En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>細(xì)粒度權(quán)限> 細(xì)粒度授權(quán)二三事,你了解多少?

細(xì)粒度授權(quán)二三事,你了解多少?

文章

2021-08-27瀏覽次數(shù):148

隨著社會(huì)的高度發(fā)展,互聯(lián)網(wǎng)在生活中的應(yīng)用越來(lái)越多,尤其企業(yè)的數(shù)字化推進(jìn)使用戶數(shù)據(jù)越來(lái)越集中,隨著頻頻暴露的各類網(wǎng)絡(luò)攻擊,企業(yè)對(duì)數(shù)據(jù)的重視程度與日俱增。對(duì)企業(yè)來(lái)說,數(shù)據(jù)中心每天都會(huì)有很多用戶數(shù)據(jù)進(jìn)入,雖然有用戶數(shù)據(jù)的涌入對(duì)企業(yè)來(lái)說應(yīng)該是好事,但企業(yè)如何保證用戶數(shù)據(jù)訪問和應(yīng)用程序的充分安全是關(guān)注的重點(diǎn)。很多數(shù)據(jù)泄露的主要原因在于員工,尤其數(shù)據(jù)在生產(chǎn)過程中,可能會(huì)因人為管理不善帶來(lái)各類風(fēng)險(xiǎn),如內(nèi)部人員導(dǎo)致的數(shù)據(jù)泄露和暴露企業(yè)與個(gè)人隱私等。

 

即使很多企業(yè)正在部署或者已經(jīng)部署了管理用戶身份數(shù)據(jù)的系統(tǒng),這些系統(tǒng)絕大部分都缺乏顆粒級(jí)的授權(quán)支持,這也意味著企業(yè)在權(quán)限管理中會(huì)存在一些問題,如:

 

■  同崗不同權(quán):系統(tǒng)授權(quán)管理沒有標(biāo)準(zhǔn)和公示,存在同崗不同權(quán),不申請(qǐng)就沒有權(quán)限的情況;

■  權(quán)限不公開:?jiǎn)T工自己并不知道自己已經(jīng)擁有和應(yīng)該擁有哪些權(quán)限;

■  權(quán)限變更慢:權(quán)限變更為“需求-響應(yīng)”模式,且人工調(diào)整需要大量時(shí)間;

■  離職交接不清:工作交接過程中需要人工確認(rèn)歷史數(shù)據(jù)的交接。

因此在企業(yè)的用戶身份和訪問管理方面,需要顆粒級(jí)的授權(quán)來(lái)滿足安全需求,這也就是為什么細(xì)粒度授權(quán)被提及。細(xì)粒度授權(quán)也叫數(shù)據(jù)范圍授權(quán),即不同的用戶所擁有的操作權(quán)限相同,但是能夠操作的數(shù)據(jù)范圍是不一樣的, 比如說,部門經(jīng)理只可以訪問本部門的員工信息,普通員工只可以看到自己權(quán)限內(nèi)的菜單,而大區(qū)經(jīng)理可以看到本區(qū)的銷售訂單。

 

只有經(jīng)過授權(quán),才能實(shí)現(xiàn)某些權(quán)限的操作,比如當(dāng)微信登錄成功后用戶即可使用微信的功能,比如,發(fā)紅包,發(fā)朋友圈,添加好友等,沒有綁定銀行卡的用戶是無(wú)法發(fā)送紅包的,綁定銀行卡的用戶才可以發(fā)紅包,發(fā)紅包功能、發(fā)朋友圈功能都是微信的資源即功能資源,用戶擁有發(fā)紅包功能的權(quán)限才可以正常使用發(fā)紅包功能,擁有發(fā)朋友圈功能的權(quán)限才能使用發(fā)朋友圈功能,這個(gè)根據(jù)用戶的權(quán)限來(lái)控制用戶使用資源的過程就是授權(quán)。認(rèn)證是為了保證用戶身份的合法性,授權(quán)則是為了更細(xì)粒度的對(duì)隱私數(shù)據(jù)進(jìn)行劃分,授權(quán)是在認(rèn)證通過后發(fā)生的,控制不同的用戶能夠訪問不同的權(quán)限。

 

對(duì)企業(yè)來(lái)說,要解決數(shù)據(jù)安全管理,授權(quán)是很重要的環(huán)節(jié)。目前很多企業(yè)的授權(quán)采用的是人工授權(quán),假如企業(yè)人數(shù)不多,人工授權(quán)方式是最常見的管理方式之一,比如HR給新員工開通郵箱賬號(hào),等員工轉(zhuǎn)正之后再給員工開通其他權(quán)限。在人數(shù)不多的情況下,人為操作倒是可以滿足對(duì)權(quán)限的操控。

 

但面對(duì)成百上千人數(shù)的中大型企業(yè),部署身份和訪問管理系統(tǒng)是最常用的手段,身份和訪問管理(IAM)解決方案的授權(quán)方法各不相同,基于角色的訪問控制會(huì)比較常見。它涉及定義公司所需的角色,為每個(gè)角色指定權(quán)限,然后將用戶與角色進(jìn)行匹配,安全定義好的規(guī)則實(shí)現(xiàn)自動(dòng)化授權(quán)。比如在員工入職之后,系統(tǒng)會(huì)根據(jù)員工的角色自動(dòng)生成其權(quán)限。

 

細(xì)粒度授權(quán)也可以繼續(xù)升級(jí)至動(dòng)態(tài)的細(xì)粒度權(quán)限,動(dòng)態(tài)授權(quán)會(huì)結(jié)合人的屬性、環(huán)境、設(shè)備等多種因素來(lái)判斷權(quán)限,單一屬性的變化都會(huì)導(dǎo)致權(quán)限變化。動(dòng)態(tài)細(xì)粒度授權(quán)能有效提升企業(yè)管理,并減少數(shù)據(jù)泄露風(fēng)險(xiǎn)。

 

在網(wǎng)絡(luò)威脅更加多元化的今天,企業(yè)對(duì)安全的需求與日俱增。派拉結(jié)合多年的身份安全實(shí)踐經(jīng)驗(yàn)和對(duì)技術(shù)的精益求精,推出一體化零信任安全解決方案,在統(tǒng)一身份管理的基礎(chǔ)上,建立統(tǒng)一授權(quán)中心,實(shí)行基于“屬性”的動(dòng)態(tài)授權(quán)體系,滿足零信任架構(gòu)下更加“細(xì)粒度”的權(quán)限管控需求。