云環境下的身份管理及訪問控制.pdf

《云環境下的身份管理及訪問控制.pdf》由會員分享，可在線閱讀，更多相關《云環境下的身份管理及訪問控制.pdf（31頁珍藏版）》請在三個皮匠報告上搜索。

1、北京景安云信科技有限公司CTO云環境下的身份管理及訪問控制目錄 云環境下企業身份安全面臨的挑戰 云中一體化的IAM 最佳實踐 身份安全的通力合作云環境下企業身份安全面臨的挑戰企業上云是大勢所趨企業上云是大趨勢，而安全則成了用戶購買云服務的關鍵考量指標。增強的計算能力增強的計算能力不再局限于單臺計算機，而是成千上萬臺計算機和服務器提供計算能力01無限的存儲容量無限的存儲容量存儲空間可以動態擴展，存儲資源以PB計算02降低企業運營成本降低企業運營成本讓所有資源得到充分利用03動態可擴展動態可擴展依照流量特點即用即付04反應迅速準確反應迅速準確按需配置資源調配資源時間大幅縮短05簡化維護簡化維護資源

2、配置自動化、模板化06身份安全，不僅只有認證用戶認證方式賬號賬號賬號應用資源僅關注認證方式，是不夠的統一的身份視圖是強認證生效的基礎條件如何綁定？用戶云上資源融合，身份卻是割裂的移動應用系統account虛擬機accountWeb云桌面accountSSHWebWebaccount用戶AAD企業計算資源、中間件、應用遷移上云，云融合了多層次的資源，但各層次的身份管理、認證仍然是被切割的，形成了一個個孤島，不僅低效，而且混亂。我們需要的是一個整體的一體化解決方案。這些問題你是否能夠回答？能接觸哪些數據？能管理哪些資源？訪問過什么？能訪問哪些應用，辦理哪些業務？張三用什么訪問的？看不見管不了刪不掉

3、云身份管理面對的挑戰網絡設備網絡資源計算資源存儲資源數據中心應用基礎資源服務云管理平臺計算設備存儲設備基礎資源管控PaaS服務運維小組用戶A資源管理者運營團隊用戶B數據庫及中間件管理員應用管理員從屬管理從屬從屬管理網絡設備管理員授權授權應用管理者業務系統用戶Dev-ops針對不同資源的不同授權模型應用資源統建應用、分支機構應用、對外服務應用PaaS服務數據庫、中間件、消息服務、緩存云資源虛擬機、防火墻、存儲、網絡云基礎設施物理機、交換機、路由器應用系統，賬號歸屬于一個用戶，適合用RBAC的授權模式。資源類型賬戶，例如云資源、基礎設施、系統特權賬戶沒有具體歸屬，需要ABAC的授權模式。不斷新增的

4、認證因子應用安全等級+用戶A3.綁定賬號賬號4.有權限訪問1.擁有介質2.擁有生物特征？用戶B如何處理賬號與身份之間的多對多關系？如何升級原有認證方式？例如RSA-SM2各種靈活調整安全等級？如何引入新的認證方式？不同類型資源如何落地統一身份管理？認證權限決策權限執行賬號/權限庫獨立的業務應用認證權限決策權限執行依賴外部賬號/權限庫的應用LDAP認證權限決策權限執行共享應用/服務賬號/權限庫權限執行共享應用/服務共享的開放服務、API共享特權賬號的計算資源、中間件、數據庫、管理平臺遺留系統云中云中一體化的IAM云中一體化的IAMIAM授權訪問策略管理身份認證身份管理風險控制管理優化審計數據應用

5、資源統建應用、分支機構應用、對外服務應用PaaS服務數據庫、中間件、消息服務、緩存云資源虛擬機、防火墻、存儲、網絡云基礎設施物理機、交換機、路由器企業級全平臺SOC/態勢感知BI統一身份與策略管理身份源管理身份聯盟工作流注冊與審批賬號映射屬性管理管理服務工作流權限申請策略管理綁定/解綁賬號供給ABACRBAC 認證因子HR身份管理訪問策略管理身份聯盟管理員/用戶賬號連接器應用資源身份庫策略庫帳號庫主身份庫Radius其他身份源LDAP操作系統Wi-FiVPN連接器共享服務應用身份數據服務總線云資源的訪問控制基于資源屬性訪問控制策略PrincipalResourceActionEffectCon

