零信任组件和实施

零信任是一种安全标准,其功能遵循“从不信任,始终验证”的原则,并确保没有用户或设备受信任,无论他们是在组织网络内部还是外部。简而言之,零信任模型消除了信任组织安全边界内任何内容的概念,而是倡导严格的身份验证策略,以向安全边界内外的用户授予访问权限。

在传统的安全方法中,默认情况下,网络中的所有用户、设备和应用程序都是受信任的。网络外围在防火墙和其他本地解决方案的帮助下受到保护。这种方法的问题在于,一旦攻击者越过安全边界,他们就可以在网络内横向移动,并轻松访问网络资源。随着移动性、云采用、远程工作、自带设备(BYOD)策略和复杂网络攻击的增加,传统的安全模型已不足以保护组织资产和资源。

传统的基于边界的安全模型:外部坚硬而松脆,中心柔软而耐嚼。零信任的根本目标是消除这种软内部,并在整个网络中建立严格的安全措施。这主要是通过将重点转移到保护网络资源而不是网络边界来实现的。

传统安全模型的不足之处

随着最近远程工作者数量的指数级增长,基于边界的安全性已不再足够。由于数据和用户位于边界之外,组织的网络边界正在被积极重新定义,移动性和云采用率的快速增长导致数据和资源扩散到网络边界之外。这也适用于员工、供应商和其他服务提供商。因此,这增加了攻击面,并为攻击者使用新颖而复杂的方法进入网络铺平了道路,并且无法将单一的安全控制应用于整个网络。

如前所述,使用防火墙、VPN 和网络访问控制来保护外围是不够的。虽然这可能会阻止外部攻击者和威胁,但内部攻击的问题仍然很大,因为网络边界内的所有内容本质上都是可信的。此外,网络犯罪分子不断想方设法通过受信任的用户凭据或恶意链接和附件进入网络。一旦攻击者越过安全边界,他们就可以在网络中横向移动,并且通常可以自由地控制网络资源,从而导致数据泄露。

传统的基于边界的安全模型在开发时并未考虑到安全环境的这种动态变化,也不是为了支持远程工作者或云托管应用程序而设计的。但鉴于企业正在加速实现此类变化,因此有必要采用混合方法进行网络安全。现在需要一个中心管理和控制点,需要一种使用零信任模型的新网络安全方法。

零信任策略和技术

零信任方法要求消除信任是二进制的,并且攻击者不能同时存在于网络边界内外的想法。每个用户、设备、应用程序和网络本身都被认为是敌对的,并且应该在建立信任之前进行身份验证。因此,身份和访问管理构成了零信任模型的核心。但是,零信任并不是一种放之四海而皆准的方法;组织需要分析和开发一种基于现有战略和技术的整体方法,以满足其需求。其中一些策略如下:

  • 微分段
  • 最低权限访问
  • 单点登录(SSO)
  • 多因素身份验证(MFA)
  • 持续监控和审计

在这里插入图片描述

微分段

零信任方法涉及识别保护面,该保护面由网络中最重要的数据、资产、应用程序和服务组成。此保护面通常小于攻击面。识别保护面后,可以监视和分析组织网络中相对于保护面的流量。然后在保护表面周围建立微周界。
微分段是将安全边界划分为更小且可管理的区域的过程,从而实现精细的访问和控制。每个区域都保持独立的访问,确保提高安全性。微分段将攻击面降至最低,并限制网络内未经授权的横向移动。

最低权限访问

最低权限访问是零信任最重要的方面之一。通过采用最小权限原则,每个用户只能访问执行特定任务所必需的数据和资源。由于用户可以根据需要访问资源,因此他们与网络敏感和关键部分的接触大大减少。因此,即使用户的凭据或设备受到恶意攻击的破坏,攻击者也只能访问用户有权访问的资源。实现最低特权访问的方法有很多种,其中最常见的是基于角色的访问控制(RBAC)。使用 RBAC,每个用户都可以根据其在组织中的角色授予或拒绝对数据和应用程序的访问权限。

单点登录(SSO)

单点登录(SSO)使用户能够使用一组凭据登录到各种应用程序和服务。SSO 是朝着实现无密码身份验证的正确方向迈出的一步,因为它大大减少了每个用户所需的密码数量。除此之外,SSO 在最大限度地减少基于凭据的攻击数量方面发挥着重要作用。SSO 还有助于解决由于使用本地和云解决方案而导致的零散标识造成的安全漏洞。

多因素身份验证(MFA)

多重身份验证(MFA)是零信任安全的另一个核心组件。使用多重身份验证时,用户需要使用多个身份验证因素进行验证。这通常是通过组合多个凭据或因素(例如用户知道的内容、用户拥有的内容以及用户是的内容)来采用的。

