如何選擇身份和訪問管理架構?
問:目前的身份管理產品所使用的方法可以分為兩種:以供應商為中心(provider-centric)和以用戶為中心(user-centric)。這兩種方法都有它們自己的局限,作為這個領域的專家,您能給我們提供一個可以解決身份管理問題的新模式嗎?關于這兩種模式,您覺得哪種更安全?
答:實際上,我的身份和訪問管理架構,既使用以供應商為中心(provider-centric)的方法,又使用以用戶為中心的(user-centric)方法。就像你用手拉橡皮筋一樣,不管你是用左手拉還是右手,橡皮筋的延伸長度都是一樣的。
使用以供應商為中心的方法,你必須在所有的系統上使用一致的安全策略、過程和訪問。要是有這樣一個身份管理環境,即在不同的系統上訪問相同的信息時需要使用不同的權限,這就提高了暴露的風險。
法規也要求兩者都要使用,一些法規規定如何管理個人的訪問/拒絕授權或未授權的信息——如HIPAA或PCI DSS,而其它的一些法規則考慮應用程序和服務中信息的丟失或暴露,如州際身份泄露法。對于身份管理,我覺得兩個方面都要抓:我個人認為要保持兩個身份認證架構。***個是我所說的身份管理架構,采用以供應商為中心的方法;這是系統和服務預定義訪問工作流和信息存儲被定義的地方。另一個架構是用戶訪問架構,利用以用戶為中心實時訪問的方法,定義訪問的一致性和監控。這兩個架構中使用的組件有60-70%是相同的,但是看起來是完全不同的。通過同步執行這兩個架構,我既可以解決以供應商為中心的問題,又可以解決以用戶為中心的問題。
對于,哪一個更安全,我要說的是,如果我不能使用兩個,我會選擇以用戶為中心的方法(只是因為風險的范圍)。如果我誤配置了一個用戶,我只影響一個用戶。如果我弄亂了系統訪問控制,它會影響大多數用戶群。通常情況下,以供應商為中心的方法為主,然后是以用戶為中心的方法:此外,在你確定一些人如何訪問它們之前,你必須知道你需要保護的資源。
另外,基于角色的訪問可以用作這兩種方法的橋梁 。通過將用戶職責和功能與提供的服務相匹配,角色能很容易定義,可以成為這兩個架構之間的中心點。
【編輯推薦】
