零信任组件和实施

news2024/11/14 6:08:37

零信任是一种安全标准,其功能遵循“从不信任,始终验证”的原则,并确保没有用户或设备受信任,无论他们是在组织网络内部还是外部。简而言之,零信任模型消除了信任组织安全边界内任何内容的概念,而是倡导严格的身份验证策略,以向安全边界内外的用户授予访问权限。

在传统的安全方法中,默认情况下,网络中的所有用户、设备和应用程序都是受信任的。网络外围在防火墙和其他本地解决方案的帮助下受到保护。这种方法的问题在于,一旦攻击者越过安全边界,他们就可以在网络内横向移动,并轻松访问网络资源。随着移动性、云采用、远程工作、自带设备(BYOD)策略和复杂网络攻击的增加,传统的安全模型已不足以保护组织资产和资源。

传统的基于边界的安全模型:外部坚硬而松脆,中心柔软而耐嚼。零信任的根本目标是消除这种软内部,并在整个网络中建立严格的安全措施。这主要是通过将重点转移到保护网络资源而不是网络边界来实现的。

传统安全模型的不足之处

随着最近远程工作者数量的指数级增长,基于边界的安全性已不再足够。由于数据和用户位于边界之外,组织的网络边界正在被积极重新定义,移动性和云采用率的快速增长导致数据和资源扩散到网络边界之外。这也适用于员工、供应商和其他服务提供商。因此,这增加了攻击面,并为攻击者使用新颖而复杂的方法进入网络铺平了道路,并且无法将单一的安全控制应用于整个网络。

如前所述,使用防火墙、VPN 和网络访问控制来保护外围是不够的。虽然这可能会阻止外部攻击者和威胁,但内部攻击的问题仍然很大,因为网络边界内的所有内容本质上都是可信的。此外,网络犯罪分子不断想方设法通过受信任的用户凭据或恶意链接和附件进入网络。一旦攻击者越过安全边界,他们就可以在网络中横向移动,并且通常可以自由地控制网络资源,从而导致数据泄露。

传统的基于边界的安全模型在开发时并未考虑到安全环境的这种动态变化,也不是为了支持远程工作者或云托管应用程序而设计的。但鉴于企业正在加速实现此类变化,因此有必要采用混合方法进行网络安全。现在需要一个中心管理和控制点,需要一种使用零信任模型的新网络安全方法。

零信任策略和技术

零信任方法要求消除信任是二进制的,并且攻击者不能同时存在于网络边界内外的想法。每个用户、设备、应用程序和网络本身都被认为是敌对的,并且应该在建立信任之前进行身份验证。因此,身份和访问管理构成了零信任模型的核心。但是,零信任并不是一种放之四海而皆准的方法;组织需要分析和开发一种基于现有战略和技术的整体方法,以满足其需求。其中一些策略如下:

  • 微分段
  • 最低权限访问
  • 单点登录(SSO)
  • 多因素身份验证(MFA)
  • 持续监控和审计

在这里插入图片描述

微分段

零信任方法涉及识别保护面,该保护面由网络中最重要的数据、资产、应用程序和服务组成。此保护面通常小于攻击面。识别保护面后,可以监视和分析组织网络中相对于保护面的流量。然后在保护表面周围建立微周界。
微分段是将安全边界划分为更小且可管理的区域的过程,从而实现精细的访问和控制。每个区域都保持独立的访问,确保提高安全性。微分段将攻击面降至最低,并限制网络内未经授权的横向移动。

最低权限访问

最低权限访问是零信任最重要的方面之一。通过采用最小权限原则,每个用户只能访问执行特定任务所必需的数据和资源。由于用户可以根据需要访问资源,因此他们与网络敏感和关键部分的接触大大减少。因此,即使用户的凭据或设备受到恶意攻击的破坏,攻击者也只能访问用户有权访问的资源。实现最低特权访问的方法有很多种,其中最常见的是基于角色的访问控制(RBAC)。使用 RBAC,每个用户都可以根据其在组织中的角色授予或拒绝对数据和应用程序的访问权限。

单点登录(SSO)

单点登录(SSO)使用户能够使用一组凭据登录到各种应用程序和服务。SSO 是朝着实现无密码身份验证的正确方向迈出的一步,因为它大大减少了每个用户所需的密码数量。除此之外,SSO 在最大限度地减少基于凭据的攻击数量方面发挥着重要作用。SSO 还有助于解决由于使用本地和云解决方案而导致的零散标识造成的安全漏洞。

多因素身份验证(MFA)

多重身份验证(MFA)是零信任安全的另一个核心组件。使用多重身份验证时,用户需要使用多个身份验证因素进行验证。这通常是通过组合多个凭据或因素(例如用户知道的内容、用户拥有的内容以及用户是的内容)来采用的。

