En 17721274202
3
返回列表
> 走进派拉 > 新闻资讯 > 技术干货 > 细粒度授权二三事,你了解多少?

细粒度授权二三事,你了解多少?

2021-08-27

随着社会的高度发展,互联网在生活中的应用越来越多,尤其企业的数字化推进使用户数据越来越集中,随着频频暴露的各类网络攻击,企业对数据的重视程度与日俱增。对企业来说,数据中心每天都会有很多用户数据进入,虽然有用户数据的涌入对企业来说应该是好事,但企业如何保证用户数据访问和应用程序的充分安全是关注的重点。很多数据泄露的主要原因在于员工,尤其数据在生产过程中,可能会因人为管理不善带来各类风险,如内部人员导致的数据泄露和暴露企业与个人隐私等。

 

即使很多企业正在部署或者已经部署了管理用户身份数据的系统,这些系统绝大部分都缺乏颗粒级的授权支持,这也意味着企业在权限管理中会存在一些问题,如:

 

■  同岗不同权:系统授权管理没有标准和公示,存在同岗不同权,不申请就没有权限的情况;

■  权限不公开:员工自己并不知道自己已经拥有和应该拥有哪些权限;

■  权限变更慢:权限变更为“需求-响应”模式,且人工调整需要大量时间;

■  离职交接不清:工作交接过程中需要人工确认历史数据的交接。

因此在企业的用户身份和访问管理方面,需要颗粒级的授权来满足安全需求,这也就是为什么细粒度授权被提及。细粒度授权也叫数据范围授权,即不同的用户所拥有的操作权限相同,但是能够操作的数据范围是不一样的, 比如说,部门经理只可以访问本部门的员工信息,普通员工只可以看到自己权限内的菜单,而大区经理可以看到本区的销售订单。

 

只有经过授权,才能实现某些权限的操作,比如当微信登录成功后用户即可使用微信的功能,比如,发红包,发朋友圈,添加好友等,没有绑定银行卡的用户是无法发送红包的,绑定银行卡的用户才可以发红包,发红包功能、发朋友圈功能都是微信的资源即功能资源,用户拥有发红包功能的权限才可以正常使用发红包功能,拥有发朋友圈功能的权限才能使用发朋友圈功能,这个根据用户的权限来控制用户使用资源的过程就是授权。认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证通过后发生的,控制不同的用户能够访问不同的权限。

 

对企业来说,要解决数据安全管理,授权是很重要的环节。目前很多企业的授权采用的是人工授权,假如企业人数不多,人工授权方式是最常见的管理方式之一,比如HR给新员工开通邮箱账号,等员工转正之后再给员工开通其他权限。在人数不多的情况下,人为操作倒是可以满足对权限的操控。

 

但面对成百上千人数的中大型企业,部署身份和访问管理系统是最常用的手段,身份和访问管理(IAM)解决方案的授权方法各不相同,基于角色的访问控制会比较常见。它涉及定义公司所需的角色,为每个角色指定权限,然后将用户与角色进行匹配,安全定义好的规则实现自动化授权。比如在员工入职之后,系统会根据员工的角色自动生成其权限。

 

细粒度授权也可以继续升级至动态的细粒度权限,动态授权会结合人的属性、环境、设备等多种因素来判断权限,单一属性的变化都会导致权限变化。动态细粒度授权能有效提升企业管理,并减少数据泄露风险。

 

在网络威胁更加多元化的今天,企业对安全的需求与日俱增。派拉结合多年的身份安全实践经验和对技术的精益求精,推出一体化零信任安全解决方案,在统一身份管理的基础上,建立统一授权中心,实行基于“属性”的动态授权体系,满足零信任架构下更加“细粒度”的权限管控需求。

留下您的联系方式,我们专业人员将会为您服务