@ner
2年前 提问
1个回答

什么是新一代身份安全

GQQQy
2年前

新一代身份安全是对与政企数字化业务的用户身份管理与访问控制相关的一系列能力组件的统称。利用系统工程方法将身份管理与访问控制能力组件相互组合,构成协同联动的技术平台、运行管理流程和安全管理规范,特征是以数据驱动构建身份安全。在数字化场景下,新一代身份安全以泛化身份数据管理和资源属性管理为基石,采用基于属性的权限管理与访问控制将数字身份同政企业务运行环境进行聚合,实现全场景数字化身份安全管理。

新一代身份安全设计思路包括以下这些:

  • 以身份为基础:夯实基础设施及应用的安全防护,进一步强化以身份为中心的访问控制体系。通过聚合人员、设备、程序等主体的数字身份,为动态访问控制提供基于由身份数据驱动的访问决策支撑,为身份分析平台提供身份大数据所依赖的身份、权限和属性数据。

  • 最小权限控制:遵循最小化权限原则,为访问主体按需设定最小权限。通过构建保护面来实现对攻击面的收缩,默认隐藏所有业务,开放最小权限,所有的业务访问请求都应该进行全流量加密和强制授权,并针对要保护的核心业务资产(如应用、服务、接口等)构建安全访问屏障。

  • 持续信任评估:以身份大数据为支撑,通过信任评估引擎,实现基于身份的信任评估能力,同时对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。持续信任评估为身份基础设施提供策略驱动的自动化治理能力,为动态访问控制平台提供信任评估结果,并将其作为动态权限判定的依据。

  • 动态访问控制:动态访问控制是零信任架构的安全闭环能力的重要体现。它通过RBAC和ABAC的组合授权实现灵活的访问控制基线,基于信任等级实现分级的业务访问,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。动态访问控制能力依据身份基础设施和身份分析能力,为全场景业务的安全访问提供能力支撑,是全场景业务安全访问的策略判定点。

  • 实施动态最小权限:实施动态最小权限的依据是访问的上下文场景信息,需要汇聚身份、权限、行为、风险等数据,根据多维度的数据和属性进行分析研判,决定能赋予访问者的权限。以访问者的岗位、访问者需要开展的业务需求为基础,开放其完成任务所需要的最小权限。实时感知访问风险并对权限进行动态调整,实现风险闭环对应的动态最小权限。在全业务场景中部署策略控制点,确保动态最小权限策略不被绕过。