例如,使用双因素身份验证(2FA)方法,用户可能需要提供密码和生物识别信息,例如指纹。另一个示例是发送到用户设备的一次性密码(OTP)或代码。通过增加访问网络所需的凭据数量,可以大大减少基于凭据的攻击数量。多重身份验证可以与单点登录相结合,以提供额外的安全层。

持续监控和审计

零信任要求对所有用户活动进行持续监控和审核,威胁检测和用户行为分析用于主动查找和关闭恶意攻击,攻击者现在正在利用人工智能和机器学习等技术来执行复杂的攻击,因此组织必须通过利用相同的策略和技术来保持最新状态,以领先于攻击者一步。

零信任模型的组件

身份

身份和访问管理 (IAM) 是零信任安全的核心。用户需要先经过身份验证和授权,然后才能获得对网络资源的访问权限。Gartner 推荐了每个 IAM 解决方案都应具备的 15 项关键功能。它指定了身份自动化功能,这些功能主要降低了身份管理过程中人为错误的风险。

端点

网络安全的主要作用是防止恶意攻击到达网络中的端点;随着传统网络边界开始消退,实施严格的端点安全对于保护网络免受威胁和攻击至关重要。零信任提倡将网络和端点安全集成在一起,以开发整体安全模型。

网络

可以通过执行微分段和应用威胁防护来保护网络,以帮助防止安全威胁和攻击。随着云采用、BYOD 策略和远程工作的增加,传统网络边界正在迅速消失。为了保护网络资源免受不断变化的威胁,必须使用新时代的行为分析工具对网络进行监控。

实施零信任架构

  • 管理、监视、审核和报告 Office 365
  • 执行标识生命周期管理
  • 安全地审核 AD、Office 365 和文件服务器
  • 实现自适应身份验证
  • 使用报告和基于 ML 的用户行为分析

管理、监视、审核和报告 Office 365

使用AD360简化复杂的任务,例如批量用户管理和批量邮箱管理。管理员可以持续监视 Office 365,接收有关服务中断的实时电子邮件通知,并查看终结点的可用性。管理员还可以查看特定事件的详细详细信息,并访问其 Office 365 功能和终结点的性能和运行状况。AD360 还提供详细的报告,帮助进行合规性管理以及确保 Office 365 安全的其他任务。

执行标识生命周期管理

借助AD360提供的身份生命周期管理解决方案,自动执行用户配置、修改、取消配置和Active Directory (AD)管理等日常管理任务。为数以千计的用户(包括临时员工和承包商)执行身份管理任务会给 IT 管理员带来繁重的工作量。AD360消除了这些任务的手动处理,并有助于排除通常由人为引起的冗余和错误。称职且简化的身份管理解决方案可确保遵循严格的访问策略,以便根据用户的角色和要求为用户提供适当的访问级别。这是采用零信任的关键一步。

允许从单个控制台跨 AD、Exchange Server、Office 365 和 G-Suite 轻松配置、修改和取消配置多个用户帐户和邮箱。可自定义的用户创建模板可用于从 CSV 文件导入数据以批量配置用户帐户。通过集成 AD、Office 365、Exchange、G-Suite 和 HR 管理系统应用程序,AD360 为管理员简化了关键的 IT 管理任务,否则他们必须管理多个应用程序和工具。这有助于组织节省宝贵的人力和资源,同时保持安全性和生产力。

安全地审核 AD、Office 365 和文件服务器

管理员可以监控 AD、Office 365、Windows Server 和 Exchange Server,以保持最新状态并获取更改报告。内置的合规性报告和高级审计功能也使合规性管理变得容易,从而最大限度地减少了 IT 管理员的工作量。关键更改的实时审核报告通过持续监视 AD、Office 365 和 Exchange Server 环境中的用户登录活动和其他更改来帮助检测内部威胁。

实现自适应身份验证

管理员可以使用AD360执行自适应身份验证,并通过身份分析工具实施更严格的安全性。通过利用大数据、机器学习 (ML) 和 AI 等技术,身份分析工具可提供基于上下文风险的身份验证。反过来,这有助于跟踪异常的用户行为并限制访问权限,同时增强特权帐户的安全性和监控。根据最小权限原则,用户可以访问应用程序和资源,这是零信任的核心原则之一。

AD360提供MFA和SSO功能,可缓解身份盗用和密码攻击。MFA 与 SSO 相结合,提供了额外的安全层和无缝的用户体验,减少了管理密码所花费的时间,同时提高了整体工作效率。密码正处于过时的边缘,因为它们在提供对复杂密码攻击的免疫力方面效率低下。密码管理模块允许管理员通过指定密码长度、复杂性、有效期和精细密码设置来实施严格的密码策略。用户可以重置其密码并更新其 AD 配置文件中的用户属性。

