零信任框架下的動態(tài)授權(quán)

隨著數(shù)字化轉(zhuǎn)型的不斷加速，企業(yè)不僅存在多個內(nèi)部網(wǎng)絡(luò)，還存在通過遠程連接本地網(wǎng)絡(luò)基礎(chǔ)設(shè)施的遠程辦公室、移動用戶以及云服務(wù)等，一旦攻擊者突破企業(yè)網(wǎng)絡(luò)的邊界防護，便可以在內(nèi)部網(wǎng)絡(luò)中進一步橫向移動進行攻擊破壞，不受阻礙和控制。因此，在傳統(tǒng)網(wǎng)絡(luò)邊界局限性日益凸顯的背景下，如何構(gòu)筑身份邊界、實現(xiàn)實時的風(fēng)險感知和動態(tài)的細粒度授權(quán)是當(dāng)下所關(guān)注的重點。

動態(tài)授權(quán)作為零信任安全架構(gòu)關(guān)鍵組件，發(fā)揮著整個零信任安全體系中大腦中樞的指揮作用，業(yè)務(wù)系統(tǒng)的安全訪問和使用，都與動態(tài)授權(quán)能力緊密相連。

如用戶A，目前擁有四個業(yè)務(wù)系統(tǒng)的訪問權(quán)限，其中業(yè)務(wù)系統(tǒng)N是一個高敏應(yīng)用，零信任安全平臺在用戶訪問系統(tǒng)過程中持續(xù)檢測環(huán)境和環(huán)境感知，將風(fēng)險分值提供給認證服務(wù)，如果風(fēng)險分值低，也就是風(fēng)險等級高，那么認證服務(wù)通知權(quán)限服務(wù)，需做權(quán)限變更，調(diào)整該用戶的應(yīng)用訪問權(quán)限，實現(xiàn)動態(tài)的變更。當(dāng)用戶再次登錄，因為權(quán)限已做變更，則只展示A、B、C業(yè)務(wù)系統(tǒng)，N業(yè)務(wù)系統(tǒng)的圖標(biāo)就無法看到。當(dāng)用戶環(huán)境恢復(fù)到安全狀態(tài)，權(quán)限服務(wù)才將業(yè)務(wù)系統(tǒng)N的訪問權(quán)限重新賦予。通過認證服務(wù)、權(quán)限服務(wù)和環(huán)境感知，可實現(xiàn)一次完整的用戶動態(tài)權(quán)限的變更。

動態(tài)授權(quán)核心能力逐步采取基礎(chǔ)授權(quán)服務(wù)構(gòu)建、權(quán)限試點應(yīng)用到自適應(yīng)動態(tài)授權(quán)等幾個階段進行落地和實踐，確保滿足企業(yè)的零信任安全規(guī)劃和實際業(yè)務(wù)需求。