6、dition目標資源：PaaS、IaaS允許/不允許哪些操作？允許誰?身份、角色、組IP、時間、Tag云資源的無具體歸屬性，需要采用ABAC的授權模型PaaS服務數據庫、中間件、消息服務、緩存云資源虛擬機、防火墻、存儲、網絡云基礎設施物理機、交換機、路由器統一認證與多渠道的授權訪問認證庫用戶虛擬機網絡設備SSH應用資源單點登錄接口PEPPDP移動Web共享應用移動WebPEPSTS代理網關開放式APIRESTWS訪問策略認證因子PDP認證身份認證與授權訪問屬性服務RBACABACPEP會話管理賬戶映射身份庫策略庫帳號庫認證服務化IAM應為認證因子的供應商提供標準接口，以便客戶未來加入新的認證因

7、子。差異化認證策略平衡認證效率與認證強度標準協議的集成 采用國際標準的單點登錄協議SAML、OpenID、CAS、Oauth等。IAM需要可動態擴展新的單點登錄協議。不要使用密碼代填。防跳墻 真正實現IAM的訪問控制。審計、報告與分析 IAM通過唯一身份管理、統一身份認證，可收集基于訪問主體的跨資源、應用、服務的訪問審計記錄。審計數據可為企業級安全平臺SOC/態勢感知提供準確的訪問主體-終端-IP的映射關系，協助快速定位威脅，并且訪問數據本身也有作為UEBA分析的價值。審計與訪問數據同時也有利于企業進行業務型分析，信息系統使用頻率，用戶之間的使用差異、習慣都是寶貴數據。新一代 IAM 的技術選

8、擇 采用互聯網新技術：微服務，文檔數據庫，搜索引擎，無狀態集群部署等輕量級構架。分布式部署：支持兩地三中心異地多活跨地域部署模式。支持云部署、Docker部署、傳統物理機部署。水平擴展能力：支持億級別用戶量，分布式部署模式。前后臺分離：后臺完全API化，靈活支持與其他系統的對接。JWT最佳實踐共享權限不共享憑證基于策略的權限委托：僅授權部分訪問權限，僅在有限時間、終端可進行訪問，過期權限自動收回。AWS的最佳實踐由企業IAM管理云平臺運維人員的統一身份，不需要在云平臺AM中創建賬號。租戶在云平臺AM中創建訪問控制策略，并在企業IAM中將訪問控制策略分配給人、組、角色。企業IAM與云平臺AM通過

9、SAML、OIDC建立身份聯盟，企業IAM對用戶進行統一認證，并以單點登錄方式告知云平臺AM當前登錄用戶的權限。大型集團 IAM 部署景安云信 云環境下的新一代IAM技術構架新 最新的技術構架 支持多種部署方式 平臺化、服務化管理方式新 分級管理 分布式認證 突破傳統的賬戶體系技術路線新 自主可控 核心掌握安全理念新 動態防御策略 手機安全令 多因子認證策略 關鍵操作保護審計方式新 安全行為感知 用戶行為全景展示身份安全的通力合作IAM、門戶、OA、ERP、甚至VPN都希望自己整合別人，而不是別人整合自己。別那么自戀，給企業多一點選擇權，保持開放。系統的封閉性阻擋不了企業實施統一IAM的需求，封閉意味著將來被淘汰。保持一顆開放的心網絡存儲虛擬機數據庫中間件計算服務APIIaaSPaaSSaaS企業多租戶應用企業IAM云平臺IAM身份聯盟單點登錄企業局域網資源SAML/JWT/OAuth.SAML/OIDC原有4A替代五年來，我一都是老大只有我最安全各位大哥，能開個接口不？身份認證安全的通力合作企業級全平臺SOC/態勢感知IAM廠商認證因子廠商應用資源云平臺UBA專業廠商提供數據開放接口審計數據系統對接Another IAM身份聯盟身份安全不可能由一個產品全部做完，不僅需要廠商之間的合作，也需要受訪資源提供接口。只有通力協作，才有真正有可能實現有效的企業身份安全建設。謝謝