身份安全 | 零信任架構之重構IAM

由于傳統(tǒng)的IAM是基于RBAC且靜態(tài)授權模式的，所以基于細粒度用IAM已無法滿足。我們先看下典型的RBAC概念圖：

當用戶2需要增加權限時該概念圖已無法解決，需要重新創(chuàng)建新的角色與新權限關聯(lián)后再賦予給用戶2。意味著業(yè)務的變化會引起新的角色層次結構的變化，而且角色數(shù)量會隨著用戶數(shù)量的增加而增加，時間一久導致用戶對應角色的積累賦予其過多的權限，存在角色用戶管理問題。

我們知道通常應用都由身份、認證、授權三部分組成，IAM只不過是對各個應用進行整合和集中管理，簡化了IT，本質(zhì)上并沒有脫離RBAC的模式，用戶想要訪問應用系統(tǒng)就需要擁有一個身份；訪問前驗證身份的合法性就是認證，認證有多種，包括用戶密碼、數(shù)字證書、動態(tài)令牌、二維碼、人臉識別等多種認證方式；能否進行訪問就是訪問控制，訪問應用里的功能需要事先的授權，而現(xiàn)在基于RBAC的模式已無法解決零信任架構下細粒度授權和授權動態(tài)控制問題，而這兩個問題恰是我們需要重構IAM的原因。

這是IAM需要重構的第一個原因，IAM只解決了粗粒度授權的問題，但在零信任架構下是不滿足業(yè)務要求的，因此IAM授權部分需要由策略管理點（PAP）來完成，IAM通過策略實施點（PEP）獲取相應的顆粒度權限，由授權中心完成對第三方應用（客體）的細粒度授權控制。

主體訪問客體前進行單點登錄，即身份驗證，統(tǒng)一認證平臺通過PEP獲取動態(tài)粗粒度的權限，對身份進行驗證；訪問代理通過PEP進行訪問決策；決策通過后允許訪問客體，客體再通過PEP獲取動態(tài)的細粒度功能權限，從而實現(xiàn)細粒度授權的訪問控制。

這是IAM需要重構的第二個原因，動態(tài)授權在零信任架構下是基于策略來完成的，基于PDP的策略包含權限數(shù)據(jù)和策略數(shù)據(jù)，權限數(shù)據(jù)又包含參與決策的所有權限信息，與權限信息相關的客體、主體、環(huán)境等屬性都可以作為決策的依據(jù)；策略數(shù)據(jù)就是決策的方法了，包含決策算法和策略邏輯運算，這里會引用到權限數(shù)據(jù)和請求數(shù)據(jù)。

當主體訪問并通過單點登錄時，訪問代理的PEP會攜帶主體屬性、環(huán)境屬性、客體屬性作為請求數(shù)據(jù)給到PDP進行請求決策，PDP會根據(jù)請求屬性動態(tài)的給出權限評估，不同的屬性相同的組合或相同屬性不同組合都會有不同的評估結果，從而實現(xiàn)授權的動態(tài)控制，而不用關心業(yè)務發(fā)生變更導致權限不同而帶來策略的改變。