专题|身份与访问管理安全

admin 2022年5月23日10:53:27安全闲碎评论13 views4348字阅读14分29秒阅读模式

现今,在云计算、大数据、物联网、人工智能等信息技术的深度应用下,身份与访问管理平台(IAM)已经成为企业网络安全系统的重要组成部分,通过基于角色的控制,可以帮助企业组织管理数字身份以及用户对组织内系统、网络和关键信息的访问行为。


身份治理规划总体概述


随着企业信息化水平快速提升,身份治理作为企业管理平台和基础安全平台,已被大多数企业纳入企业整体经营战略规划中,那么企业如何结合自身业务形态和信息安全管理要求进行身份治理规划设计呢?我们从四个方面进行身份治理的统一规划和建设考虑:

风险评估:围绕身份治理管理要求,针对企业面临的信息安全挑战与存在问题,充分评估身份治理风险于合理性;

规划设计:结合企业的战略规划与IT规划,制定符合企业业务发展与管理模式的身份治理规划蓝图;

平台建设:引入身份治理建设经验与专业实施商,明确实施路径与目标,推动身份安全平台与体系建设;

生态融合:推动数字化转型与创新,实现身份治理线下线上、云端及物联网等多场景业务融合与生态融合。

新兴的身份管理系统


电子身份 eID

eID 是以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统” 签发给公民的网络电子身份标识,它的特点是能够在不泄露身份信息的前提下在线远程识别身份。

具体来说,用户开通 eID 时,智能安全芯片内部会采用非对称密钥算法生成一组公私钥对,这组公私钥对可用于电子签名,基本原理是:用户可以使用自己的 eID 私钥对信息进行电子签名后发送给其他人,其他人可以使用用户的 eID公钥对签名信息进行验签。

用户使用 eID 通过网络向应用方自证身份时,应用方会向连接“公安部公民网络身份识别系统”的服务机构发出请求,以核实用户网络身份的真实性和有效性。

一旦用户网络身份通过验证,应用方就能得到用户在当前应用上的网络身份应用标识。由于用户在不同的线上应用所使用的网络身份应用标识编码不同,因此可以避免用户在不同线上应用中的行为数据被汇聚、分析和追踪。

目前,我国的电子身份 eID 已发行 5000 万张并且在在银行、证券、保险、征信、互联网金融、电子商务等领域广泛应用。欧盟多个国家也已经颁发了eID来替代传统的身份证件,使eID既具备了线下身份识别的功能,又具备了网络远程身份识别功能。

OAuth

OAuth 是 Open Authority 的缩写,它是一个授权框架,或称授权标准,它可以使第三方应用程序(微信、QQ 等)或客户端获得对HTTP 服务上(例如 Google、GitHub)用户信息的有限的访问权限。

OAuth 通过将用户身份验证委派给托管用户的服务以及授权客户端访问用户进行工作。它可以为 Web 应用和桌面应用以及移动应用提供授权流程。

OpenID协议

OpenID 是 Live Journal社区创办人Brad Fitzpatrick 提出的一个去中心化的网上身份认证系统。OpenID允许用户使用现有账户登录多个网站,而无需创建新密码。

取而代之的是,他们只需要预先在一个 OpenID 身份提供者的网站上注册,就可以任意享用支持 OpenID 的网站上面的资源。

OpenID 的最大特点是采用了去中心化的架构,任何网站都可以使用 OpenID 来作为用户登录的一种方式,任何网站也都可以作为OpenID 身份提供者。

目前,OpenID 正在网络上迅速普及,超过 10 亿个支持 OpenID 的用户账户和超过 50000 个网站接受 OpenID 登录,包括谷歌、Facebook、雅虎、微软、MySpace、Novell、Sun、意大利电信等等。

2020身份与访问管理趋势


身份和访问管理即服务

管理一组应用程序和文件的访问可能很棘手,且要求很高。尽管IAM早已迁移到云中(即使Microsoft的古老Active Directory软件也跳到了Azure),但对应用程序进行精细维护的责任仍然在于管理员。

