SDP要求用戶拿出多種身份驗(yàn)證變量�����,比如時(shí)間、位置����、機(jī)器健康狀況和配置等,用以證實(shí)該用戶是否是其所聲稱的身份�����,或者驗(yàn)證用戶能否被信任�����。這一上下文信息可使公司企業(yè)識(shí)別出非法用戶——即便該用戶持有合法用戶憑證����。
訪問控制還應(yīng)是動(dòng)態(tài)的,能夠應(yīng)對(duì)風(fēng)險(xiǎn)和權(quán)限提升���。用戶與系統(tǒng)和應(yīng)用間的互動(dòng)是實(shí)時(shí)的。在會(huì)話中�,用戶可以執(zhí)行任意數(shù)量不同風(fēng)險(xiǎn)級(jí)別的事務(wù)。舉個(gè)例子����,用戶可以多次查看電子郵件�、打印機(jī)密文檔�,以及更新企業(yè)博客。當(dāng)用戶行為或環(huán)境發(fā)生變化時(shí)�����,SDP會(huì)持續(xù)監(jiān)視上下文����,基于位置、時(shí)間���、安全狀態(tài)和一些自定義屬性實(shí)施訪問控制管理�����。
SDP還應(yīng)能夠腳本化����,以便能夠檢查除設(shè)備信息之外的更多情況����。SDP需能收集并分析其他數(shù)據(jù)源��,以提供上下文�����,幫助進(jìn)行用戶授權(quán)動(dòng)作�����。這能確保在合法用戶試圖訪問新設(shè)備或不同設(shè)備上資源的時(shí)候�,有足夠的信息可供驗(yàn)證用戶并授權(quán)訪問����。
一旦用戶可被恰當(dāng)驗(yàn)證,也就是我們可以確信某用戶是財(cái)務(wù)部門的某某某而不是騙子或狗狗���,SDP就可以在用戶和所請(qǐng)求的資源間創(chuàng)建一條安全的加密隧道���,保護(hù)二者之間的通信。而且���,網(wǎng)絡(luò)的其他部分則被設(shè)為不可見。通過隱藏網(wǎng)絡(luò)資源���,SDP可減小攻擊界面�����,并清除用戶掃描網(wǎng)絡(luò)和在網(wǎng)絡(luò)中橫向移動(dòng)的可能性���。
最后�,因?yàn)楫?dāng)今IT環(huán)境的復(fù)雜性和巨大規(guī)模���,SDP需可擴(kuò)展并高度可靠����。最好是打造得像云一樣能夠容納大規(guī)模擴(kuò)展��,且是分布式和恢復(fù)力強(qiáng)的����。
保護(hù)訪問安全的關(guān)鍵,在于確保對(duì)手不能輕易盜取憑證以獲得訪問權(quán)����。我們需要SDP來區(qū)別已授權(quán)用戶和黑客。盡管有這種長期和必要的安全控制��,很多企業(yè)還是難以正確運(yùn)用,但又不得不理順并恰當(dāng)應(yīng)用�����。今天的SDP架構(gòu)中已經(jīng)容納了所有這些特性���。
全球信息網(wǎng)格黑核網(wǎng)絡(luò)詳情:
http://www.acqnotes.com/Attachments/DoD%20GIG%20Architectural%20Vision,%20June%2007.pdf
在線咨詢
在線咨詢
0371-63319761