例如,使用双因素身份验证(2FA)方法,用户可能需要提供密码和生物识别信息,例如指纹。另一个示例是发送到用户设备的一次性密码(OTP)或代码。通过增加访问网络所需的凭据数量,可以大大减少基于凭据的攻击数量。多重身份验证可以与单点登录相结合,以提供额外的安全层。

持续监控和审计

零信任要求对所有用户活动进行持续监控和审核,威胁检测和用户行为分析用于主动查找和关闭恶意攻击,攻击者现在正在利用人工智能和机器学习等技术来执行复杂的攻击,因此组织必须通过利用相同的策略和技术来保持最新状态,以领先于攻击者一步。

零信任模型的组件

身份

身份和访问管理 (IAM) 是零信任安全的核心。用户需要先经过身份验证和授权,然后才能获得对网络资源的访问权限。Gartner 推荐了每个 IAM 解决方案都应具备的 15 项关键功能。它指定了身份自动化功能,这些功能主要降低了身份管理过程中人为错误的风险。

端点

网络安全的主要作用是防止恶意攻击到达网络中的端点;随着传统网络边界开始消退,实施严格的端点安全对于保护网络免受威胁和攻击至关重要。零信任提倡将网络和端点安全集成在一起,以开发整体安全模型。

网络

可以通过执行微分段和应用威胁防护来保护网络,以帮助防止安全威胁和攻击。随着云采用、BYOD 策略和远程工作的增加,传统网络边界正在迅速消失。为了保护网络资源免受不断变化的威胁,必须使用新时代的行为分析工具对网络进行监控。

实施零信任架构

  • 管理、监视、审核和报告 Office 365
  • 执行标识生命周期管理
  • 安全地审核 AD、Office 365 和文件服务器
  • 实现自适应身份验证
  • 使用报告和基于 ML 的用户行为分析

管理、监视、审核和报告 Office 365

使用AD360简化复杂的任务,例如批量用户管理和批量邮箱管理。管理员可以持续监视 Office 365,接收有关服务中断的实时电子邮件通知,并查看终结点的可用性。管理员还可以查看特定事件的详细详细信息,并访问其 Office 365 功能和终结点的性能和运行状况。AD360 还提供详细的报告,帮助进行合规性管理以及确保 Office 365 安全的其他任务。

执行标识生命周期管理

借助AD360提供的身份生命周期管理解决方案,自动执行用户配置、修改、取消配置和Active Directory (AD)管理等日常管理任务。为数以千计的用户(包括临时员工和承包商)执行身份管理任务会给 IT 管理员带来繁重的工作量。AD360消除了这些任务的手动处理,并有助于排除通常由人为引起的冗余和错误。称职且简化的身份管理解决方案可确保遵循严格的访问策略,以便根据用户的角色和要求为用户提供适当的访问级别。这是采用零信任的关键一步。

允许从单个控制台跨 AD、Exchange Server、Office 365 和 G-Suite 轻松配置、修改和取消配置多个用户帐户和邮箱。可自定义的用户创建模板可用于从 CSV 文件导入数据以批量配置用户帐户。通过集成 AD、Office 365、Exchange、G-Suite 和 HR 管理系统应用程序,AD360 为管理员简化了关键的 IT 管理任务,否则他们必须管理多个应用程序和工具。这有助于组织节省宝贵的人力和资源,同时保持安全性和生产力。

安全地审核 AD、Office 365 和文件服务器

管理员可以监控 AD、Office 365、Windows Server 和 Exchange Server,以保持最新状态并获取更改报告。内置的合规性报告和高级审计功能也使合规性管理变得容易,从而最大限度地减少了 IT 管理员的工作量。关键更改的实时审核报告通过持续监视 AD、Office 365 和 Exchange Server 环境中的用户登录活动和其他更改来帮助检测内部威胁。

实现自适应身份验证

管理员可以使用AD360执行自适应身份验证,并通过身份分析工具实施更严格的安全性。通过利用大数据、机器学习 (ML) 和 AI 等技术,身份分析工具可提供基于上下文风险的身份验证。反过来,这有助于跟踪异常的用户行为并限制访问权限,同时增强特权帐户的安全性和监控。根据最小权限原则,用户可以访问应用程序和资源,这是零信任的核心原则之一。

AD360提供MFA和SSO功能,可缓解身份盗用和密码攻击。MFA 与 SSO 相结合,提供了额外的安全层和无缝的用户体验,减少了管理密码所花费的时间,同时提高了整体工作效率。密码正处于过时的边缘,因为它们在提供对复杂密码攻击的免疫力方面效率低下。密码管理模块允许管理员通过指定密码长度、复杂性、有效期和精细密码设置来实施严格的密码策略。用户可以重置其密码并更新其 AD 配置文件中的用户属性。

