En 400-6655-581
5
返回列表
> 资源中心 > 身份安全 | 零信任架构之重构IAM

身份安全 | 零信任架构之重构IAM

2020-08-27浏览次数:759


零信任架构


在NIST标准草案的定义为:“零信任(ZT)提供一套概念和思想,在可能沦陷的网络,尽量减少信息系统和服务中每次请求访问策略的不确定性。零信任架构(ZTA)是一种利用零信任概念且包含组件关系、工作流规划、访问策略的企业网络安全计划。这定义集中于问题的症结,即防止未授权访问数据和服务的目标,并使访问控制执行尽可能细粒度”。


由于传统的IAM是基于RBAC且静态授权模式的,所以基于细粒度用IAM已无法满足。我们先看下典型的RBAC概念图:



当用户2需要增加权限时该概念图已无法解决,需要重新创建新的角色与新权限关联后再赋予给用户2。意味着业务的变化会引起新的角色层次结构的变化,而且角色数量会随着用户数量的增加而增加,时间一久导致用户对应角色的积累赋予其过多的权限,存在角色用户管理问题。


我们知道通常应用都由身份、认证、授权三部分组成,IAM只不过是对各个应用进行整合和集中管理,简化了IT,本质上并没有脱离RBAC的模式,用户想要访问应用系统就需要拥有一个身份;访问前验证身份的合法性就是认证,认证有多种,包括用户密码、数字证书、动态令牌、二维码、人脸识别等多种认证方式;能否进行访问就是访问控制,访问应用里的功能需要事先的授权,而现在基于RBAC的模式已无法解决零信任架构下细粒度授权和授权动态控制问题,而这两个问题恰是我们需要重构IAM的原因。





第一个问题:怎么解决细粒度授权?



这是IAM需要重构的第一个原因,IAM只解决了粗粒度授权的问题,但在零信任架构下是不满足业务要求的,因此IAM授权部分需要由策略管理点(PAP)来完成,IAM通过策略实施点(PEP)获取相应的颗粒度权限,由授权中心完成对第三方应用(客体)的细粒度授权控制。



主体访问客体前进行单点登录,即身份验证,统一认证平台通过PEP获取动态粗粒度的权限,对身份进行验证;访问代理通过PEP进行访问决策;决策通过后允许访问客体,客体再通过PEP获取动态的细粒度功能权限,从而实现细粒度授权的访问控制。





第二个问题:怎么解决授权无法动态控制?



这是IAM需要重构的第二个原因,动态授权在零信任架构下是基于策略来完成的,基于PDP的策略包含权限数据和策略数据,权限数据又包含参与决策的所有权限信息,与权限信息相关的客体、主体、环境等属性都可以作为决策的依据;策略数据就是决策的方法了,包含决策算法和策略逻辑运算,这里会引用到权限数据和请求数据。


当主体访问并通过单点登录时,访问代理的PEP会携带主体属性、环境属性、客体属性作为请求数据给到PDP进行请求决策,PDP会根据请求属性动态的给出权限评估,不同的属性相同的组合或相同属性不同组合都会有不同的评估结果,从而实现授权的动态控制,而不用关心业务发生变更导致权限不同而带来策略的改变。





在零信任架构下,重构IAM是实现授权部分的扩展需要,也是IAM基于RBAC发展的方向,RBAC解决了基于角色授权问题,ABAC解决了基于属性授权问题,而RBAC又是ABAC中的一种特例,在ABAC基础上再增加策略完成动态时时授权,就该叫PBAC了,这也就是零信任架构下授权中心组件要完成的事情。