04-零信任安全-ACA(二)

本文涉及的产品
注册配置 MSE Nacos/ZooKeeper,118元/月
Serverless 应用引擎免费试用套餐包,4320000 CU,有效期3个月
性能测试 PTS,5000VUM额度
简介: 04-零信任安全-ACA(二)

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程04-零信任安全-ACA(二)

课程地址:https://edu.aliyun.com/course/3111981/lesson/18867


04-零信任安全-ACA(二)


四、核心能力-统一身份IDAAS零信任的身份底座

核心的能力首先是 idaas, idaas 是零信任架构的身份底座,它主要用来实现统一身份集中的权限管理以及动态授权所有的主体包括人员、设备、应用服务,去访问这些客体,也就是像应用、功能、服务数据等,都需要通过策略控制器去对身份去进行确认,才可以获得确认,才能够去进行访问,任何设备就是任何访问的主体, 设备跟用户在使用之前都需要先取得认证,取得授权才能够被信任。并且 idaas依赖于多属性的维度来评估,来决策,来进行访问控制,那通过像身份属性、设备属性等这些跟访问相关的上下文的参数来构成信任的基础,只有满足了对应的信任等级,才能够被赋予相应的访问权限。 所以简单来讲,idaas是一款集中的这种身份权限跟应用去进行管理的服务,所以idaas最主要的作用就是进行身份和应用的打通。

图片95.png

比如像我们这里所列举出的,我们可能来自四面八方的用户,可能是公司自己的员工、分公司的员工,或者是一些授权的用户等。通过不同的手段,比如通过手持设备,一些特殊的手持应用,比如像钉钉,一些内部的 IM 工具,或者是有一些是基于这个 Web 提供的一些这种服务, H5 的页面,或者是有一些专门的 PC 端的应用等,可能有各种应用,登录到 APP 集团或者公司自己的这个相关的一些服务里,服务可能有很多种,比如像钉钉可能会还有他自己的集团门户,可能有各种各样的应用,比如我们前面介绍的那个案例,它有 20 多个内部应用这时利用 idaas 去进行这几个事情,统一身份的管理,统一账号的管理,包括像身份认证、单点登录、权限管理、动态授权等,像这些去打通这些身份以及应用,就可以实现一个 ID 登录所有的业务系统、业务服务,这个就是idaas的核心能力。

图片96.png

 

五、核心能力-统一身份

再看统一身份的重要性, idaas去打通各个系统来解决多个系统身份割裂的问题,所以能够实现一个 ID 一处生效,消除身份孤岛的问题。这个在现在是非常重要的技术,因为直到目前为止,我们可以发现数据泄露的最大威胁,它往往不是来自于外部的恶意攻击,但外部的恶意攻击肯定是一个很重要的因素,但是内部人员的威胁其实是不断的在涌现,并且可能产生出更大的破坏力所以员工从入职到离职,我们如何来确保正确的人在正确的时间,用正确的权限来去做正确的事情,这是非常的重要的。


所以统一身份既可以解决这个系统身份割裂的问题,同时也能解决这种使用权限的这个安全性上的问题。

图片97.png

再看另外一个核心能力,多因素认证和单点登录, idaas提供了多样化的认证方式,我们上面列出许多种,密码、邮件,甚至指纹或者钉钉等,并且这多样的认证方式只需要通过简单的配置就能够实现,并且可以自由来组合,比如超过两个这种认证方式结合在一起,就构成了多因素,这样就能满足我们的认证安全需求,并且可以根据用户的安全状态来自动开启二次的认证 idaas同时也支持SSO,也即单点登录。 前面也分析了企业可能会由于一些原因,比如像部门之间相互独立,或者是我的应用跟应用之间需要做一些隔离等,就存在着可能有多套应用系统,甚至是多个阿里云账户之间去进行这种隔离,会多个账户,多个应用这样的场景,这时我们使用的时候就需要频繁去进行切换,影响了工作效率。