使用报告和基于 ML 的用户行为分析

AD360采用用户行为分析(UBA)主动检测用户行为异常,并提供智能威胁警报。UBA 提供更高的准确性和效率,同时降低误报警报的发生率。在很长一段时间内分析用户行为,并在数据分析和机器学习的帮助下制定正常用户活动的基线。每当有偏离正常用户行为的情况时,UBA 解决方案都会将其视为异常,并立即通知管理员。这对于检测内部威胁和特权滥用特别有用。传统的安全解决方案通常采用基于规则的威胁检测技术,这可能会无意中导致误报。这在识别实际威胁方面造成了困难,从而影响了组织的安全。同样,传统解决方案不采用机器学习,也无法精确检测异常。通过利用AD360提供的基于ML的UBA功能,组织可以构建零信任模型,以确保最大的安全性。

实施零信任的最佳实践

  • 识别敏感数据,并根据其优先级和毒性对其进行分类。
  • 使用最小权限原则限制和控制对用户、数据和应用程序的访问。
  • 使用安全分析持续监控和跟踪网络活动,以检测内部和外部威胁。
  • 监控端点以主动检测威胁并采用精细的访问策略。
  • 自动执行监控和安全分析流程,以最大程度地减少错误和风险。

AD360 是一款集成式身份和访问管理(IAM)解决方案,用于管理用户身份、管理对资源的访问、实施安全性和确保合规性。允许用户快速访问所需资源,同时建立严格的访问控制,从集中式控制台确保本地Active Directory、Exchange Server和云应用程序的安全性,从而帮助管理员简化IT环境中的IAM。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/219477.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

如何计算 ChatGPT 的 Tokens 数量?

一、基本介绍 随着人工智能大模型技术的迅速发展,一种创新的计费模式正在逐渐普及,即以“令牌”(Token)作为衡量使用成本的单位。那么,究竟什么是Token呢? Token 是一种将自然语言文本转化为计算机可以理…

vue2项目中添加字体文件

vue2项目中添加字体文件 1、下载相关文件&#xff0c;放置文件夹中&#xff0c;这里我是在assets文件中新建了fontFamily 2、在assets文件中新建css文件 3、在页面中使用 <style lang"less" scoped> import ../../assets/css/fonts.less;.total-wrap {displa…

esp32使用命令查看芯片flash大小以及PSRAM的大小

在idf.py命令窗口中输入 esptool.py -p COM* flash_id 其中COM*是连接你的esp32芯片的端口号。

蓝桥杯算法心得——想吃冰淇淋和蛋糕(dp)

大家好&#xff0c;我是晴天学长&#xff0c;dp题&#xff0c;怎么设计状态很重要&#xff0c;需要的小伙伴可以关注支持一下哦&#xff01;后续会继续更新的。&#x1f4aa;&#x1f4aa;&#x1f4aa; 1) .想吃冰淇淋和蛋糕 想吃冰淇淋与蛋糕 输入格式 第一行输入一个整数n。…

认识异常 ---java

目录 一. 异常的概念 二. 异常的体系结构 三. 异常的分类 三. 异常的处理 3.1 异常的抛出throw 3.2. 异常声明throws 3.3 捕获并处理try-catch finally 3.4异常的处理流程 四. 自定义异常类 一. 异常的概念 在 Java 中&#xff0c;将程序执行过程中发生的不正常行为称为…

设计模式之结构型模式(适配器、桥接、组合、享元、装饰者、外观、代理)

文章目录 一、结构型设计模式二、适配器模式三、桥接模式四、组合模式五、享元模式六、装饰者模式七、外观模式八、代理设计模式 一、结构型设计模式 这篇文章我们来讲解下结构型设计模式&#xff0c;结构型设计模式&#xff0c;主要处理类或对象的组合关系&#xff0c;为如何…

怎样实现燃气产业的数字化转型之路?

关键词&#xff1a;智慧燃气、燃气数字化、智慧燃气建设、智慧燃气解决方案、智慧燃气平台 燃气产业不仅是我国能源的支柱产业&#xff0c;更是推进经济建设与生态保护协同发展的主战场。数字技术与企业生产、经营及管理深度融合是驱动企业转型升级的重要路径。基于产业融合视…

【bash指令全集合】最全教程-持续更新!

