零信任安全架构的核心基础——统一身份认证

ningxueqin

　　统一身份认证系统(IAM:Identity Access Managent)，可以简单的理解为识别用户身份和访问控制的管理。

　　通过定义谁（身份）对哪些资源具有哪种访问权限（角色）来管理访问权限控制，是各类IT系统必不可少的基础安全管理机制和复杂云服务最核心的基础安全框架，是对资源提供可控安全的访问解决方案，是零信任安全架构的核心基础。

　　统一身份认证系统做为基础安全框架，至少具备这三大功能模块：身份认证模块、权限管理模块和安全审计模块。

　　身份认证

　　统一认证身份系统，在互联网开放融合背景下，用户行为、特征、爱好、社交属性、生物特征属性等标签共同组成了用户的数字身份，全面身份化，设备、应用、API等等物联身份支持，身份零信任架构打破旧式边界防护思维，引入MFA进行多次验证。

　　无法证明可被信任即无法获得权限，安全策略、用户属性、环境属性、其他风险因子等，对访问进行授权判定，得到一个信任等级，最终根据模型计算得出信任等级分配用户一个最小访问权限。

　　安全审计

　　跟踪记录谁在什么时间什么地点以什么样的方式做了什么，聚焦在及时发现和处理异常。

　　其中身份认证模块包含了统一身份认证服务和单点登录功能。建设多样化的身份认证手段，是提升业务系统安全性与灵活性的关键举措。统一身份认证的优点是，采用统一身份认证后，用户只需要使用同一用户名、同一令牌就可以登录所有允许他登录的系统，用户使用更加方便;从安全角度出发，管理人员可以在认证系统集中地对各个应用系统上的用户进行管理。