隨著社會的高度發展,網際網路在生活中的應用越來越多,尤其企業的數字化推進使使用者資料越來越集中,隨著頻頻暴露的各類網路攻擊,企業對資料的重視程度與日俱增。對企業來說,資料中心每天都會有很多使用者資料進入,雖然有使用者資料的湧入對企業來說應該是好事,但企業如何保證使用者資料訪問和應用程式的充分安全是關注的重點。很多資料洩露的主要原因在於員工,尤其資料在生產過程中,可能會因人為管理不善帶來各類風險,如內部人員導致的資料洩露和暴露企業與個人隱私等。
即使很多企業正在部署或者已經部署了管理使用者身份資料的系統,這些系統絕大部分都缺乏顆粒級的授權支援,這也意味著企業在許可權管理中會存在一些問題,如:
同崗不同權:系統授權管理沒有標準和公示,存在同崗不同權,不申請就沒有許可權的情況;
許可權不公開:員工自己並不知道自己已經擁有和應該擁有哪些許可權;
許可權變更慢:許可權變更為“需求-響應”模式,且人工調整需要大量時間;
離職交接不清:工作交接過程中需要人工確認歷史資料的交接。
因此在企業的使用者身份和訪問管理方面,需要顆粒級的授權來滿足安全需求,這也就是為什麼細粒度授權被提及。細粒度授權也叫資料範圍授權,即不同的使用者所擁有的操作許可權相同,但是能夠操作的資料範圍是不一樣的, 比如說,部門經理只可以訪問本部門的員工資訊,普通員工只可以看到自己許可權內的選單,而大區經理可以看到本區的銷售訂單。
只有經過授權,才能實現某些許可權的操作,比如當微信登入成功後使用者即可使用微信的功能,比如,發紅包,發朋友圈,新增好友等,沒有繫結銀行卡的使用者是無法傳送紅包的,繫結銀行卡的使用者才可以發紅包,發紅包功能、發朋友圈功能都是微信的資源即功能資源,使用者擁有發紅包功能的許可權才可以正常使用發紅包功能,擁有發朋友圈功能的許可權才能使用發朋友圈功能,這個根據使用者的許可權來控制使用者使用資源的過程就是授權。認證是為了保證使用者身份的合法性,授權則是為了更細粒度的對隱私資料進行劃分,授權是在認證透過後發生的,控制不同的使用者能夠訪問不同的許可權。
對企業來說,要解決資料安全管理,授權是很重要的環節。目前很多企業的授權採用的是人工授權,假如企業人數不多,人工授權方式是最常見的管理方式之一,比如HR給新員工開通郵箱賬號,等員工轉正之後再給員工開通其他許可權。在人數不多的情況下,人為操作倒是可以滿足對許可權的操控。
但面對成百上千人數的中大型企業,部署身份和訪問管理系統是最常用的手段,身份和訪問管理(IAM)解決方案的授權方法各不相同,基於角色的訪問控制會比較常見。它涉及定義公司所需的角色,為每個角色指定許可權,然後將使用者與角色進行匹配,安全定義好的規則實現自動化授權。比如在員工入職之後,系統會根據員工的角色自動生成其許可權。
細粒度授權也可以繼續升級至動態的細粒度許可權,動態授權會結合人的屬性、環境、裝置等多種因素來判斷許可權,單一屬性的變化都會導致許可權變化。動態細粒度授權能有效提升企業管理,並減少資料洩露風險。
在網路威脅更加多元化的今天,企業對安全的需求與日俱增。派拉結合多年的身份安全實踐經驗和對技術的精益求精,推出一體化零信任安全解決方案,在統一身份管理的基礎上,建立統一授權中心,實行基於“屬性”的動態授權體系,滿足零信任架構下更加“細粒度”的許可權管控需求。