使用报告和基于 ML 的用户行为分析

AD360采用用户行为分析(UBA)主动检测用户行为异常,并提供智能威胁警报。UBA 提供更高的准确性和效率,同时降低误报警报的发生率。在很长一段时间内分析用户行为,并在数据分析和机器学习的帮助下制定正常用户活动的基线。每当有偏离正常用户行为的情况时,UBA 解决方案都会将其视为异常,并立即通知管理员。这对于检测内部威胁和特权滥用特别有用。传统的安全解决方案通常采用基于规则的威胁检测技术,这可能会无意中导致误报。这在识别实际威胁方面造成了困难,从而影响了组织的安全。同样,传统解决方案不采用机器学习,也无法精确检测异常。通过利用AD360提供的基于ML的UBA功能,组织可以构建零信任模型,以确保最大的安全性。

实施零信任的最佳实践

  • 识别敏感数据,并根据其优先级和毒性对其进行分类。
  • 使用最小权限原则限制和控制对用户、数据和应用程序的访问。
  • 使用安全分析持续监控和跟踪网络活动,以检测内部和外部威胁。
  • 监控端点以主动检测威胁并采用精细的访问策略。
  • 自动执行监控和安全分析流程,以最大程度地减少错误和风险。

AD360 是一款集成式身份和访问管理(IAM)解决方案,用于管理用户身份、管理对资源的访问、实施安全性和确保合规性。允许用户快速访问所需资源,同时建立严格的访问控制,从集中式控制台确保本地Active Directory、Exchange Server和云应用程序的安全性,从而帮助管理员简化IT环境中的IAM。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1285174.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

外包干了2个月,技术明显退步了...

先说一下自己的情况,大专生,19年通过校招进入广州某软件公司,干了接近5年的功能测试,今年11月份,感觉自己不能够在这样下去了,长时间呆在一个舒适的环境会让一个人堕落!而我已经在一个企业干了四年的功能测…

JS实现成才网注册系统(网页数据验证)

主代码 <!DOCTYPE htmlPUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns"http://www.w3.org/1999/xhtml"><head><meta http-equiv"Conten…

OpenGL ES 帧缓冲对象介绍和使用示例

一、介绍 1. 帧缓冲对象 默认情况下&#xff0c;OpenGL渲染的目标是屏幕&#xff0c;但如果你不想直接渲染到屏幕上&#xff0c;还需要对渲染结果做某些后期处理、渲染到纹理、阴影映射等操作&#xff0c;便可以使用帧缓冲对象&#xff0c;实现离屏渲染。 帧缓冲对象&#x…

DC电源模块的常见故障有哪些?

BOSHIDA DC电源模块的常见故障有哪些&#xff1f; DC电源模块是电子设备中常见的电源供应模块&#xff0c;它可以将交流电转化为直流电供给设备使用。然而&#xff0c;由于长期的使用和外界环境等因素的影响&#xff0c;DC电源模块也会出现各种故障。下面我们来介绍一下常见的…

【go语言开发】编写单元测试

本文主要介绍使用go语言编写单元测试用例&#xff0c;首先介绍如何编写单元测试&#xff0c;然后介绍基本命令的使用&#xff0c;最后给出demo示例 文章目录 前言命令示例 前言 在go语言中编写单元测试时&#xff0c;使用说明 测试文件命名&#xff1a;在 Go 语言中&#xff0…

蓝桥杯网络安全组竞赛

竞赛规则及说明 选拔赛时长&#xff1a;4h 决赛时长&#xff1a;4h 竞赛形式&#xff1a;线上比赛&#xff1a; 个人赛&#xff1a;一人一机&#xff0c;全程机考 大赛制定竞赛系统&#xff0c;在时间内提交答案到比赛系统&#xff0c;超时无法提交 机器环境&#xff1a; 电脑…

CSRF之pikachu靶场DW

1&#xff0c;登录皮卡丘靶场&#xff0c;get请求&#xff1b; 2&#xff0c;抓包并修改标记后的个人信息 最后放通一下&#xff0c;发现账号信息被修改 2&#xff0c;post请求 1提交post数据并使用bp抓包 2.利用工具改包&#xff0c;并生成url 3&#xff0c;点击提交后&#…

应用在触摸开关触控屏中的电容式触摸芯片

触摸开关是一种电子开关&#xff0c;使用时轻按开关按钮即可打开开关。松开手时&#xff0c;开关断开&#xff0c;内部结构由金属弹片受力弹动断开或者由电容值&#xff0c;电阻值等电气参数改变而控制。触摸开关一般是指应用触摸感应芯片原理设计的一种墙壁开关&#xff0c;是…

ArkUI组件--Button组件

1.声明Button组件 Button(label?:ResourceStr) #label是按钮上显示的文本 ①label是文字类型 所写文字会在按钮上显示 ②不输入label内容&#xff0c;需要额外定义一些描述。例如插入图片&#xff08;需要定义图片属性&#xff09; Button(){Image($r(app.media.xxx)).wi…

风靡万千软件开发者:揭秘华为研发代码大模型是如何实现的?

