En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>細(xì)粒度權(quán)限> 細(xì)粒度授權(quán)二三事,你了解多少?

細(xì)粒度授權(quán)二三事,你了解多少?

文章

2021-08-27瀏覽次數(shù):173

隨著社會(huì)的高度發(fā)展,互聯(lián)網(wǎng)在生活中的應(yīng)用越來(lái)越多,尤其企業(yè)的數(shù)字化推進(jìn)使用戶(hù)數(shù)據(jù)越來(lái)越集中,隨著頻頻暴露的各類(lèi)網(wǎng)絡(luò)攻擊,企業(yè)對(duì)數(shù)據(jù)的重視程度與日俱增。對(duì)企業(yè)來(lái)說(shuō),數(shù)據(jù)中心每天都會(huì)有很多用戶(hù)數(shù)據(jù)進(jìn)入,雖然有用戶(hù)數(shù)據(jù)的涌入對(duì)企業(yè)來(lái)說(shuō)應(yīng)該是好事,但企業(yè)如何保證用戶(hù)數(shù)據(jù)訪問(wèn)和應(yīng)用程序的充分安全是關(guān)注的重點(diǎn)。很多數(shù)據(jù)泄露的主要原因在于員工,尤其數(shù)據(jù)在生產(chǎn)過(guò)程中,可能會(huì)因人為管理不善帶來(lái)各類(lèi)風(fēng)險(xiǎn),如內(nèi)部人員導(dǎo)致的數(shù)據(jù)泄露和暴露企業(yè)與個(gè)人隱私等。

 

即使很多企業(yè)正在部署或者已經(jīng)部署了管理用戶(hù)身份數(shù)據(jù)的系統(tǒng),這些系統(tǒng)絕大部分都缺乏顆粒級(jí)的授權(quán)支持,這也意味著企業(yè)在權(quán)限管理中會(huì)存在一些問(wèn)題,如:

 

■  同崗不同權(quán):系統(tǒng)授權(quán)管理沒(méi)有標(biāo)準(zhǔn)和公示,存在同崗不同權(quán),不申請(qǐng)就沒(méi)有權(quán)限的情況;

■  權(quán)限不公開(kāi):?jiǎn)T工自己并不知道自己已經(jīng)擁有和應(yīng)該擁有哪些權(quán)限;

■  權(quán)限變更慢:權(quán)限變更為“需求-響應(yīng)”模式,且人工調(diào)整需要大量時(shí)間;

■  離職交接不清:工作交接過(guò)程中需要人工確認(rèn)歷史數(shù)據(jù)的交接。

因此在企業(yè)的用戶(hù)身份和訪問(wèn)管理方面,需要顆粒級(jí)的授權(quán)來(lái)滿(mǎn)足安全需求,這也就是為什么細(xì)粒度授權(quán)被提及。細(xì)粒度授權(quán)也叫數(shù)據(jù)范圍授權(quán),即不同的用戶(hù)所擁有的操作權(quán)限相同,但是能夠操作的數(shù)據(jù)范圍是不一樣的, 比如說(shuō),部門(mén)經(jīng)理只可以訪問(wèn)本部門(mén)的員工信息,普通員工只可以看到自己權(quán)限內(nèi)的菜單,而大區(qū)經(jīng)理可以看到本區(qū)的銷(xiāo)售訂單。

 

只有經(jīng)過(guò)授權(quán),才能實(shí)現(xiàn)某些權(quán)限的操作,比如當(dāng)微信登錄成功后用戶(hù)即可使用微信的功能,比如,發(fā)紅包,發(fā)朋友圈,添加好友等,沒(méi)有綁定銀行卡的用戶(hù)是無(wú)法發(fā)送紅包的,綁定銀行卡的用戶(hù)才可以發(fā)紅包,發(fā)紅包功能、發(fā)朋友圈功能都是微信的資源即功能資源,用戶(hù)擁有發(fā)紅包功能的權(quán)限才可以正常使用發(fā)紅包功能,擁有發(fā)朋友圈功能的權(quán)限才能使用發(fā)朋友圈功能,這個(gè)根據(jù)用戶(hù)的權(quán)限來(lái)控制用戶(hù)使用資源的過(guò)程就是授權(quán)。認(rèn)證是為了保證用戶(hù)身份的合法性,授權(quán)則是為了更細(xì)粒度的對(duì)隱私數(shù)據(jù)進(jìn)行劃分,授權(quán)是在認(rèn)證通過(guò)后發(fā)生的,控制不同的用戶(hù)能夠訪問(wèn)不同的權(quán)限。

 

對(duì)企業(yè)來(lái)說(shuō),要解決數(shù)據(jù)安全管理,授權(quán)是很重要的環(huán)節(jié)。目前很多企業(yè)的授權(quán)采用的是人工授權(quán),假如企業(yè)人數(shù)不多,人工授權(quán)方式是最常見(jiàn)的管理方式之一,比如HR給新員工開(kāi)通郵箱賬號(hào),等員工轉(zhuǎn)正之后再給員工開(kāi)通其他權(quán)限。在人數(shù)不多的情況下,人為操作倒是可以滿(mǎn)足對(duì)權(quán)限的操控。

 

但面對(duì)成百上千人數(shù)的中大型企業(yè),部署身份和訪問(wèn)管理系統(tǒng)是最常用的手段,身份和訪問(wèn)管理(IAM)解決方案的授權(quán)方法各不相同,基于角色的訪問(wèn)控制會(huì)比較常見(jiàn)。它涉及定義公司所需的角色,為每個(gè)角色指定權(quán)限,然后將用戶(hù)與角色進(jìn)行匹配,安全定義好的規(guī)則實(shí)現(xiàn)自動(dòng)化授權(quán)。比如在員工入職之后,系統(tǒng)會(huì)根據(jù)員工的角色自動(dòng)生成其權(quán)限。

 

細(xì)粒度授權(quán)也可以繼續(xù)升級(jí)至動(dòng)態(tài)的細(xì)粒度權(quán)限,動(dòng)態(tài)授權(quán)會(huì)結(jié)合人的屬性、環(huán)境、設(shè)備等多種因素來(lái)判斷權(quán)限,單一屬性的變化都會(huì)導(dǎo)致權(quán)限變化。動(dòng)態(tài)細(xì)粒度授權(quán)能有效提升企業(yè)管理,并減少數(shù)據(jù)泄露風(fēng)險(xiǎn)。

 

在網(wǎng)絡(luò)威脅更加多元化的今天,企業(yè)對(duì)安全的需求與日俱增。派拉結(jié)合多年的身份安全實(shí)踐經(jīng)驗(yàn)和對(duì)技術(shù)的精益求精,推出一體化零信任安全解決方案,在統(tǒng)一身份管理的基礎(chǔ)上,建立統(tǒng)一授權(quán)中心,實(shí)行基于“屬性”的動(dòng)態(tài)授權(quán)體系,滿(mǎn)足零信任架構(gòu)下更加“細(xì)粒度”的權(quán)限管控需求。