零信任身份管理平台,构建下一代网络安全体系

news2024/12/26 10:44:20

随着数字化时代的到来,网络安全已成为企业和组织面临的一项重要挑战。传统的网络安全方法已经无法满足不断演变的威胁和技术环境。近期,中国信息通信研究院(简称“中国信通院”)发布了《零信任发展研究报告( 2023 年)》。在报告指出,云计算、大数据等新一代信息技术与实体经济加速融合,产业数字化转型迎来发展新浪潮,企业 IT 架构从建设到运营也发生了极大的改变。传统边界安全架构的身份管理系统已不可靠,防护机制必须从原有的网络边界为核心转向以身份为核心的零信任机制转变。

01.数字化转型深化后企业所面临的挑战


近年来,国家对数字经济的重视和支持达到了空前的高度,积极推动各行业的产业数字化转型。与此同时,用户的需求也在不断升级,促使企业积极参与数字化转型,推动了数字化经济生态系统的蓬勃发展。然而,在这一数字化浪潮的背后,传统的企业安全架构却逐渐显露出脆弱,基于网络边界和信任域的构建已不再适应日益复杂的数字化环境。随着边界的逐渐消失,企业面临着更加复杂和多样化的安全挑战:

数据中心内部安全防护薄弱

随着远程办公的普及和数字工作环境的扩大,企业的数据中心内部安全面临了新的薄弱环节。过去,员工主要使用由企业分发的固定设备进行工作,这使得终端管理相对简单且可控。然而,随着越来越多的员工采用移动设备进行工作,企业数据与个人应用程序共享同一设备空间,导致关键数据的所有权变得模糊不清。与此同时,移动设备的安全状态变得更加难以预测,传统的终端管控手段变得难以应对这种新形势。这种情况引发了一系列安全挑战,包括数据泄漏、设备丢失或被盗、恶意软件感染等问题。因此,企业需要采取更加综合和创新的安全措施,以确保数据中心内部的资源和信息受到充分的保护。

安全策略仍需细化

现在云计算、虚拟化和容器技术的广泛应用,企业面临的安全挑战变得更加复杂和多样化。企业的资源管理粒度越来越精细,传统的通用性安全策略已经不再足够,企业需要更为精细化和差异化的安全措施。这要求对各种资源、数据、应用程序和用户权限进行深入审查,以根据其风险特征和重要性量身定制相应的安全保护。企业必须不断更新和改进其安全策略,以适应不断变化的威胁景观,并确保资源和数据在所有层面都得到充分的、精细化的安全保障,包括数据加密、身份验证、权限管理、威胁检测和响应等多个方面,同时满足法规合规性要求,提升整体安全性水平。

跨云的连接、数据传输增加资源暴露面

5G 和分布式云的融合让用户得以在任何时间使用任何设备从任何位置快速获取资源。这意味着企业的数字资产和数据分散存储在不同云服务提供商的基础设施中,需要在各个层面加强安全措施。从网络连接、身份验证、数据传输到合规性管理都需要精心规划和执行,以确保资源不会受到未经授权的访问、数据泄漏或不当使用的威胁。因此,跨云环境需要综合的安全策略,以应对资源暴露面的扩大所带来的风险,同时保障业务的稳定性和数据的保密性。

02.零信任价值日益凸显,保障数据资源安全可信


零信任相关政策涌现,驱动产业发展

零信任已经从一个新兴安全理念发展成为全球网络安全的关键技术,商业模式逐渐走向成熟,成为企业数字化转型的首选安全战略。我国也在加大政策保障,推动零信任落地。在《网络安全产业高质量发展三年行动计划 (2021-2023年)》中,重点围绕“加快开展基于开发安全运营、主动免疫、零信任等框架,推动创新技术发展与网络安全体系研发。加快发展动态边界防护技术,鼓励企业深化为隔离、软件定义边界、安全访问服务边缘框架等技术产品应用”等内容展开。


零信任弥补传统安全防护机制缺陷

传统安全架构失效的根本原因是因为过度信任,零信任不给予任何因素预置信任条件。通过动态的、可持续的验证,判断主客体之间是否存在信任关系,以对主体到客体的资源访问进行实时防护。

面向资源管理在市场寒冬的困局中,小微企业为谋求生存,则希望加快 PMF 进程以抓住市场先机。同时受制于资源、人力等因素,选择采购 SaaS 服务迅速补强产品能力以及提升人效成为数字化的主要考量。而中型企业在此困局中,希望依托数字化以求业务增长、人员增效、企业扩张以及产品核心竞争力的稳固。

