在局域网安全方面,我听说过“基于身份的网络”这个术语。身份管理和局域网安全之间的关系是什么?
“基于身份的网络”这个词实际上已经存在很多年了,指的是用户的身份以某种方式与用户可以接受的网络服务绑定在一起。例如,当无线局域网控制器首次出现时,他们应用了基于身份的网络概念,不仅对加入无线网络的用户进行身份验证,而且还将他们放入适当的虚拟局域网(vlan)。
身份管理(通常称为身份和访问管理(IAM))略有不同,尽管其目标相似。IAM系统在多个不同的应用程序中合并用户名和个人访问权限。IAM系统用于建立新的用户身份,在整个企业的应用程序中授予这些权限,然后在员工离开公司时消除这些身份和访问权限。
在与局域网安全的关系中,基于身份的网络的基本含义是相同的——基于用户的身份控制用户在局域网中的访问权限。当然,“身份”的概念已经扩大,IT部门现在有更多的选择来“控制”用户,而不是简单地将他们放入vlan中。
查看扩展控制选项的一种方法是查看NAC系统,它在过去几年里已经成为局域网安全的一个主要元素。NAC包括入学前和入学后的任务。预准入任务包括对用户进行身份验证和验证用户的机器是否符合公司安全策略。显然,身份验证和姿势检查是用户身份的有效组成部分。
录取后任务可以包括一些功能,如了解用户所属的组或在公司中的角色,将该角色与访问权限关联起来,并观察该用户的异常行为。许多这些录取后的任务还有助于定义用户的身份。当然,用户的角色或组成员关系是一个重要的组件,但在对该用户应用访问权限时,使用中的应用程序、用户位置和时间等元素也可以丰富用户身份的概念。
那么,为什么在今天的局域网安全中应用基于身份的网络有更多的选择呢?因为通过访问控制技术,IT可以在更细的基础上应用基于身份的控制。以前,identity等于username, control等于VLAN成员。现在,身份是一个更加丰富的概念,和控制更微妙的,一个用户可以去这些金融服务器而不是服务器存储的信用卡数据,访问这个web应用程序运行在端口80上但不是IM,艺术和发送照片文件通过FTP但不是Excel文件。
虽然大多数企业并不需要这些丰富的控件的每个方面,但在分配用户访问权限时从如此广泛的属性中进行选择的能力是下一波局域网安全工具的基础。
回到IAM系统,我想说明的是,在大多数情况下,直接将网络访问权限绑定到IAM系统目前还只是一个概念。局域网安全系统和IAM系统的部署都不够广泛,无法实际地结合在一起。但是,将用户的访问权限建立在丰富且不断变化的身份概念上的概念绝对是有意义的。
现在的任务是让你仔细思考在你的组织中什么应该构成“身份”,以及你想要进行什么样的控制。最终,基于身份的网络在每个企业中都有不同的含义——但每个企业都应该有能够根据需要定义它的工具。
有问题要问网络守护者吗?写封信给我们.