作者&#xff1a;陈泰红 秉持“自己的降落伞&#xff0c;自己先跳”的原则&#xff0c;由公司装备部门牵头&#xff0c;携手华为云PaaS作为基础能力提供方&#xff0c;与公司各产品线共同研发面向产业的代码大模型。在研发过程中&#xff0c;我们已取得初步成果&#xff0c;为…

LeetCode:1038. 从二叉搜索树到更大和树(反向中序遍历 C++、Java)

目录 1038. 从二叉搜索树到更大和树 题目描述&#xff1a; 实现代码与解析&#xff1a; dfs 原理思路&#xff1a; 1038. 从二叉搜索树到更大和树 题目描述&#xff1a; 给定一个二叉搜索树 root (BST)&#xff0c;请将它的每个节点的值替换成树中大于或者等于该节点值的所…

_____面试题_____(持续更新)

连表的链接方式 # 左连接 left join on # 右连接 right join on # 内连接 inner join on # 全连接 full join on # 笛卡尔积 join ------------------------------------------------ 上面讲的都是连表方式&#xff0c;连表的目的是查询&#xff0c;连表的依据是表和表…

探索人工智能领域——每日20个名词详解【day8】

目录 前言 正文 总结 &#x1f308;嗨&#xff01;我是Filotimo__&#x1f308;。很高兴与大家相识&#xff0c;希望我的博客能对你有所帮助。 &#x1f4a1;本文由Filotimo__✍️原创&#xff0c;首发于CSDN&#x1f4da;。 &#x1f4e3;如需转载&#xff0c;请事先与我联系以…

STM32存储左右互搏 SPI总线读写FRAM MB85RS16

STM32存储左右互搏 I2C总线读写FRAM MB85RS16 在中低容量存储领域&#xff0c;除了FLASH的使用&#xff0c;&#xff0c;还有铁电存储器FRAM的使用&#xff0c;相对于FLASH&#xff0c;FRAM写操作时不需要预擦除&#xff0c;所以执行写操作时可以达到更高的速度&#xff0c;其…

【自习室预约系统源码】基于springboot框架的自习室管理和预约系统设计

&#x1f345; 简介&#xff1a;500精品计算机源码学习 &#x1f345; 欢迎点赞 &#x1f44d; 收藏 ⭐留言 &#x1f4dd; 文末获取源码 目录 一、以下学习内容欢迎领取&#xff1a; 二、文档资料截图&#xff1a; 三想了解更多&#xff0c;请收藏、评论、留言&#xff1a;…

Android Studio的笔记--String和byte[]

String和byte[]的相互转换&#xff0c;字节数组转换 String转换byte[]文本16进制字节数组 byte[]转换String文本16进制 其它 String转换byte[] 文本 将字符串&#xff08;String&#xff09;转换为字节&#xff08;byte&#xff09;的方法。默认使用的是UTF-8编码 StandardCh…

SQL数据库知识点总结归纳

前后顺序可以任意颠倒,不影响库中的数据关系 关系数据库的逻辑性强而物理性弱,因此关系数据库中的各条记录前后顺序可以任意颠倒,不影响库中的数据关系 一名员工可以使用多台计算机(1:m),而一台计算机只能被一名员工使用(1:1),所以员工和计算机两个实体之间是一对多…

学习前端都需要学什么?

前端开发是一门需要掌握多种技术和工具的综合性学科。作为一名合格的前端开发者&#xff0c;需要具备以下几方面的知识和技能&#xff1a; HTML&#xff1a;HTML 是构建网页的基础&#xff0c;是前端开发的第一步。需要掌握各种 HTML 标签的使用和语义化的编写方式&#xff0c…

公有云迁移研究——AWS Translate

大纲 1 什么是Translate2 Aws Translate是怎么运作的3 Aws Translate和Google Translate的区别4 迁移任务4.1 迁移原因 5 Aws Translate的Go demo6 迁移中遇到的问题6.1 账号和权限问题&#xff1a;6.2 小语种 1 什么是Translate Translate是一种文本翻译服务&#xff0c;它使…

04、pytest运行多个测试用例

官方用例 目录结构 course_04 | |----subdir | | | |----sample03_test.py | | | |----test_sample04.py | |----sample02_test.py | |----test_sample01.py# content of test_sample01.pydef test_simple01():print("test simple01")assert 0# content of tes…