那么 idaas提供了单点登录功能,并且支持了很多种主流的标准的单点登录协议,这样我们只需要登录一次idaas控制台,没有就不需要去切换账号,就可以去实现一处登录的效果可以畅通所有访问权限。

图片98.png

我们再学习 idaas 的另外一个核心能力就是统一的权限管理,也就是谈到idaas的权限系统的这个设计, idaas的权限系统的架构依赖于RBAC跟ABAC 这两种模型的组合,RBAC是一种传统的这种授权方式,这是传统的授权模型,它是这几个单词的缩写。


roll 就是角色 roll based assess control,也就是基于角色的权限访问控制。 在 RBAC 这个思想里面就是用户跟角色相关联,而角色是代表了一系列权限的集合,所以一旦用户跟某个角色相绑定,它就自动的获得了这些权限,ABAC后面的BAC一样的都是 best assess control,a 就变成了attribute,也就是标签或者叫属性,基于用户可以去打属性标签,也就是拥有这个标签的员工就可以自动的去获得这个权限。


综合来说就是idaas不仅支持按角色来授权,同时也可以支持按用户的属性来直接进行授权,这个时候让用户的授权就变成更加的精细,也更加的便捷,非常的灵活。

 

六、核心能力-动态授权

零信任办公解决方案的另外的一个核心能力,叫做动态授权,这个能力主要是基于云安全访问服务,我们叫做 SASE 这个产品来实现。在动态授权的这个能力里,它主要是根据上下文来去关联分析动态来发网络控制的策略。这样通过感染隔离终端的漏洞修复,或者基线和规划各种手段来保护我们的网络安全。 我们的各种访问的客体,无论是人、设备在任何的时间、任何地点做了哪些操作,这些操作是不是合规,有没有威胁,有没有漏洞,这些都是基于我们阿里云的可信分析引擎就可以分析出,并且我们可以配置对应的智能响应处置的方式,比如一键隔离这种有问题的用户和设备,或者说直接封禁、禁止调查,同时可以把这些可能有问题的操作或者有问题的文件把它放到隔离区。


修改网络的访问权限,就是身份设备发生变化,权限会动态的变化,同时一旦被这种威胁或者是这种不合规的情况出现,会对用户或者设备去进行对应的分析。

图片99.png

SASE 还有另外的一个核心能力,就是在内网访问这块做出了一些支持。传统的模式底下内网访问可能存在的这样一些问题,比如资源难以管控,不支持这种精细化访问的这种问题,可以通过应用引申的方式来进行安全保护。传统 VPN 的扩容周期比较长,又不是很稳定还不好用,这SASE提供了这种免运维的这样的能力,并且支持动态扩缩容,所以这种网络访问一定是更好用的。


再来传统的 VPN 普遍会存在单点故障,而我们 SASE所提供的内网访问能力自带分布式架构,并且可以实现多点的智能寻路,天然就是高可用的。


最后一点是传统的方式,它存在着跨地域访问,网络质量比较差的问题,针对这种问题,那么 SASE 提供了访问加速的功能,依赖阿里云覆盖在全国的各个 pop 点或者是边缘的安全节点,或者是我们访问这个客户端时,提供这种智能选路网络加速的能力,这样保证我们无论在什么时间什么地点都能够去享受更快速、更稳定、更安全的这种办公体验。

图片100.png

SASE 还提供了办公数据保护的功能,这是一种轻量型的 DLP 轻低轻量型的数据防泄漏的技术,它主要提供了四个方面的能力,第一个是外发途径的梳理与管控,它同样是依赖于阿里云的威胁情报数据,可以让我们去控制我们的员工去外发一些文件,外发一些数据的时候去做一些管控。


第二个对外设去进行一些管控,比如我们可以去控去管控员工的电脑,不能够去非法的去插入一些不允许的设备,比如像 USB 的设备,水印管理则是指在这个办公数据保护的功能里面提供了就是去检测屏幕的水印跟打印的水印,来保障我们的办公数据安全,云分析引擎就是阿里云的云端的可信分析引擎。

