12.6 权限过程权限(entitlement112)过程始于将业务需求和安全需求转化为可以对云系统不同方面进行授权和访问治理的一系列的规则。接下来,这个过程将定义可以满足正确评估授权规则的身份和属性。授权过程和导出的规则不仅仅需要驱动对云系统的授权和CCSK访问管理,同时它们可以确定对于云体系全部层面的协商/授权的程度,例如,允许的网络和/或系统层的协议和接口。权限过程需要嵌入到所有业务需求文档和技术需求文档中。
DevOps认证
同时,需要作为来自云厂商提供或 “上线(customer on-boarding)”流程的一个组成部分。云服务一旦启动和运行后,权限过程就不会停止,但是必须对支撑授权和访问的授权规则及其后续规则进行定期的检查评审。授权过程必须依据业务需求由业务的“系统拥有者”进行审计。任何的审计必须包括威胁和风险评估以及法律方面的要求。当前,自动化地将高级安全策略转化为(低级)技术访问规则的手段包括:模式驱动的安全 118,工具支撑的将安全需求模型化,需要高层次的抽象和使用系统可获得的其他信息源(由其他利益相关者提供)将技术访问规则聚合为同类型的分组来降低复杂性使得技术策略更容易被理解的可视化尝试.权限过程需要对使得授权和访问决策具有意义的实体、身份和属性下定义。同时,需要对要么作为过程中固化的一部分,要么具有临时特点的属性下定义,为此,要么经过一定的时间间隔后重新获得,或通过强制触发获得。如果权限过程中所定义的身份和属性来自业务控制之外,那么身份提供者(实体)的机构身份(标识)也必须上线,并(在之后的某个时候)下线。通常,权限规则会在如下三个其中之一的地方解释:1. 使用内部/外部策略执行点/策略服务器/策略即服务2. 作为云应用的一部分嵌入3. 使用身份即服务(IDaaS)Using a central/external Policy Enforcement point / Policy Server / Policy-as-a-Service12.7 授权与访问管理授权与访问管理是将权限规则(通过授权层)转换为访问管理规则的过程。在大部分基于云的系统中,授权层可能是一个“策略决策点(PDP)119”或评估和发布授权策略的点,同时访问管理层是执行 PDP 决策的点即,“策略执法点”(PEP)120。PDP 和 PEP 是使用 XACML121(eXtensible Access Control Markup Language)授权生态系统的一部分,作为在 XML 中执行的公开的访问控制策略语言。PEP 在云应用中可以像 IF(条件)语句一样的简单,也可以很高级复杂,就像运行在一个应用服务器或在一个 XML 网关过滤器之中用来解释访问请求的代理,收集必要的数据(属性)以至于可以评价授权规则,并制定和执行这些决策。这不是要求在云环境下必须使用 XACML,PDP 和 PEP 进行授权,其功能也可以通过其他方法(可能在一个封闭或私有的生态环境中)来实现。itil
PDP 可以在云环境之外的客户环境中执行。其潜在好处是与内部目录服务对接以及将围绕认证授权所做决策直接集成到内部日志系统中。
微信
收藏
转播
分享
淘帖
