如何选择身份和访问管理架构?

日期: 2010-09-20 作者:Randall Gamby翻译:曾芸芸 来源:TechTarget中国 英文

问:目前的身份管理产品所使用的方法可以分为两种:以供应商为中心(provider-centric)和以用户为中心(user-centric)。这两种方法都有它们自己的局限,作为这个领域的专家,您能给我们提供一个可以解决身份管理问题的新模式吗?关于这两种模式,您觉得哪种更安全?   答:实际上,我的身份和访问管理架构,既使用以供应商为中心(provider-centric)的方法,又使用以用户为中心的(user-centric)方法。就像你用手拉橡皮筋一样,不管你是用左手拉还是右手,橡皮筋的延伸长度都是一样的。   使用以供应商为中心的方法,你必须在所有的系统上使用一致的安全策略、过程和访问。

要……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:目前的身份管理产品所使用的方法可以分为两种:以供应商为中心(provider-centric)和以用户为中心(user-centric)。这两种方法都有它们自己的局限,作为这个领域的专家,您能给我们提供一个可以解决身份管理问题的新模式吗?关于这两种模式,您觉得哪种更安全?

  :实际上,我的身份和访问管理架构,既使用以供应商为中心(provider-centric)的方法,又使用以用户为中心的(user-centric)方法。就像你用手拉橡皮筋一样,不管你是用左手拉还是右手,橡皮筋的延伸长度都是一样的。

  使用以供应商为中心的方法,你必须在所有的系统上使用一致的安全策略、过程和访问。要是有这样一个身份管理环境,即在不同的系统上访问相同的信息时需要使用不同的权限,这就提高了暴露的风险。

  法规也要求两者都要使用,一些法规规定如何管理个人的访问/拒绝授权或未授权的信息——如HIPAA或PCI DSS,而其它的一些法规则考虑应用程序和服务中信息的丢失或暴露,如州际身份泄露法。对于身份管理,我觉得两个方面都要抓:我个人认为要保持两个身份认证架构。第一个是我所说的身份管理架构,采用以供应商为中心的方法;这是系统和服务预定义访问工作流和信息存储被定义的地方。另一个架构是用户访问架构,利用以用户为中心实时访问的方法,定义访问的一致性和监控。这两个架构中使用的组件有60-70%是相同的,但是看起来是完全不同的。通过同步执行这两个架构,我既可以解决以供应商为中心的问题,又可以解决以用户为中心的问题。

  对于,哪一个更安全,我要说的是,如果我不能使用两个,我会选择以用户为中心的方法(只是因为风险的范围)。如果我误配置了一个用户,我只影响一个用户。如果我弄乱了系统访问控制,它会影响大多数用户群。通常情况下,以供应商为中心的方法为主,然后是以用户为中心的方法:此外,在你确定一些人如何访问它们之前,你必须知道你需要保护的资源。

  另外,基于角色的访问可以用作这两种方法的桥梁 。通过将用户职责和功能与提供的服务相匹配,角色能很容易定义,可以成为这两个架构之间的中心点。

相关推荐

  • 访问控制的演进:挖掘基于属性的身份管理的潜能

    TechTarget记者采访了Radiant Logic公司销售和业务发展副总裁Dieter Schuller,与其共同探讨了基于属性的身份管理的潜能。

  • 金融行业安全指导

    安全是金融行业永远的话题。现在网络犯罪分子们越来越多的利用综合渠道,包括网络,手机,邮件等,制造机会,跟踪欺诈消费者。本技术手册将从三个方面为您提供详细的安全策略,包括:金融安全风险及挑战,案例学习:金融安全启示录和金融安全最佳实践。

  • 自助式身份管理缺陷和应对措施

    实施IAM自助服务的风险是巨大的。那么有什么方法可以用来减轻风险,从而达到我们可以接受的限度呢?

  • 自助式身份管理风险:IAM数据质量

    随着身份管理人员工作量的不断增加,许多机构都在寻找一种自助式的身份管理模式,这种模式使IT终端用户能够管理自己的身份管理文件和访问。