零信任-微软零信任概念补充(13)

news2024/12/23 2:01:54

​零信任是一种安全策略。 它不是产品或服务,而是设计和实现以下一组安全原则的方法:

  • 显式验证
  • 使用最小特权访问
  • 假定数据泄露

零信任的指导原则

显式验证

使用最小特权

访问假定数据泄露

始终根据所有可用的数据点进行身份验证和授权。

使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。

最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。

这是“零信任”的核心。 在零信任模型中,我们不认为公司防火墙后面的所有内容都是安全的,而是假定出现了信息泄露,并将请求视为源自不受控制的网络,验证每个请求。 无论请求出自何处或者访问什么资源,零信任模型都教我们“不要信任,始终验证”。

它旨在适应新式环境的复杂性,包括移动工作人员,保护人员、设备、应用程序和数据(无论他们位于何处)。

零信任方法应扩展到整个数字资产,作为集成安全性理念和端到端策略。 这是通过跨六个基础元素实现零信任控制和技术实现的。 其中每个元素都是信号源、强制控制平面和要防御的关键资源。

不同的组织要求、现有技术实现和安全阶段都会影响零信任安全模型实现的规划。 我们利用在帮助客户保护其组织及实现自己的零信任模型方面的经验,开发了以下指南来评估就绪情况,并帮助你制定实现零信任的计划。

微软零信任架构

关键技术支柱组织零信任方法:

零信任的安全标识

标识可以代表人员、服务或 IoT 设备,它们定义了零信任控制平面。 当某个标识尝试访问资源时,请使用强身份验证来验证该标识,并确保访问符合要求并且是该标识的典型行为。 遵循最低访问权限原则。

零信任的安全终结点

一旦向标识授予对资源的访问权限,数据就可能流向各种不同的终结点:从 IoT 设备到智能手机,BYOD 到合作伙伴管理的设备,以及本地工作负载到云托管的服务器。 这种多样性创造了一个很大的攻GJ击面。 监视并强制实施设备运行状况和合规性以实现安全访问。

通过零信任保护应用程序

应用程序和 API 提供用于使用数据的接口。 它们可能是原位于本地后直接迁移到云的工作负载,或新式 SaaS 应用程序。 应用控制和技术来发现影子 IT,确保适当的应用内权限,基于实时分析控制访问,监视异常行为,控制用户操作,并验证安全配置选项。

通过零信任保护数据

最终,安全团队保护着数据。 如果可能,即使数据离开了组织控制的设备、应用程序、基础结构和网络,数据也应保持安全。 对数据进行分类、标记和加密,并根据这些属性限制访问。

通过零信任保护基础结构

基础结构可以是本地服务器、基于云的 VM、容器或微服务,代表着至关重要的威胁向量。 评估版本、配置和 JIT 访问以强化防护。 使用遥测来检测攻GJ击和异常情况,自动阻止和标记有风险的行为,并采取保护性措施。

通过零信任保护网络

最终通过网络基础结构访问所有数据。 网络控制可提供关键控制来增强可见性,并帮助防止攻GJ击者在网络中横向移动。 对网络进行分段(并执行更深入的网络微分段),并部署实时威胁防护、端到端加密、监视和分析。

零信任模型下的可见性、自动化和业务流程

在零信任指南中,我们定义了如何跨标识、终结点和设备、数据、应用、基础结构和网络实现端到端零信任方法。 这些活动会提高可见性,这为你提供了更好的数据,以便进行信任决策。 由于每个区域都会生成自己的相关警报,因此我们需要通过集成功能来管理数据的流入,以更好地防御威胁并在事务中验证信任。

通过零信任,我们的观念从默认信任转变为例外信任。 自动管理这些例外和警报的集成功能非常重要,它让你可以更轻松地查找、检测和响应威胁,并预防或阻止组织中出现意外事件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/360294.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