构建身份管理平台是实施零信任的关键步骤模型下,身份验证变得至关重要,强调通过身份信息对每一个访问行为进行信任评估,动态赋予相应权限,能够对内部访问以及人员、设备等安全把控。通过身份验证后,权限将根据具体的上下文和访问需求进行动态分配。这意味着不再预先授予访问主体广泛的权限,而是根据实际需要仅赋予其访问特定资源所需的最低权限水平,确保资源访问受到最小化的原则约束。这种方法大大提高了安全性,减少了潜在的风险,确保了资源的高度保护。

03.构建身份管理平台是实施零信任的关键步骤


零信任秉持“永不信任,持续验证”,打破了网络位置和信任间的潜在默认关系,降低了企业资源访问过程中的安全风险。但在没有实施有效的零信任方案前,很多企业在认证过程中添加弱因素认证,有技术能力的组织会在敏感节点添加多因素认证以及单点登录来保障安全和用户体验的平衡,但由于无法实现用户会话过程中持续动态评估和认证,通常会采取设置会话计时器来减少多因素认证的频次。这些从本质上都不能有效解决安全和用户体验的问题。
下一代多因素安全认证平台——持续自适应 MFA。而持续自适应多因素作为下一代多因素安全认证平台被推出,能够分析用户登录和使用行为,有效识别风险,自动配置合适的 MFA 策略,在风险出现时拉起二次认证,全面提升安全风控能力。它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。

04.金融行业身份治理现状洞察

企业权限管理场景复杂,涉及多个系统、应用程序和数据资源,各个部门的业务需求和用户权限都存在不确定性和易变的特性,这导致了权限结构的多层次、多角色和多样化,使得整体管理过程变得极为繁重。同时,随着企业的增长,维护这种复杂的权限结构变得困难,需要不断的更新和调整,以确保安全和合规性。但企业开发和维护自有权限管理系统需要巨额的资金投入,尤其是对中小型企业而言,可能无法承受这一负担。随着时间推移,人员培训、安全更新和技术升级等方面的持续成本,这使得自研系统的总体成本变得更为昂贵。许多企业倾向于选择采用成熟的第三方权限管理解决方案,以在更经济高效的条件下满足其权限管理需求。

Authing 提供统一权限管理与安全风控平台以及完善的用户和管理员审计日志,助力企业统一管理分散的在各应用中的权限系统,实现细致到某一行、某一按钮的授权策略,无需大量开发成本。并且 Authing 支持企业根据自己的需求创建 API、菜单、按钮等资源,定义对应资源操作(如读取、编辑等),以及被赋予权限的主体角色 (职位、项目组、部门等),几乎能涵盖市面上所有权限管理的场景,帮助企业实现员工、用户、下游企业或子公司全生命周期自动化管理。结合基于 Authing 身份自动化平台和元数据 UEBA(用户行为分析)技术,实现企业全面的零信任环境。帮助企业实现提质增效以及构建面向未来的数字化身份基础设施。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1106155.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

全球领先的即时通讯厂家,为企业提供卓越沟通解决方案

不同部门的协同合作是企业内部高效运作的关键,然而,传统的沟通方式往往会受到时间、空间以及信息传递效率的限制,给企业带来不必要的困扰。随着科技的不断进步,解决这一问题的新利器应运而生——WorkPlus,一款基于即时…

链表增删操作问题及解决方法

目录 链表增加元素首部中间尾部 链表删除元素首部中间尾部 链表是一种常用的数据结构,用于存储和组织数据。在链表中,增加和删除元素是常见的操作。然而,在进行链表的增删操作时,对于首部、中间和尾部位置的元素,都存在…

UWB安全数据通讯STS-加密、身份认证

DW3000系列才能支持UWB安全数据通讯,DW1000不支持 IEEE 802.15.4a没有数据通讯安全保护机制,IEEE 802.15.4z中指定的扩展得到增强(在PHY/RF级别):增添了一个重要特性“扰频时间戳序列(STS)”&a…

mysql修改root用户的密码

mysql修改root用户的密码 方法1: 用SET PASSWORD命令方法2:用mysqladmin方法3:用UPDATE直接编辑user表方法4:在忘记root密码的时候,可以这样以windows为例: 连接mysql问题 mysql备份工具之mysqldump 方法1&…

反转链表(java)

大家好我是苏麟今天说一说链表常见的简单题目 . BM1 反转链表 牛客BM1 反转链表 : 描述 : 给定一个单链表的头结点(该头节点是有值的,比如在下图,它的val是1),长度为n,反转该链表后,返回新链表的表头。 分析 : …

AP5101C 高压线性恒流 LED电源驱动IC 3D打印机显示灯驱动器

1,产品描述 AP5101C 是一款高压线性 LED 恒流芯片 , 简单 、 内置功率管 , 适用于6- 100V 输入的高精度降压 LED 恒流驱动芯片。电流2.0A。AP5101C 可实现内置MOS 做 2.0A,外置 MOS 可做 3.0A 的。AP5101C 内置温度保护功能 ,温度…

