認(rèn)證授權(quán)雙保駕，身份管理的選擇關(guān)鍵——華為云 OneAccess 應(yīng)用身份管理服務(wù)

一、數(shù)據(jù)暴露和辦公場分散帶來訪問控制挑戰(zhàn)

遠(yuǎn)程辦公全球化使「身份安全管理」愈加重要：

·潛在的網(wǎng)絡(luò)威脅不斷增多，從內(nèi)部員工無意的錯(cuò)誤操作到外部黑客的有意攻擊，任何差池都可能導(dǎo)致企業(yè)資料被盜用或損壞，甚至引發(fā)大范圍網(wǎng)絡(luò)安全事件。對企業(yè)而言，建立完善可靠的身份安全防護(hù)機(jī)制非常必要。

·有效的身份管理機(jī)制能夠確保獲授權(quán)的用戶才可訪問或修改特定資源，并記錄每步操作，為企業(yè)數(shù)據(jù)安全提供雙重保險(xiǎn)。基于角色的權(quán)限分配模型（RBAC）是一種廣泛使用的身份管理方法，它可準(zhǔn)確規(guī)定出特定職位或角色分配到特定權(quán)限，讓管理清晰、簡單。

·智能化身份管理體系可切實(shí)提升業(yè)務(wù)質(zhì)量，自動(dòng)處理應(yīng)用訪問和賬號(hào)鑒權(quán)問題。員工無需記住數(shù)不清的密碼，管理員亦無須手動(dòng)審查每項(xiàng)訪問請求，他們可將精力放在更重要的任務(wù)上，如開發(fā)新服務(wù)或改進(jìn)現(xiàn)有服務(wù)等。

身份管理是所有企業(yè)應(yīng)給予關(guān)注和資源投入去處理的嚴(yán)肅課題。華為云 OneAccess 針對挑戰(zhàn)，提供化解良方！

華為云應(yīng)用身份管理服務(wù) OneAccess是貫穿企業(yè)/政府全業(yè)務(wù)流程的身份訪問管理系統(tǒng)，提供集中式的數(shù)字身份管理、認(rèn)證、授權(quán)、監(jiān)控和審計(jì)平臺(tái)，保證合法的用戶、以適當(dāng)?shù)臋?quán)限訪問受信任的的系統(tǒng)（應(yīng)用）和設(shè)備，并對異常訪問行為進(jìn)行實(shí)時(shí)預(yù)警和有效防范，為企業(yè)/政府構(gòu)建“零信任”的安全架構(gòu)提供基礎(chǔ)。

在訪問安全方面，華為云 OneAccess 通過用戶行為分析（UBA），持續(xù)監(jiān)控網(wǎng)絡(luò)活動(dòng)，并立即識(shí)別出與既定模式不符的行為。當(dāng)檢測到潛在風(fēng)險(xiǎn)或違規(guī)操作時(shí)，系統(tǒng)會(huì)同步發(fā)出預(yù)警，及時(shí)防止信息被非法訪問或泄露。

它實(shí)現(xiàn)了基于角色的權(quán)限策略管理，能清晰、精準(zhǔn)地定義每個(gè)身份可訪問的特定資源，及可進(jìn)行的操作。這個(gè)設(shè)計(jì)不僅大幅簡化系統(tǒng)管理員的工作，同時(shí)避免因權(quán)限過度導(dǎo)致的安全問題。

其彈性伸縮機(jī)制可靈活適應(yīng)業(yè)務(wù)變更，滿足企業(yè)不斷增長和演進(jìn)的需求。例如，業(yè)務(wù)在快速擴(kuò)張等突發(fā)情況下，華為云 OneAccess 能夠批量動(dòng)態(tài)調(diào)整認(rèn)證服務(wù)數(shù)量，杜絕企業(yè)組織擴(kuò)張帶來的認(rèn)證阻塞等隱患。

二、華為云 OneAccess 特點(diǎn)分析及價(jià)值

用一套機(jī)制實(shí)現(xiàn)數(shù)字身份管理、認(rèn)證、授權(quán)、監(jiān)控、審計(jì)，保證合法用戶以適當(dāng)權(quán)限訪問受信任的設(shè)備和應(yīng)用，有效防范異常訪問行為并實(shí)時(shí)預(yù)警。——華為云 OneAccess 安全管理「全生命周期企業(yè)身份」

1.用戶行為分析(UBA)：華為云 OneAccess 收集并分析操作日志、活動(dòng)記錄等信息，智能識(shí)別用戶行為模式是否正常，自動(dòng)捕獲潛在風(fēng)險(xiǎn)及時(shí)報(bào)告潛在惡意活動(dòng)。例如，某個(gè)員工突然跨部門嘗試暴力訪問內(nèi)部資源，華為云 OneAccess 將當(dāng)即發(fā)出預(yù)警并自動(dòng)阻斷該類動(dòng)作，加強(qiáng)企業(yè)數(shù)據(jù)資產(chǎn)保護(hù)。

