导读
目前,随着云计算和大数据的快速发展,身份与访问管理(Identity and Access Management,IAM)系统变得比以往任何时候都更加重要。因为涉密信息可能在几分钟内就被破解,网络犯罪分子仅需要一个员工账号,即可入侵企业系统,造成大量数据泄露。在此背景下,企业与组织纷纷引入IAM系统来保护其IT基础设施和数据资源。身份与访问管理系统的主要功能包括身份认证、授权管理、访问控制和审计跟踪等。其目的是帮助企业管理用户身份和权限,实现不同人员对不同资源的安全访问,避免因为操作不当而引发的越权风险。此外,随着企业规模的扩大和应用场景的多元化,现代化的IAM系统还需要支持企业组织架构的临时组合和调整,并能精确分析人员调配、业务调整、资源重组对企业发展带来的影响。
据市场研究公司Mordor Intelligence的报告显示,全球IAM市场规模预计将从2020年的241亿美元增长至2025年的426亿美元,年复合增长率达到12.2%。而在未来,受网络攻击和数据泄露等安全事件的影响,以及企业数字化转型和云计算应用的推进,IAM行业市场规模将呈现持续增长势头。但随着企业规模的扩大、IT系统数量和复杂度的增加,身份与访问管理系统变得越来越难以维护和管理。
当前,企业大多采用基于角色的访问控制(RBAC,Role-based Access Control)模型来开发身份与访问管理系统。RBAC是常见的访问控制模型,它是以角色为中心来管理权限,其基本思想为将用户分配到一个或多个角色上,而不是直接授予单独的权限。例如,管理员创建“经理”和“普通员工”两个角色,并赋予角色不同权限。管理员将“经理”角色分配给公司管理层成员,将“普通员工”角色分配给其他员工。这样,用户只能访问他们角色下的资源和信息,系统从而实现有效的访问控制。
图技术需求
在上述传统的身份与访问管理系统中,各种的成员信息、角色信息、权限信息、组织架构信息被存储在不同信息表中,在权限调用时需要进行跨表关联查询。而当今企业的业务模式复杂、组织架构灵活,通常面临跨地域、跨部门、跨权限的临时调整,系统查询时往往性能会十分缓慢,导致生产效率低下,严重影响用户体验。图数据库专注于数据间的关联关系,天然的善于处理此类实体层次多、关联查询复杂、模型动态变化的数据据,基于上述背景,将企业员工、角色、资源等数据抽象成实体,将资源的访问规则、实体间关联关系抽象成边,构建出身份与访问管理图谱,实现灵活动态的权限和访问控制。
以Galaxybase图数据库构建身份与访问管理图谱的基本原理图如下。
图模型构建
构建角色、职员、部门、资源的互联关系,可根据实际情况进行展开。部门按级别划分,一个部门由不同的岗位构成,不同部门对资源拥有不同的权限。职员可以继承所属部门的权限,管理者可以继承所管理成员的权限,同时面对临时情况,可以赋予特定角色特批权限。将角色、职员、部门、资源设置为点,角色与职员、角色与角色、角色与部门、部门与资源间的依赖关系设置为边。接下来使用Galaxybase图数据库来创建数据模型,点类型和点属性如下表所示。
| 点类型 | 属性 |
|---|---|
| 职员 | 工号、姓名、状态、年龄等 |
| 角色 | 角色ID、角色名称等 |
| 二级部门 | 二级部门ID、部门名称等 |
| 一级部门 | 一级部门ID、部门名称等 |
| 资源 | 资源编号、资源类型等 |
边类型、起始点类型、终止点类型如下表所示。
| 边类型 | 起始点类型 | 终止点类型 |
|---|---|---|
| 拥有 | 职员 | 角色 |
| 管理 | 角色 | 角色 |
| 归属 | 角色 | 二级部门 |
| 归属 | 角色 | 一级部门 |
| 一级权限 | 一级部门 | 资源 |
| 特批权限 | 角色 | 资源 |
| 可读不可写 | 二级部门 | 资源 |
| 可读可写 | 二级部门 | 资源 |
身份与访问管理模型如下图所示。
更多图模型构建方式请参考图构建 。
图谱应用 - 访问控制
职员在工作的过程中,可能会接触到个人权限之外的任务,面临这种情况,系统应该根据实际需求灵活赋予所需权限,及时推进项目的运行。举例,职员CL02正在填写项目申请,需要调用涉敏资源A,而其上级领导职员CL01对涉敏资源A拥有权限,职员CL02可向上级领导职员CL01申请,系统特批权限,避免特权调用情况。上文所建图模型中,我们将进行探查。
查询结果
如下图所示,获取对涉敏资源A拥有权限角色,发现该角色为CEO,由职员CL01拥有,同时该角色管理技术文案(职员CL02),将敏感资源审批给其管理的职员,并在日志里记录。通过实时图计算与图分析处理,能够自下而上回溯结果,发现权限边界,将敏感资源由高级别角色给予下级角色,弥补现有方案直接授予特权的不足,提高数据安全性,减少降低企业数据泄露风险。
图谱应用 - 资源调用
由于企业面临的业务是动态变化的,在身份与访问管理图谱中,应当根据项目需求灵活调整组织架构,扩大可以调用的资源范围。举例,企业临时新增社会招聘项目,需要协调市场部与人事部资源,查看所能调配的资源边界。上文所建图模型中,我们将进行探查。
查询结果
如下图所示,合并点即为临时新增的项目小组,通过两部门资源协调可得知,临时项目对资源01、资源05拥有可读可写权限,对资源03、资源04拥有可读不可写权限。通过图计算与图分析处理,能够高效的返回所需结果,并将结果呈现在图上,弥补现有方案对跨部门之间的资源协同效率不足的问题,有效避免权限边界的情况出现,实现新增项目的高效运行。
结语
以上仅为身份与访问管理图谱的简单展示,通过上述两个例子,可以看到图数据模型能根据不同的业务需求灵活定义、创建、修改和管理多层级用户、群组、角色和系统权限,实现精细、灵活的访问控制。同时,图数据库允许自顶向下和自底向上的IAM查询,可快速处理访问请求,明确特定用户的访问权限、厘清对特定资源有访问权限的用户,实时、动态更新因人员变动、组织架构调整、策略变更等引起的访问权限变化,为企业设备和数据提供安全的用户访问。
后续,我们会在创邻科技微信公众号及官网发布更多图数据库热点应用场景和前沿资讯,并将可复现的数据集、建模方法、查询语句进行公开,欢迎对图数据库感兴趣的同学关注。
