网络攻防学习笔记 Day117

传统身份安全在数字化转型中有诸多问题亟需解决：

● 基础设施升级面临的身份安全管控挑战

● 接入人员和设备的多样性导致访问控制难度剧增

● 传统的网络边界隔离已凸显出不足

● 粗粒度权限达不到精细化访问控制要求

● 特权账号管控不力，导致大量危害性操作时有发生

● 集成度过低，难以适应大规模复杂场景的自动化身份管理需求

新一代身份安全的典型特征是以“数据驱动”的思想构建身份安全。在数字化场景下，新一代身份安全以泛化身份数据管理和资源属性管理为基石，采用基于属性的权限管理与访问控制技术路线，融入“零信任”安全理念设计访问控制体系，将数字身份同政企业务运行环境进行聚合，共同实现全场景数字化身份安全管理与访问控制能力。

新一代身份安全总体架构由多个组成部分构成，分别是身份管理与访问控制平台、动态的零信任访问控制、自动化身份管理与流程，以及本领域与云、网、端、数据等其他领域安全功能的集成。各部分的能力相互支撑，融为一个整体。整个体系的运行以身份安全规范及细则为准则，通过构建技术平台来支撑业务运营与安全保障。

应用代理可将代理的应用默认隐藏在代理网关后，并在代理后进行集中授权，同时可支持令牌传递，实现单点登录。应用代理可支持 HTTP、RDP、SSH、E-mail 等多种传输协议的代理，同时针对传统的应用提供基于 TCP 和 IP 的隧道接入能力。应用代理受动态访问控制平台的集中权限控制。

身份管理团队需要与业务部门进行更紧密的沟通协调，同时使业务部门和 IT 团队尽早参与到系统的建设过程中并深入评估对 IAM（身份访问与管理）的需求。与业务系统的沟通内容包括系统集成工作全流程，如管理需求确认、流程设计、数据梳理、集成测试联调和上线切换，避免由于性能瓶颈、区域自建或者网络隔离需求导致“烟囱式”的 IAM 建设。