3. 实战入门

3. 实战入门 文章目录 3. 实战入门3.1 Namespace3.1.1测试两个不同的名称空间之间的 Pod 是否连通性 3.2 Pod3.3 Label3.4 Deployment3.5 Service 本章节将介绍如何在kubernetes集群中部署一个nginx服务,并且能够对其进行访问。 3.1 Namespace Namespace是kubernet…

IDEA使用内置database数据库连接mysql报错:javax.net.ssl.SSLHandshakeException

参考一些博客的方式: 使用idea内置database连接数据库报错javax.net.ssl.SSLHandshakeException: No appropriate protocol_idea database ssl_你当像山的博客-CSDN博客 他们的方式是:在url后添加useSSLfalse 介绍另外一种方式: 点击datab…

大规模语言LLaVA:多模态GPT-4智能助手,融合语言与视觉,满足用户复杂需求

大规模语言LLaVA:多模态GPT-4智能助手,融合语言与视觉,满足用户复杂需求 一个面向多模式GPT-4级别能力构建的助手。它结合了自然语言处理和计算机视觉,为用户提供了强大的多模式交互和理解。LLaVA旨在更深入地理解和处理语言和视…

小程序setData动态传递key

有些时候可能需要根据key是个变量 比如 let keyName "name" this.setData({keyName :"张三" })本来想将keyName替换为name的,但是小程序只会在data中定义一个key为keyName ,value为“张三”的一条数据。 正确写法为: let keyNam…

SS626V100_SDK_V2.0.1.0 安装编译 osdrv 问题汇总

目录 前言1、开发环境2、在 linux 服务器上安装交叉工具链2.1 安装 aarch64-mix410-linux.tgz2.2 安装 cc-riscv32-cfg11-musl-20220523-elf.tar.gz2.3 检查工具链版本,打印版本则表示配置成功 3、安装 SDK3.1 SS626V100_SDK_V2.0.1.0 安装包位置3.2 解压缩并展开 S…

怎么把图片改成jpg格式?

怎么把图片改成jpg格式?大家都知道,随着计算机被发明到现在已经存在了很多年,在这么多的的技术发展过程中,也形成了种类非常多的图片文件格式,例如平时我们能接触到的图片格式有jpg、png、gif、bmp、heic、tiff、jfif、…

力扣-python-两数之和

题解: class Solution(object):def twoSum(self, nums, target):# 遍历列表for i in range(len(nums)):# 计算需要找到的下一个目标数字res target-nums[i]# 遍历剩下的元素,查找是否存在该数字if res in nums[i1:]:# 若存在,返回答案。这里…

云安全—云计算架构

0x00 前言 云中的所有的软件都是作为服务来提供的,需要支持多租户,需要提供伸缩的能力,所有需要特定的软件架构来进行支持。 0x01 云计算的本质 1.云计算系统工程 主要特点是: 弹性透明模块化通用动态多租赁 云计算通过对硬…

基于JavaWeb+SpringBoot+Vue健身俱乐部系统的设计和实现

基于JavaWebSpringBootVue健身俱乐部系统的设计和实现 源码传送入口前言主要技术系统设计功能截图Lun文目录订阅经典源码专栏Java项目精品实战案例《500套》 源码获取 源码传送入口 前言 1.1 课题背景 随着互联网的发展,电脑已成为人们生活中必不可少的生活办公工…

asyncawait函数

一种更简洁的方式写出基于Promise的异步行为 async函数的返回值为一个promise,通过then和catch来捕获内部的返回值 1.特性: 1. async函数内部会返回一个promise对象,如果看起来不是promise,那么它将会隐式的包装在promise中(如…

保姆级VitrualBox下载ubantu

首先先到此处下载VitrualBox选择对应的配置 Oracle VM VirtualBox 下载VitrualBox的同时要下载一个Visual,支持VitrualBox运行 最新受支持的 Visual C 可再发行程序包下载 | Microsoft Learn 同时再根据下面的网址去下载Ubantu 下载好后桌面出现这两个&#xff0c…

从培训班出来之后找工作的经历,教会了我五件事.....

我是非计算机专业,由于专业不好实习急着就业有过一些失败的工作经历后,跑去参加培训进入IT这行的。 之前在报名学习软件测试之前我也很纠结,不知道怎么选择机构。后面看到有同学在知乎上分享自己的学习经历,当时对我的帮助很大。…

从手动操作到自动化管理,如何实现企业身份业务全面自动化?

在数字化时代,身份管理已经成为了企业和组织不可或缺的一部分,企业对于管理员工、客户和合作伙伴的身份信息和访问权限的需求变得愈发复杂。身份管理不仅仅是一项必要的任务,更是确保业务流畅运营和数据安全的关键因素。然而,传统…