1、北京景安云信科技有限公司CTO云环境下的身份管理及访问控制目录 云环境下企业身份安全面临的挑战 云中一体化的IAM 最佳实践 身份安全的通力合作云环境下企业身份安全面临的挑战企业上云是大势所趋企业上云是大趋势，而安全则成了用户购买云服务的关键考量指标。增强的计算能力增强的计算能力不再局限于单台计算机，而是成千上万台计算机和服务器提供计算能力01无限的存储容量无限的存储容量存储空间可以动态扩展，存储资源以PB计算02降低企业运营成本降低企业运营成本让所有资源得到充分利用03动态可扩展动态可扩展依照流量特点即用即付04反应迅速准确反应迅速准确按需配置资源调配资源时间大幅缩短05简化维护简化维护资源

2、配置自动化、模板化06身份安全，不仅只有认证用户认证方式账号账号账号应用资源仅关注认证方式，是不够的统一的身份视图是强认证生效的基础条件如何绑定？用户云上资源融合，身份却是割裂的移动应用系统account虚拟机accountWeb云桌面accountSSHWebWebaccount用户AAD企业计算资源、中间件、应用迁移上云，云融合了多层次的资源，但各层次的身份管理、认证仍然是被切割的，形成了一个个孤岛，不仅低效，而且混乱。我们需要的是一个整体的一体化解决方案。这些问题你是否能够回答？能接触哪些数据？能管理哪些资源？访问过什么？能访问哪些应用，办理哪些业务？张三用什么访问的？看不见管不了删不掉

3、云身份管理面对的挑战网络设备网络资源计算资源存储资源数据中心应用基础资源服务云管理平台计算设备存储设备基础资源管控PaaS服务运维小组用户A资源管理者运营团队用户B数据库及中间件管理员应用管理员从属管理从属从属管理网络设备管理员授权授权应用管理者业务系统用户Dev-ops针对不同资源的不同授权模型应用资源统建应用、分支机构应用、对外服务应用PaaS服务数据库、中间件、消息服务、缓存云资源虚拟机、防火墙、存储、网络云基础设施物理机、交换机、路由器应用系统，账号归属于一个用户，适合用RBAC的授权模式。资源类型账户，例如云资源、基础设施、系统特权账户没有具体归属，需要ABAC的授权模式。不断新增的

4、认证因子应用安全等级+用户A3.绑定账号账号4.有权限访问1.拥有介质2.拥有生物特征？用户B如何处理账号与身份之间的多对多关系？如何升级原有认证方式？例如RSA-SM2各种灵活调整安全等级？如何引入新的认证方式？不同类型资源如何落地统一身份管理？认证权限决策权限执行账号/权限库独立的业务应用认证权限决策权限执行依赖外部账号/权限库的应用LDAP认证权限决策权限执行共享应用/服务账号/权限库权限执行共享应用/服务共享的开放服务、API共享特权账号的计算资源、中间件、数据库、管理平台遗留系统云中云中一体化的IAM云中一体化的IAMIAM授权访问策略管理身份认证身份管理风险控制管理优化审计数据应用

5、资源统建应用、分支机构应用、对外服务应用PaaS服务数据库、中间件、消息服务、缓存云资源虚拟机、防火墙、存储、网络云基础设施物理机、交换机、路由器企业级全平台SOC/态势感知BI统一身份与策略管理身份源管理身份联盟工作流注册与审批账号映射属性管理管理服务工作流权限申请策略管理绑定/解绑账号供给ABACRBAC 认证因子HR身份管理访问策略管理身份联盟管理员/用户账号连接器应用资源身份库策略库帐号库主身份库Radius其他身份源LDAP操作系统Wi-FiVPN连接器共享服务应用身份数据服务总线云资源的访问控制基于资源属性访问控制策略PrincipalResourceActionEffectCon

6、dition目标资源：PaaS、IaaS允许/不允许哪些操作？允许谁?身份、角色、组IP、时间、Tag云资源的无具体归属性，需要采用ABAC的授权模型PaaS服务数据库、中间件、消息服务、缓存云资源虚拟机、防火墙、存储、网络云基础设施物理机、交换机、路由器统一认证与多渠道的授权访问认证库用户虚拟机网络设备SSH应用资源单点登录接口PEPPDP移动Web共享应用移动WebPEPSTS代理网关开放式APIRESTWS访问策略认证因子PDP认证身份认证与授权访问属性服务RBACABACPEP会话管理账户映射身份库策略库帐号库认证服务化IAM应为认证因子的供应商提供标准接口，以便客户未来加入新的认证因

7、子。差异化认证策略平衡认证效率与认证强度标准协议的集成 采用国际标准的单点登录协议SAML、OpenID、CAS、Oauth等。IAM需要可动态扩展新的单点登录协议。不要使用密码代填。防跳墙 真正实现IAM的访问控制。审计、报告与分析 IAM通过唯一身份管理、统一身份认证，可收集基于访问主体的跨资源、应用、服务的访问审计记录。审计数据可为企业级安全平台SOC/态势感知提供准确的访问主体-终端-IP的映射关系，协助快速定位威胁，并且访问数据本身也有作为UEBA分析的价值。审计与访问数据同时也有利于企业进行业务型分析，信息系统使用频率，用户之间的使用差异、习惯都是宝贵数据。新一代 IAM 的技术选

8、择 采用互联网新技术：微服务，文档数据库，搜索引擎，无状态集群部署等轻量级构架。分布式部署：支持两地三中心异地多活跨地域部署模式。支持云部署、Docker部署、传统物理机部署。水平扩展能力：支持亿级别用户量，分布式部署模式。前后台分离：后台完全API化，灵活支持与其他系统的对接。JWT最佳实践共享权限不共享凭证基于策略的权限委托：仅授权部分访问权限，仅在有限时间、终端可进行访问，过期权限自动收回。AWS的最佳实践由企业IAM管理云平台运维人员的统一身份，不需要在云平台AM中创建账号。租户在云平台AM中创建访问控制策略，并在企业IAM中将访问控制策略分配给人、组、角色。企业IAM与云平台AM通过

9、SAML、OIDC建立身份联盟，企业IAM对用户进行统一认证，并以单点登录方式告知云平台AM当前登录用户的权限。大型集团 IAM 部署景安云信 云环境下的新一代IAM技术构架新 最新的技术构架 支持多种部署方式 平台化、服务化管理方式新 分级管理 分布式认证 突破传统的账户体系技术路线新 自主可控 核心掌握安全理念新 动态防御策略 手机安全令 多因子认证策略 关键操作保护审计方式新 安全行为感知 用户行为全景展示身份安全的通力合作IAM、门户、OA、ERP、甚至VPN都希望自己整合别人，而不是别人整合自己。别那么自恋，给企业多一点选择权，保持开放。系统的封闭性阻挡不了企业实施统一IAM的需求，封闭意味着将来被淘汰。保持一颗开放的心网络存储虚拟机数据库中间件计算服务APIIaaSPaaSSaaS企业多租户应用企业IAM云平台IAM身份联盟单点登录企业局域网资源SAML/JWT/OAuth.SAML/OIDC原有4A替代五年来，我一都是老大只有我最安全各位大哥，能开个接口不？身份认证安全的通力合作企业级全平台SOC/态势感知IAM厂商认证因子厂商应用资源云平台UBA专业厂商提供数据开放接口审计数据系统对接Another IAM身份联盟身份安全不可能由一个产品全部做完，不仅需要厂商之间的合作，也需要受访资源提供接口。只有通力协作，才有真正有可能实现有效的企业身份安全建设。谢谢