图片101.png

相关文章
|
云安全 人工智能 安全
04-零信任安全-ACA(一)
04-零信任安全-ACA(一)
142 0
|
存储 运维 安全
阿里云认证为什么那么多人考?哪个证书含金量高?
为什么现在阿里云占市场的份额最多?为什么阿里云的证书含金量那么高?
|
分布式计算 数据可视化 搜索推荐
阿里云ACA认证证书有什么用?含金量怎么样?
阿里云作为国内云计算行业的龙头老大,其旗下的认证证书含金量是非常高的,今天主要针对ACA证书进行介绍。
3366 0
阿里云ACA认证证书有什么用?含金量怎么样?
阿里云ACA认证是不是很简单?怎么样能考过?
对于很多应届毕业生来说,在即将踏入社会时,最需要的就是能丰富自己简历的工具,尤其是对于IT行业的人来说,刚毕业能不能获得进入互联网大厂的机会,是至关重要的;另一方面,很多工作了几年后想转行的人,自己本身没有什么基础,但还是想进入IT这个高薪行业来给自己的人生带来新现象。
1544 0
阿里云ACA认证是不是很简单?怎么样能考过?
|
云安全 人工智能 弹性计算
为什么说阿里云认证的含金量高?
云计算行业是未来最热门的行业之一,而且下一个十年,是云计算行业蓬勃发展的十年,很多人想进入这一行,那就不得不提到一个好帮手,业内含金量很高的阿里云认证证书。
2139 0
为什么说阿里云认证的含金量高?
|
云安全 人工智能 Cloud Native
关于阿里云aca和acp哪个好?阿里云认证证书有含金量吗?
由于网络的变迁,为网络行业的兴起提供了很好的发展。在其中出现了更多的新职位,从而为许多人创造了更大的就业机会,与此同时也增加了就业竞争。 那么接下来跟随着认证大使的小编一起了解下关于阿里云aca和acp哪个好?
2191 0
关于阿里云aca和acp哪个好?阿里云认证证书有含金量吗?
|
云安全 人工智能 架构师
阿里云认证ace的含金量高吗?阿里云认证ace的作用
阿里云认证ace证书是近几年出现的新词汇,至于阿里云认证ace证书是起到什么作用我们就不是很了解了,今天认证大使工作人员为我们介绍一下阿里云认证ace的含金量高吗?
2959 0
阿里云认证ace的含金量高吗?阿里云认证ace的作用
|
分布式计算 数据可视化 搜索推荐
什么是阿里云aca认证,阿里云aca认证有用吗
现在的就业形势比较严峻的,很多行业没有相应的证书、认证是根本就进不去的。虽然说能力不一定跟证书、认证相匹配,但是毕竟这是了解一个人是否具备相应能力的凭证。在互联网行业里,有一个认证是很多人都听说过,并且认可的,那就是阿里云aca认证。作为阿里云认证中最基础的一个,到底有没有用?今天就让认证大使为大家介绍什么是阿里云aca认证,阿里云aca认证有用吗。
2036 1
什么是阿里云aca认证,阿里云aca认证有用吗
|
云安全 存储 运维
阿里云ACA认证,最具价值的认证
(Apsara Clouder)技能认证是阿里云大学2017年6月推出的,轻量化、碎片化的在线学-练-考一体化模式的认证,让更多关注云计算、大数据、云安全技术的开发者们,能够快速上手了解对应的技能,并学以致用。让价值变现大数据+云计算+云安全助你得到梦想中的offer。
502 0
|
弹性计算 负载均衡 监控
阿里aca认证证书含金量怎么样,认证需要具备哪些能力
现如今人们想找到一个好工作是非常重要的,在我们的简历中有一个证书是非常重要的,阿里云aca认证证书就受到很多企业的关注,让认证大使给大家介绍一下阿里云aca认证证书含金量怎么样吧。
1029 0
阿里aca认证证书含金量怎么样,认证需要具备哪些能力