内网渗透(四十五)之横向移动篇-WinRM远程执行命令横向移动

系列文章第一章节之基础知识篇 内网渗透(一)之基础知识-内网渗透介绍和概述 内网渗透(二)之基础知识-工作组介绍 内网渗透(三)之基础知识-域环境的介绍和优点 内网渗透(四)之基础知识-搭建域环境 内网渗透(五)之基础知识-Active Directory活动目录介绍和使用 内网渗透(六)之基…

代码随想录【Day20】| 654. 最大二叉树、617. 合并二叉树、700. 二叉搜索树中的搜索、98. 验证二叉搜索树

654. 最大二叉树 题目链接 题目描述: 给定一个不含重复元素的整数数组。一个以此数组构建的最大二叉树定义如下: 二叉树的根是数组中的最大元素。 左子树是通过数组中最大值左边部分构造出的最大二叉树。 右子树是通过数组中最大值右边部分构造出的最…

leaflet 根据一组点的值生成凹包,并在地图上显示(081)

第081个 点击查看专栏目录 本示例的目的是介绍演示如何在vue+leaflet中根据提供的多个点,利用turf生成凹包。 直接复制下面的 vue+openlayers源代码,操作2分钟即可运行实现效果. 文章目录 示例效果配置方式示例源代码(共88行)安装插件相关API参考:专栏目标示例效果 配置…

1631_MIT 6.828 lab1 HW的部分尝试与总结

全部学习汇总: GreyZhang/g_unix: some basic learning about unix operating system. (github.com) 其实很多尝试我之前自己都做过了,这里就可以直接跳过或者简单提一下。 这个环境的搭建已经完成了,而且早就做了很多尝试了。之前的笔记中记…

设计模式-第3章(设计原则)

设计原则单一职责原则开放-封闭原则依赖倒转原则单一职责原则 设计模式中有一个非常重要的原则 — 单一职责。 单一职责原则(SRP):就一个类而言,应该仅有一个引起它变化的原因。 我们在做编程的时候,很自然地就会给一…

「TCG 规范解读」第七章 TPM工作组 TPM 总结

可信计算组织(Ttrusted Computing Group,TCG)是一个非盈利的工业标准组织,它的宗旨是加强在相异计算机平台上的计算环境的安全性。TCG于2003年春成立,并采纳了由可信计算平台联盟(the Trusted Computing Platform Alli…

异步执行结果-Callable、Future、FutureTask

Callable 实现Runnable接口的任务执行没有返回值&#xff0c;如果我们希望线程运算后将结果返回&#xff0c;应该使用Callable。Callable代表有返回值的任务。 class CallTask implements Callable<String> {Overridepublic String call() throws Exception {return Th…

Python基于遥感影像的文件名称将不同文件复制到对应的文件夹中

本文介绍基于Python语言&#xff0c;针对一个文件夹下的大量栅格遥感影像文件&#xff0c;基于其各自的文件名&#xff0c;分别创建指定名称的新文件夹&#xff0c;并将对应的栅格遥感影像文件复制到不同的新文件夹下的方法。 首先&#xff0c;我们来看一下本文需要实现的需求。…

RPC(1)------Java BIO + JDK原生序列化 + JDK动态代理实现

本文跟着MY-RPC-FRamework的代码&#xff0c;根据自己的理解做的笔记&#xff0c;先理解&#xff0c;再学习。 RPC原理 客户端和服务端都可以访问到通用的接口,但是只有服务端有这个接口的实现类&#xff0c;客户端调用这个接口的方式&#xff0c;是通过网络传输&#xff0c;告…

