上一期的《零信任下的企业安全》直播中
为大家介绍了企业零信任实现的三个步骤:
1
解决统一身份和统一认证的问题
2
解决账号细粒度授权的问题
3
构建SDP新型安全边界
本期为大家详细介绍零信任实现的第一个步骤
统一身份与认证管理
零信任是一种新型的安全理念和安全架构体系,它推翻了传统思路下的“网络安全边界”的概念,主张以“身份为核心”进行动态的访问控制。身份管理与访问控制(IAM)是零信任的基石,也是零信任实现的第一个步骤,IAM对于企业信息安全的建设有着非同一般的意义。
身份安全对企业的重要性
《网络安全法》第二十一条规定国家实行网络安全等级保护制度,而在等级保护的相关条例中也明确要求企业采取必要的IT措施,加强内外部用户的身份管理、身份鉴别、访问控制和安全审计。国家对于企业的身份安全管控已上升至法律层面。
除了法律层面的强制性要求外,企业在IT运维过程中也面临身份与认证管理的诸多挑战:
以院校行业身份管理为例,当学校有5000新生要使用2个以上系统资源时,就需要运维10000以上的帐号;同时还将面临同一年的毕业生帐号关闭、学生教师角色转变所导致的权限调整,人工运维变得不堪重负;
在认证管理方面,分散的认证体系意味着用户需要分别记忆帐号密码和N种登录入口,弱密码不可避免;每个系统认证强度各不相同,若想升级认证体系还需重复部署,难度大,成本高;
基于信息安全与运维效率的双侧需求,统一身份与认证管理成为企业零信任进程中需着重关注的部分。IAM平台全生命周期帐号管理可实现关联系统帐号自动创建、变更、启用、停用,根据用户帐号的角色属性匹配相应权限,实现自动化的IT帐号运维,减轻IT运维负担;统一认证管理则将资源系统进行集成,通过一套认证体系实现多应用统一认证,并可灵活集成多因素认证,提升认证强度,规避弱密码风险。
企业如何实现统一身份与认证
图丨统一身份与认证解决方案
统一身份与认证管理其根本是打通应用间的身份体系,实现多应用一套认证体系、一套帐号体系,所以统一身份与认证首先要关注下“数据同步接口”与“认证接口”,只有通过“接口”连接所有应用系统,才能实现系统之间的帐号增、删、改以及权限的统一维护。
身份数据同步:统一身份管理的核心是“身份唯一”,但是企业认知到IAM需求前,往往已拥有大量分散、冗余用户数据;所以企业需通过身份数据归集、清洗和分类,得到统一的、权威的用户身份数据。在日常运维中,企业可以将HR系统身份数据作为企业权威数据源,对接至统一身份管理平台(IDM)进行帐号统一维护,再由IDM向下游应用系统供应身份数据,保障企业应用系统间的身份数据实时统一。
统一认证集成:所有应用系统统一访问、统一认证可以有效降低系统认证体系的重复建设成本,提升用户登录体验。单点登录(SSO)可通过Oauth、OIDC、LTPA、LDAP等标准认证协议进行所有应用系统认证集成,实现基于Token的更安全的统一认证;同时还可集成AD域,实现域桌面单点登录;集成多因素认证MFA实现安全级别更高的强认证;如想免去用户注册环节,还可选择信任支付宝、微信等互联网平台,进行互联网快捷认证。
零信任下的身份与认证有哪些变化?
不再需要管理资源的权限部分
传统的IAM系统中除了管理系统资源的帐号密码外,还需管理应用访问权限;而零信任下的IAM不再需要管理资源的权限部分,权限部分的管控则是通过授权中心,进行更加细粒度的管理;
需要管理终端设备与数字证书
传统的IAM系统更多是围绕“人”进行身份管理,而零信任下的IAM系统不仅要进行人的身份管理,更强调了“设备”也有身份。数字证书用来标识设备的唯一身份,零信任下的IAM则需要进行终端设备与数字证书的管理;
提供SPA服务验证设备身份的合法性
SPA单包认证与IAM打通,终端访问后台建立安全通道,验证设备合法身份。
零信任专题直播回顾
01期丨零信任架构下的企业安全
扫码观看直播回放
02期丨零信任架构下的身份安全
扫码观看直播回放
