当今开放的网络环境残存传统边界彻底消失,“零信任”理念深入人心。新形势下,传统基于角色的静态授权模型能力尽显疲态,基于属性的动态授权模型则以其对复杂网络环境和复杂业务场景的完美适配,在零信任架构中被广泛应用。
什么是动态访问授权?
动态的访问授权是零信任架构的战略核心,“授权”是根据身份对应的权限,约束身份的行为;而“动态授权“则是通过访问全程的风险评估和行为分析,不断的调整身份对应权限。
动态访问授权是基于属性的策略组合,是在动态授权的业务架构中,建立并实施基于属性的访问策略,通过的策略执行反馈进行信任评估和授权决策;在访问过程中,一旦属性发生变化,系统将动态自动调整访问权限,从而实现动态的访问授权,确保业务访问全过程的权限最小化。授权服务过程由传统基于静态规则的权限判定,演进为基于信任等级、安全策略和评估结果的动态权限调整服务。
动态访问授权的内在逻辑
动态授权体系满足零信任架构下更加“细粒度”的权限管控需求。结合上文,所谓动态授权是通过授权中心的策略定义与实施,基于属性参数的变化,进行动态的信任评估和权限决策;
“属性”是动态授权模型的核心
动态授权模型能通过策略灵活定义访问者(用户属性)在什么条件下(环境属性、终端属性)可以进行什么操作(资源属性);如果只保留用户角色属性,就变成了单属性的静态授权模式。
动态授权体系下,登录访问过程一旦发生属性异常或变化,比如:设备、网络、时间、地点异常或变化,授权中心将通过「风险评估引擎」将根据风险策略访问请求者重新匹配信任等级,再通过「动态决策引擎」基于评估结果和决策策略,动态调整访问权限,受保护资源通过SDK获取动态权限信息,从而实现功能的展现。
图丨可持续的动态授权
用户行为分析(UEBA)是动态授权架构中的重要组件,也是实现业务访问过程中持续的动态权限调整的关键;UEBA可通过用户日常登录系统的操作行为和使用习惯,持续的监控并分析用户业务访问过程中的异常行为,并及时反馈异常数据,由授权中心进行重新的信任评估和权限决策,以实现业务访问过程中的持续的动态授权。
《零信任架构下的动态授权》
扫描二维码观看直播回顾
主讲人:派拉CTO 吴良华
推荐阅读
06
堡垒机
有问必答 - 006期
05
单点登录
有问必答 - 005期
04
快捷登录
有问必答 - 004期
03
弱密码
有问必答 - 003期
02
单点登录
有问必答 - 002期
