户自开发的应用对接集成,可以通过权限管理平台的自定义连接器框架来实现,客户的应用服务只需提供相应的接口,即可实现对接集成,方便快捷。
■ 支持强大的Restful API开发平台:可以通过快速开发Restful API接口,与第三方应用、组件对接。
■ 支持通过SDK方式,与客户的应用、第三方组件进行对接。
应用管理,主要实现对应用业务的认证管理
■ 应用认证设置:认证等级、每个认证等级的认证方式。
■ 访问应用的用户属性设置。
■ 有关应用的token有效期。
■ 应用相关信息的编辑、查询等。
权限管理模块
权限管理模块提供统一用户可信权限管理,主要负责业务主体和客体之间的授权关系管理、用户访问权限的鉴权管理、权限审批、日志审计等。该模块支持多用户授权模式,同时可以根据用户的安全风险等级调整用户的访问权限。
该模块主要具有以下功能特点:
■ 业务适应性:不仅支持标准的RBAC和XRBAC权限模型,同时支持复杂场景的权限模型。
■ 细粒度授权:支持应用级、功能级、服务级、数据级的授权。
■ 用户鉴权功能:对用户的访问权限进行鉴权,支持应用级、功能级、服务级和数据级鉴权。
■ 灵活的授权机制:可以基于用户、应用、API、授权组进行授权,从而实现基于用户、角色、机构、任务的灵活授权。
■ 支持动态权限变更,实现实时权限最小化:可以和终端安全设备以及态势感知系统形成联动,达到用户风险和应用风险联动,实现实时用户权限最小化。
零信任|IAM是基于动态身份的安全新边界相关推荐
- 零信任与区块链:身份的中心化和去中心化
文章摘要: 互联网行业,身份存在的目的是告诉特定服务提供方(比如支付宝)"我是谁".这个意义上讲,任何可以告诉别人我是谁的标记性信息都可以叫做身份.传统互联网行业最常用的身份措施就 ...
- 实施基于零信任网络安全的设备控制
零信任安全是一种数据保护策略,除非系统管理员进行彻底验证,否则网络边界内外的所有设备和实体都不受信任.Device Control Plus 可帮助管理员为其网络实施和自动化零信任安全协议,以确保对来 ...
- “重塑安全边界,揭秘零信任业务保障”,联软科技下一代零信任访问管理系统发布
随着企业数字化转型的需要以及疫情反复的影响,远程办公越来越常态化.企业业务云化以及移动化,导致企业传统的边界越来越模糊,基于传统边界的安全架构面临越来越大的挑战.这几年零信任的理念得到了各行各业广泛的 ...
- 零信任的过去、现在和未来
往期博客已经介绍了有关零信任安全框架的基本概念和相关应用,本期将从行业的角度介绍零信任的由来.现状和未来展望. 1. 前零信任时代 过去十年,信息安全行业经历了三大趋势:移动化.上云和软件即服务(Sa ...
- 【零信任落地案例】吉大正元某大型集团公司零信任实践案例
1方案背景 随着信息化技术不断发展,企业智慧化.数字化理念的不断深化已经深入各个领域, 云计算.大数据.物联网.移动互联.人工智能等新兴技术为客户的信息化发展及现代 化建设带来了新的生产力,但同时也给 ...
- 「C位观察」零信任:企业分布式安全管理架构 | C位
欢迎来到「C位」,它是CMC资本团队全新打造的与创业圈.科技产业.学术界分享交流的频道.通过这个窗口,我们关注和记录在当下发生的诸如企业数字化.产业智能化.业务自动化.无人驾驶与智能车.新能源技术.元 ...
- RSA创新沙盒盘点|BastionZero——零信任基础设施访问服务
RSAConference2022将于旧金山时间6月6日召开.大会的Innovation Sandbox(沙盒)大赛作为"安全圈的奥斯卡",每年都备受瞩目,成为全球网络安全行业技术 ...
- 超详细零信任市场解读
零信任 零信任的特点: "信任"等于"权限",零信任的实质是通过在网络中消除未经验证的隐含信任 构建安全的业务访问环境."从不信任,始终验证" ...
- 实施零信任要考量什么因素?| CSA发布《实战零信任架构》
关注微信公众号"云安全联盟CSA" 回复"实战零信任架构"即可下载全文 为什么选择零信任? 5G .云计算.物联网 (IoT) 和面向微服务的架构广泛使用,固定 ...
最新文章
- 终于要揭开神秘面纱?Magic Leap将要展示产品
- GIS项目中数据开源、工具开源、开发开源的解决方案
- python中set怎么循环_python如何遍历set
- 精灵混合加密系统_数据安全——混合云的数据备份
- 征稿 | Call for papers on Knowledge Graphs
- 8月23号刚刚发布的 Flink 1.9 到底优化了哪些功能?
- OpenLayers学习入门篇
- vue+springboot实现登录验证码(前后端分离)
- 2SB1184TLQ三极管
- JavaIO流——文件的读取与传输
- Restful API设计指南
- Star Way To Heaven(LOJ 6322)
- 利用callgrind+gprof2dot+dot进行性能分析
- blast java_使用python实现BLAST
- 【网络】RPC通信之Apache Thrift
- java1.8 list stream求平均数
- 关于linux下的嵌入式文件系统以及flash文件系统选择(转)
- 大富翁棋盘抽奖版 js
- 【项目】区块链+人工智能 ---PAI白皮书分析(一)
- 关于 英文的 金额转换