记一次对某假冒征信站点的实战渗透

1. 背景介绍 这次渗透是去年之前的了&#xff0c;原因是当时收到了这个钓鱼短信&#xff0c;这次渗透带有侥幸、偶然性。 后台无脑弱口令 后台无脑文件上传getshell 运气好&#xff0c;直接无脑提权 因为时间问题&#xff0c;本文的记录可能不太完整。 开局之后就是这样的假…

springbatch设置throttle-limit参数不生效

背景描述 当springbatch任务处理缓慢时&#xff0c;就需要使用多线程并行处理任务。 参数throttle-limit用于控制当前任务能够使用的线程数的最大值。 调整throttle-limit为10时&#xff0c;处理线程只有8&#xff0c;再次增大throttle-limit值为20&#xff0c;处理线程依旧为…

make、Makefile项目自动化构建工具

环境&#xff1a;centos7.6&#xff0c;腾讯云服务器Linux文章都放在了专栏&#xff1a;【Linux】欢迎支持订阅&#x1f339;前言自动化构建工具是干什么的呢&#xff1f;主要是为了让我们对指令进行一些设置&#xff0c;就比如说&#xff0c;假如一个项目里有很多个源文件&…

Web3的“陨落”,西下与东升

文/尹宁出品/陀螺研究院极富传奇色彩的Web3似乎正在陨落。去年的Web3&#xff0c;在人声沸腾中讲着下一代互联网摄人心魄的故事&#xff0c;传统资本大刀阔斧般迈入&#xff0c;大厂青年以自由为名掘金&#xff0c;Web3一度成为资本造神新概念。根据Messari 统计,2022 年Web3 V…

如何开发微信小程序呢

也许很多人对小程序&#xff0c;H5程序&#xff0c;Vue&#xff0c;网页程序&#xff0c;PC端程序认识比较模糊&#xff0c;因为这些跨度非常的大&#xff0c;很少人会一次性全部接触&#xff0c;甚至只是听说过&#xff0c;并不了解其中的关系&#xff0c;下面我来厘清他们的关…

传闻腾讯引进Quest 2?我觉得可行性很低

根据36kr最新消息称&#xff0c;腾讯XR团队解散后&#xff0c;确定不碰XR硬件领域&#xff0c;但并未完全放弃XR规划&#xff0c;将转变思路和玩法&#xff0c;业内消息称腾讯计划引进Meta旗下Quest 2 VR一体机。消息称&#xff0c;该计划在2022年11月份XR部门负责人沈黎走后便…

C++ 智能指针的原理:auto_ptr、unique_ptr、shared_ptr、weak_ptr

目录一、理解智能指针1.普通指针的使用二、智能指针1.auto_ptr2.unique_ptr3.shared_ptr&#xff08;1&#xff09;了解shared_ptr&#xff08;2&#xff09;shared_ptr的缺陷4.weak_ptr本文代码在win10的vs2019中通过编译。 一、理解智能指针 1.普通指针的使用 如果程序需要…

2.22.1、死锁的概念

1、死锁的概念 1.1、什么是死锁 我等待你&#xff0c;你等待他&#xff0c;他等待她&#xff0c;她等待我…这世界每个人都爱别人… 我们从资源占有的角度来分析&#xff0c;这段关系为什么看起来那么纠结… 在并发环境下&#xff0c;各进程因竞争资源而造成的一种互相等待对方…

ChatGPT入门案例|张量流商务智能客服

本篇介绍了序列-序列机制和张量流的基本概念,基于中文语料库说明基于循环神经网络的语言翻译的实战应用。 01、序列-序列机制 序列-序列机制概述 序列-序列(Sequence To Sequence,Seq2Seq)是一个编码器-解码器 (Encoder-Decoder Mechanism)结构的神经网络,输入是序列(…

【C#个人错题笔记】

观前提醒 记录一些我不会或者少见的内容&#xff0c;不一定适合所有人 字符串拼接 int a3,b8; Console.WriteLine(ab);//11 Console.WriteLine("ab");//ab Console.WriteLine(a""b);//38 Console.WriteLine("ab"ab);//ab38 Console.WriteLine…

17个优秀WordPress LMS在线教育平台主题

为您的WordPress在线教育平台主题网站选择在线课程主题是您在建立在线教育业务时做出的最重要的决定之一。正确的主题不仅决定了您网站的外观和感觉&#xff0c;还决定了用户体验。这在构建在线课程平台时变得更加重要&#xff0c;因为您的访问者将是您的学生&#xff0c;他们会…