圖1管控流程示意圖

2.角色權(quán)限控制:以「角色授權(quán)」策略匹配組織結(jié)構(gòu)和職責(zé)，結(jié)合華為積累多年的網(wǎng)絡(luò)安全經(jīng)驗(yàn)和 AIGC 實(shí)踐，華為云 OneAccess 采取多因素認(rèn)證(MFA)、單點(diǎn)登錄(SSO)、權(quán)限無縫銜接等技術(shù)，滿足精細(xì)化、標(biāo)準(zhǔn)化的權(quán)限分配需求，形成綜合防御體系保護(hù)企業(yè)內(nèi)部數(shù)據(jù)，并簡化權(quán)限管理。

圖2智能訪問防控示意圖

3.彈性擴(kuò)展機(jī)制：提供角色訪問控制（RBAC）模型，管理員可自定義不同角色對應(yīng)權(quán)限，在企業(yè)業(yè)務(wù)即將或正在經(jīng)歷變化期間，按需對身份源進(jìn)行臨時(shí)或長期變更，無論企業(yè)體量增減，華為云 OneAccess 都能確保企業(yè)內(nèi)部連續(xù)穩(wěn)定運(yùn)行，不出紕漏。

圖3貫穿企業(yè)身份全生命周期安全示意圖

4.無死角防護(hù)：受益于華為技術(shù)專家團(tuán)隊(duì)支持，華為云 OneAccess 在身份驗(yàn)證領(lǐng)域具顯著優(yōu)勢。不僅支持如靜態(tài)密碼、OTP、二維碼、短信、手勢驗(yàn)證、生物特征驗(yàn)證，且可協(xié)同移動(dòng)設(shè)備認(rèn)證，通過移動(dòng)端 APP 采集設(shè)備數(shù)據(jù)作能力比對，以多樣化認(rèn)證最大限度實(shí)現(xiàn)全方位「無感驗(yàn)證」。

圖4認(rèn)證框架示意圖

5.清除冗余建設(shè)：華為云 OneAccess 減少安全事件導(dǎo)致的經(jīng)濟(jì)損失的同時(shí)，關(guān)注節(jié)省用戶成本，采用統(tǒng)一身份管理平臺(tái)和應(yīng)用導(dǎo)航門戶整合分散環(huán)節(jié)的建設(shè)，讓企業(yè)降低 IT 成本，釋放投資空間。

圖5集中式導(dǎo)航示意圖

提倡先進(jìn)實(shí)戰(zhàn)技術(shù)創(chuàng)新，華為云 OneAccess 是企業(yè)成功通往數(shù)字換轉(zhuǎn)型，釋放核心競爭力的關(guān)鍵。

三、華為云 OneAccess 適用范圍

華為云 OneAccess 主要面向需進(jìn)行身份管理、提升網(wǎng)絡(luò)訪問安全，改良數(shù)字化組織結(jié)構(gòu)的機(jī)構(gòu)與企業(yè)。具體包括：

1.大中小型企業(yè)

無論規(guī)模大小,華為云 OneAccess 都能為機(jī)構(gòu)內(nèi)部的網(wǎng)絡(luò)安全保駕護(hù)航，特別是對于擁有大批員工和敏感數(shù)據(jù)的企業(yè)來說，身份管理服務(wù)尤為重要。

2.政府機(jī)關(guān)

通常涉及公民信息處理，因此訪問安全是前提，可靠有效的網(wǎng)絡(luò)身份管理工具是必備。

3.教育機(jī)構(gòu)

學(xué)校等教育機(jī)構(gòu)的人員信息流動(dòng)和諸多在線資源需求，要求身份管理環(huán)境安全。

4.醫(yī)療行業(yè)

醫(yī)療行業(yè)在處理患者隱私信息時(shí)，各團(tuán)隊(duì)會(huì)嚴(yán)格遵循人員安全標(biāo)準(zhǔn)，同時(shí)高效協(xié)作。華為云 OneAccess 可對此進(jìn)行同步約束。

5.IT 行業(yè)及其他

IT 行業(yè)以及其他關(guān)注身份安全并希望提高員工生產(chǎn)力和工作效率的行業(yè)。例如，在數(shù)字化轉(zhuǎn)型的討論中，IT 管理人員會(huì)尋找解決方案用于改進(jìn)身份和訪問管理；在企業(yè)安全培訓(xùn)中，決策者期望通過升級現(xiàn)有系統(tǒng)提升訪問安全；再如用戶購買新業(yè)務(wù)軟件時(shí)，希望該軟件的身份認(rèn)證環(huán)節(jié)能無縫銜接舊系統(tǒng)；面對上述訴求，華為云 OneAccess 隨需應(yīng)變，制定靈活的解決方案。華為云 OneAccess 的能力范圍不限于上述領(lǐng)域，還包括線上市場營銷，如產(chǎn)品網(wǎng)站介紹、在線研討會(huì)、郵件推廣、SaaS 或云服務(wù)市場等。此外，也可在各類行業(yè)展覽會(huì)或技術(shù)論壇的宣傳推廣活動(dòng)中鋪開使用。

華為云OneAccess提供統(tǒng)一身份訪問管控平臺(tái)，進(jìn)行企業(yè)精細(xì)化權(quán)限控制，支持自定義策略。無論是技術(shù)實(shí)現(xiàn)或用戶體驗(yàn)均獨(dú)具特色，下一期將就其服務(wù)的企業(yè)收效、用戶反饋等業(yè)務(wù)現(xiàn)狀進(jìn)行梳理評估，作客觀呈現(xiàn)。

審核編輯 黃宇