借助IAM即服务(IAMaaS),许多IAM功能被转移到云中并实现了自动化。远程用户可以轻松而轻松地访问其工具:他们只需使用一次登录(SSO)即可访问所需的所有资源和解决方案。

借助IAMaaS,用户可以轻松、自动化地连接安全和防欺诈保护系统,提高应用程序和文件的安全性,而无需付出额外的努力。此外,自动化工具将大大减少管理员的工作负担。

微服务的身份和访问管理

微服务已经席卷了IT世界。开发人员使用链接的容器化小程序而不是单个整体应用程序来执行以前由单个集成应用程序完成的功能。即使一个组件失败,整个应用程序也不会崩溃。

取而代之的是,自动化系统启动了故障组件的副本,使用户的停机时间降至零。

从传统的IAM的角度来看,这是有问题的。现在,应用程序的各个组件可以通过网络进行通信,这意味着攻击者有可能窃听或伪造这些通信。有时,这些服务使用公共互联网在多个数据中心之间进行通信,这使得加密和安全性变得更加重要。

因此,IAM解决方案开始与微服务集成。在一个这样的解决方案中,微服务之间的每个通信还包括一个唯一的令牌,该令牌在收到后便会得到验证。应用程序仅在收到有效令牌后才执行请求的功能。

这对应用程序造成的性能影响很小,但却可以防止不良行为者假冒微服务或窃听您的应用程序。

自主身份

用户所拥有的身份数据,需重复证明,也不属于自己,这是一件怪诞但现实的事情,这不仅仅带来不便,而且是数据泄露的万恶之源。

自主主权身份是搭建在区块链上的数字身份,也是用户对数字身份掌控度最高的形式,此类数字身份因为结合了区块链的去中心化、分布式、共识机制、哈希加密等特性,因此在自主、安全、可控层面更上一层楼。

在物理世界中,用户可以通过多种方式来验证其身份,而无需用户名或密码。他们可能会出示驾照、护照、社会保险卡或其他身份证。

过去,显示完整账号的信用卡收据使身份盗窃变得容易。而所谓的自主身份,指的是当个人使用这些实体来验证其身份时,没有第三方(发行机构除外)维护副本,因此被盗的风险较小。

简而言之,自我主权身份使用户在网上也能够以“亲自证明”相同的方式对自己进行身份验证。用户可以存储自己的个人识别数据,而不必将其提交到某个公司管理的集中化数据库中,因为如果这些公司被黑客入侵,数据泄露将不可避免。

自我主权身份的问题在于,目前还没有一种普遍认同的媒介可以用来存储自己的身份并对其进行验证。现在,许多自我主权身份的支持者认为,区块链是一种加密的去中心化个人信息数据库,代表了个人可以轻松地在线验证其身份的理想机制。

因此,整合区块链有可能在很大程度上改变IAM。根据您的居住地、您的用户名和密码可能会替换为政府颁发的数字身份。这已经在瑞士的楚格(Zug)市发生,您的城镇可能是下一个。

总之,可以预见的是,随着全球主要公司和政府努力“消灭密码”,在线身份识别和管理方式也正面临一场巨变。

身份与访问管理产品及解决方案


01

吉大正元IAM系统


方案介绍:


专题|身份与访问管理安全
吉大正元IAM系统(身份识别与访问管理系统),遵循“先鉴别认证、后访问企业资源”的安全逻辑,借助敏捷、全面的智能身份认证管理平台,实现“以身份为中心”的全业务自动化的动态访问控制。在感知层、用户侧的终端接入时在主体(设备、用户、应用)和客体(应用后台、应用功能、数据或服务接口)之间的访问路径上建立完整信任链,确保可信的主体在可信的时间和地点,通过可信的访问链路,以多种认证方式,安全合规的访问已授权的客体,实现数据访问过程的安全可控。

