云环境下的身份管理及访问控制.pdf

1、北京景安云信科技有限公司CTO云环境下的身份管理及访问控制目录 云环境下企业身份安全面临的挑战 云中一体化的IAM 最佳实践 身份安全的通力合作云环境下企业身份安全面临的挑战企业上云是大势所趋企业上云是大趋势，而安全则成了用户购买云服务的关键考量指标。增强的计算能力增强的计算能力不再局限于单台计算机，而是成千上万台计算机和服务器提供计算能力01无限的存储容量无限的存储容量存储空间可以动态扩展，存储资源以PB计算02降低企业运营成本降低企业运营成本让所有资源得到充分利用03动态可扩展动态可扩展依照流量特点即用即付04反应迅速准确反应迅速准确按需配置资源调配资源时间大幅缩短05简化维护简化维护资源

2、配置自动化、模板化06身份安全，不仅只有认证用户认证方式账号账号账号应用资源仅关注认证方式，是不够的统一的身份视图是强认证生效的基础条件如何绑定？用户云上资源融合，身份却是割裂的移动应用系统account虚拟机accountWeb云桌面accountSSHWebWebaccount用户AAD企业计算资源、中间件、应用迁移上云，云融合了多层次的资源，但各层次的身份管理、认证仍然是被切割的，形成了一个个孤岛，不仅低效，而且混乱。我们需要的是一个整体的一体化解决方案。这些问题你是否能够回答？能接触哪些数据？能管理哪些资源？访问过什么？能访问哪些应用，办理哪些业务？张三用什么访问的？看不见管不了删不掉

3、云身份管理面对的挑战网络设备网络资源计算资源存储资源数据中心应用基础资源服务云管理平台计算设备存储设备基础资源管控PaaS服务运维小组用户A资源管理者运营团队用户B数据库及中间件管理员应用管理员从属管理从属从属管理网络设备管理员授权授权应用管理者业务系统用户Dev-ops针对不同资源的不同授权模型应用资源统建应用、分支机构应用、对外服务应用PaaS服务数据库、中间件、消息服务、缓存云资源虚拟机、防火墙、存储、网络云基础设施物理机、交换机、路由器应用系统，账号归属于一个用户，适合用RBAC的授权模式。资源类型账户，例如云资源、基础设施、系统特权账户没有具体归属，需要ABAC的授权模式。不断新增的

4、认证因子应用安全等级+用户A3.绑定账号账号4.有权限访问1.拥有介质2.拥有生物特征？用户B如何处理账号与身份之间的多对多关系？如何升级原有认证方式？例如RSA-SM2各种灵活调整安全等级？如何引入新的认证方式？不同类型资源如何落地统一身份管理？认证权限决策权限执行账号/权限库独立的业务应用认证权限决策权限执行依赖外部账号/权限库的应用LDAP认证权限决策权限执行共享应用/服务账号/权限库权限执行共享应用/服务共享的开放服务、API共享特权账号的计算资源、中间件、数据库、管理平台遗留系统云中云中一体化的IAM云中一体化的IAMIAM授权访问策略管理身份认证身份管理风险控制管理优化审计数据应用

5、资源统建应用、分支机构应用、对外服务应用PaaS服务数据库、中间件、消息服务、缓存云资源虚拟机、防火墙、存储、网络云基础设施物理机、交换机、路由器企业级全平台SOC/态势感知BI统一身份与策略管理身份源管理身份联盟工作流注册与审批账号映射属性管理管理服务工作流权限申请策略管理绑定/解绑账号供给ABACRBAC 认证因子HR身份管理访问策略管理身份联盟管理员/用户账号连接器应用资源身份库策略库帐号库主身份库Radius其他身份源LDAP操作系统Wi-FiVPN连接器共享服务应用身份数据服务总线云资源的访问控制基于资源属性访问控制策略PrincipalResourceActionEffectCon

6、dition目标资源：PaaS、IaaS允许/不允许哪些操作？允许谁?身份、角色、组IP、时间、Tag云资源的无具体归属性，需要采用ABAC的授权模型PaaS服务数据库、中间件、消息服务、缓存云资源虚拟机、防火墙、存储、网络云基础设施物理机、交换机、路由器统一认证与多渠道的授权访问认证库用户虚拟机网络设备SSH应用资源单点登录接口PEPPDP移动Web共享应用移动WebPEPSTS代理网关开放式APIRESTWS访问策略认证因子PDP认证身份认证与授权访问属性服务RBACABACPEP会话管理账户映射身份库策略库帐