作者&#xff1a;20岁爱吃必胜客&#xff08;坤制作人&#xff09;&#xff0c;近十年开发经验, 跨域学习者&#xff0c;目前于新西兰奥克兰大学攻读IT硕士学位。荣誉&#xff1a;阿里云博客专家认证、腾讯开发者社区优质创作者&#xff0c;在CTF省赛校赛多次取得好成绩。跨领域…

智慧工地源码 SaaS模式云平台

伴随着技术的不断发展&#xff0c;信息化手段、移动技术、智能穿戴及工具在工程施工阶段的应用不断提升&#xff0c;智慧工地概念应运而生&#xff0c;庞大的建设规模催生着智慧工地的探索和研发。 什么是智慧工地&#xff1f; 伴随着技术的不断发展&#xff0c;信息化手段、移…

基于Jenkins实现接口自动化持续集成

一、JOB项目配置 1、添加描述 可选选项可填可不填 2、限制项目的运行节点 节点中要有运行环境所需的配置 节点配置教程&#xff1a;https://blog.csdn.net/YZL40514131/article/details/131504280 3、源码管理 需要将脚本推送到远程仓库中 4、构建触发器 可以选择定时构建…

内衣迷你洗衣机什么牌子好?好用不贵的内衣洗衣机推荐

由于内衣洗衣机在目前的市场上越来越受欢迎&#xff0c;使得不少的小伙伴都在犹豫要不要为自己入手一台专用的内衣洗衣机&#xff0c;专门来清洗一些内衣裤等等贴身衣物&#xff0c;这个问题的答案是很有必要的&#xff0c;因为目前市场上的家用大型洗衣机对衣物只能够起到清洁…

AI 大模型爆发后,智能计算的需求有多强烈?

自从 ChatGPT 横空出世以来&#xff0c;AI 技术就成为科技领域备受关注的热门话题之一。据 OpenAI 的报告显示&#xff0c;自 2012 年以来&#xff0c;AI 大模型的规模呈指数级增长&#xff0c;其参数数量每 16 个月翻一番。 这些大型预训练模型&#xff0c;如 GPT-4、文心一言…

uniapp-hubildx配置

1.配置浏览器 &#xff08;1&#xff09;运行》运行到浏览器配置》配置web服务器 &#xff08;2&#xff09;选择浏览器安装路径 &#xff08;3&#xff09;浏览器安装路径&#xff1a; &#xff08;3.1&#xff09; 右键点击图标》属性 &#xff08;3.2&#xff09;选择目标&…

ubuntu安装kafka

一、前提&#xff0c;先去安装java环境 二、安装kafka wget http://www.apache.org/dyn/closer.cgi?path/kafka/2.8.0/kafka_2.13-3.6.0.tgz tar xzf kafka_2.13-3.6.0.tgz mv kafka_2.13-3.6.0 /usr/local/kafka // 这一步也可以不用 启动zookeeper sudo /usr/local/kafka_2…

ubuntu启动kafka报错Could not create the Java Virtual Machine.

网上有两种方式&#xff0c;但是需要具体看自己的错误信息&#xff0c;我的错误信息如下: 这里大概是说要写入日志无权限&#xff0c;所以执行的时候&#xff0c;前面加一下sudo 执行成功。

10.机器人系统仿真(urdf集成gazebo、rviz)

目录 1 机器人系统仿真的必要性与本篇学习目的 1.1 机器人系统仿真的必要性 1.2 一些概念 URDF是 Unified Robot Description Format 的首字母缩写&#xff0c;直译为统一(标准化)机器人描述格式&#xff0c;可以以一种 XML 的方式描述机器人的部分结构&#xff0c;比如底盘…

利用yolov5输出提示框,segment-anything生成掩膜实现图像的自动标注

文章目录 一. 创建环境二. 下载模型文件三. 编辑代码 一. 创建环境 anaconda下新建一个环境 conda create -n yolo-sam python3.8激活新建的环境 conda activate yolo-sam更换conda镜像源 conda config --add channels https://mirrors.tuna.tsinghua.edu.cn/anaconda/pkgs/fre…

Hive SQL的各种join总结

说明 Hive join语法有6中连接 inner join&#xff08;内连接&#xff09;、left join&#xff08;左连接&#xff09;、right join&#xff08;右连接&#xff09;、full outer join&#xff08;全外连接&#xff09;、left semi join&#xff08;左半开连接&#xff09;、cr…

批量免费AI写作工具,批量免费AI写作软件

人工智能&#xff08;AI&#xff09;的应用在各个领域不断创新。面对繁重的写作任务,我们应该怎么完成&#xff1f;本文将专心分享批量免费AI写作的方法、工具以及选择时需要注意的事项。 批量免费AI写作的方法 利用开源AI模型 一种常见的批量免费AI写作方法是利用开源的AI模…

CUDA简介——CUDA内存模式

1. 引言 前序博客&#xff1a; CUDA简介——基本概念CUDA简介——编程模式CUDA简介——For循环并行化CUDA简介——Grid和Block内Thread索引 CUDA内存模式&#xff0c;采用分层设计&#xff0c;是CUDA程序与正常C程序的最大不同之处&#xff1a; Thread-Memory Correspondenc…