方案特性

采用先进的零信任安全架构解决企业数据访问的安全性问题,重构企业信息安全边界,从根源上解决数据访问的安全性问题。


核心价值

吉大正元IAM系统旨在帮助客户在不可信的网络环境下,以身份为中心,通过动态访问控制技术,以细粒度的应用、接口、和数据为核心保护对象,遵循最小权限原则,构筑端到端的逻辑身份边界。系统以统一认证、身份管理、授权管理、策略分析及实时监控为核心出发点,帮助客户构建基于零信任的安全架构,为企业数字化转型保驾护航。


02

山石网科运维安全网关


产品介绍:


山石网科运维安全网关,是集运维管理与运维审计为一体的堡垒机设备,结合等级保护、SOX法案、IT内控、ISO27001等各类法律法规对运维管理的要求,将运维管理和运维安全理念相融合,完成对核心资产的统一认证、统一授权、统一审计,全方位提升运维风险控制能力。

专题|身份与访问管理安全


给客户带来的核心价值


规范运维管理:统一访问入口、集中授权控制,实现运维操作的规范化管理。
降低资源风险:有效防止运维误操作、滥操作、越权操作,避免核心业务资产遭到破坏。
满足合规要求:细致的权限控制、完善的审计记录,满足法律法规和IT审计要求。
完善责任认定:快速故障定位,提高故障处理效率,提供精准的责任鉴定和追溯能力。


03

保旺达堡垒机


产品介绍:


专题|身份与访问管理安全

保旺达堡垒机是保旺达公司总结在安全领域多年的项目经验,利用突出技术优势,整合项目资源,自主研发的一款运维管控安全产品。该产品基于运维角色,实现账号、认证、授权、审计的统一集中管理及账号全生命周期管理,多维度认证,细颗粒度授权管控,字符和图形完整日志审计的功能,整合业务资源,提升业务运维安全管理水平。

主要功能
集中账号管理:对所有运维用户建立统一帐号,同时对所有运维资产上的帐号建立对应关系表,实现所有帐号集中到统一管控平台。
集中认证管理:为了保护账号盗用、冒用的情况出现,采用了多因子认证技术,密码非对称加密技术、同时加强密码定期修改、密码复杂度要求等管理制度,并通过系统自动实现,及提供资源单点登录。
集中权限管理:对所有运维资产建立统一台帐,规范所有资产连接访问的方式,以及对应授权的人员权限,实现所有资产权限统一可控管理。
集中审计管理:通过堡垒机进行的所有业务操作,都将记录下用户的业务操作,用于日志回放,实现对运维业务的全面审计需求。

产品特性

将应用虚拟交付方式运用于资源单点登录是保旺达首次在虚拟化应用的成功尝试,并在多家运营商投入使用;

在RBAC模型的基础上加入岗位概念形成“岗位、角色、权限”的新型访问控制架构模型,为运营商与合作伙伴的分类管理提供了丰富灵活的管理模型;

采用运动补偿的图像技术,实现屏幕录像检索与回放,结合操作日志信息进行关联分析,对事后追溯提供有力的支撑。

核心价值

保障资源访问的合理性、安全性和可控性;

规范工作人员的操作行为,减少管理员日常维护工作量,提高工作效率;

支撑用户维护接入能力,解决了日常工作人员在本地安装各种维护工具的弊端;

推动了安全日志管理策略的纵向梳理和细化,推动了安全日志管理策略的横向覆盖与拓展。


专题|身份与访问管理安全

网络强国建设的思想库

安全产业发展的情报站

创新企业腾飞的动力源

投稿网址:http://www.txjszz.com

合作热线:010-88203306

专题|身份与访问管理安全

原文始发于微信公众号(信息安全与通信保密杂志社):专题|身份与访问管理安全

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月23日10:53:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  专题|身份与访问管理安全 http://cn-sec.com/archives/1026788.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: