开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:04-零信任安全-ACA(二)】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18867
04-零信任安全-ACA(二)
四、核心能力-统一身份IDAAS零信任的身份底座
核心的能力,首先是 idaas, idaas 是零信任架构的身份底座,它主要用来实现统一身份集中的权限管理以及动态授权,所有的主体包括人员、设备、应用服务,去访问这些客体,也就是像应用、功能、服务数据等,都需要通过策略控制器去对身份去进行确认,才可以获得确认,才能够去进行访问,任何设备就是任何访问的主体, 设备跟用户在使用之前都需要先取得认证,取得授权才能够被信任。并且 idaas依赖于多属性的维度来评估,来决策,来进行访问控制,那通过像身份属性、设备属性等这些跟访问相关的上下文的参数来构成信任的基础,只有满足了对应的信任等级,才能够被赋予相应的访问权限。 所以简单来讲,idaas是一款集中的这种身份权限跟应用去进行管理的服务,所以idaas最主要的作用就是进行身份和应用的打通。
比如像我们这里所列举出的,我们可能来自四面八方的用户,可能是公司自己的员工、分公司的员工,或者是一些授权的用户等。通过不同的手段,比如通过手持设备,一些特殊的手持应用,比如像钉钉,一些内部的 IM 工具,或者是有一些是基于这个 Web 提供的一些这种服务, H5 的页面,或者是有一些专门的 PC 端的应用等,可能有各种应用,登录到 APP 集团或者公司自己的这个相关的一些服务里,服务可能有很多种,比如像钉钉可能会还有他自己的集团门户,可能有各种各样的应用,比如我们前面介绍的那个案例,它有 20 多个内部应用,这时利用 idaas 去进行这几个事情,统一身份的管理,统一账号的管理,包括像身份认证、单点登录、权限管理、动态授权等,像这些去打通这些身份以及应用,就可以实现一个 ID 登录所有的业务系统、业务服务,这个就是idaas的核心能力。
五、核心能力-统一身份
再看统一身份的重要性, idaas去打通各个系统来解决多个系统身份割裂的问题,所以能够实现一个 ID 一处生效,消除身份孤岛的问题。这个在现在是非常重要的技术,因为直到目前为止,我们可以发现数据泄露的最大威胁,它往往不是来自于外部的恶意攻击,但外部的恶意攻击肯定是一个很重要的因素,但是内部人员的威胁其实是不断的在涌现,并且可能产生出更大的破坏力,所以员工从入职到离职,我们如何来确保正确的人在正确的时间,用正确的权限来去做正确的事情,这是非常的重要的。
所以统一身份既可以解决这个系统身份割裂的问题,同时也能解决这种使用权限的这个安全性上的问题。
再看另外一个核心能力,多因素认证和单点登录, idaas提供了多样化的认证方式,我们上面列出许多种,密码、邮件,甚至指纹或者钉钉等,并且这多样的认证方式只需要通过简单的配置就能够实现,并且可以自由来组合,比如超过两个这种认证方式结合在一起,就构成了多因素,这样就能满足我们的认证安全需求,并且可以根据用户的安全状态来自动开启二次的认证, idaas同时也支持SSO,也即单点登录。 前面也分析了企业可能会由于一些原因,比如像部门之间相互独立,或者是我的应用跟应用之间需要做一些隔离等,就存在着可能有多套应用系统,甚至是多个阿里云账户之间去进行这种隔离,会多个账户,多个应用这样的场景,这时我们使用的时候就需要频繁去进行切换,影响了工作效率。
那么 idaas提供了单点登录功能,并且支持了很多种主流的标准的单点登录协议,这样我们只需要登录一次idaas控制台,没有就不需要去切换账号,就可以去实现一处登录的效果可以畅通所有访问权限。
我们再学习 idaas 的另外一个核心能力就是统一的权限管理,也就是谈到idaas的权限系统的这个设计, idaas的权限系统的架构依赖于RBAC跟ABAC 这两种模型的组合,RBAC是一种传统的这种授权方式,这是传统的授权模型,它是这几个单词的缩写。
roll 就是角色 roll based assess control,也就是基于角色的权限访问控制。 在 RBAC 这个思想里面就是用户跟角色相关联,而角色是代表了一系列权限的集合,所以一旦用户跟某个角色相绑定,它就自动的获得了这些权限,ABAC后面的BAC一样的都是 best assess control,a 就变成了attribute,也就是标签或者叫属性,基于用户可以去打属性标签,也就是拥有这个标签的员工就可以自动的去获得这个权限。
综合来说就是idaas不仅支持按角色来授权,同时也可以支持按用户的属性来直接进行授权,这个时候让用户的授权就变成更加的精细,也更加的便捷,非常的灵活。
六、核心能力-动态授权
零信任办公解决方案的另外的一个核心能力,叫做动态授权,这个能力主要是基于云安全访问服务,我们叫做 SASE 这个产品来实现。在动态授权的这个能力里,它主要是根据上下文来去关联分析动态来发网络控制的策略。这样通过感染隔离终端的漏洞修复,或者基线和规划各种手段来保护我们的网络安全。 我们的各种访问的客体,无论是人、设备在任何的时间、任何地点做了哪些操作,这些操作是不是合规,有没有威胁,有没有漏洞,这些都是基于我们阿里云的可信分析引擎就可以分析出,并且我们可以配置对应的智能响应处置的方式,比如一键隔离这种有问题的用户和设备,或者说直接封禁、禁止调查,同时可以把这些可能有问题的操作或者有问题的文件把它放到隔离区。
修改网络的访问权限,就是身份设备发生变化,权限会动态的变化,同时一旦被这种威胁或者是这种不合规的情况出现,会对用户或者设备去进行对应的分析。
SASE 还有另外的一个核心能力,就是在内网访问这块做出了一些支持。传统的模式底下内网访问可能存在的这样一些问题,比如资源难以管控,不支持这种精细化访问的这种问题,可以通过应用引申的方式来进行安全保护。传统 VPN 的扩容周期比较长,又不是很稳定还不好用,这SASE提供了这种免运维的这样的能力,并且支持动态扩缩容,所以这种网络访问一定是更好用的。
再来传统的 VPN 普遍会存在单点故障,而我们 SASE所提供的内网访问能力自带分布式架构,并且可以实现多点的智能寻路,天然就是高可用的。
最后一点是传统的方式,它存在着跨地域访问,网络质量比较差的问题,针对这种问题,那么 SASE 提供了访问加速的功能,依赖阿里云覆盖在全国的各个 pop 点或者是边缘的安全节点,或者是我们访问这个客户端时,提供这种智能选路网络加速的能力,这样保证我们无论在什么时间什么地点都能够去享受更快速、更稳定、更安全的这种办公体验。
SASE 还提供了办公数据保护的功能,这是一种轻量型的 DLP 轻低轻量型的数据防泄漏的技术,它主要提供了四个方面的能力,第一个是外发途径的梳理与管控,它同样是依赖于阿里云的威胁情报数据,可以让我们去控制我们的员工去外发一些文件,外发一些数据的时候去做一些管控。
第二个对外设去进行一些管控,比如我们可以去控去管控员工的电脑,不能够去非法的去插入一些不允许的设备,比如像 USB 的设备,水印管理则是指在这个办公数据保护的功能里面提供了就是去检测屏幕的水印跟打印的水印,来保障我们的办公数据安全,云分析引擎就是阿里云的云端的可信分析引擎。