柯桥区交通投资建设集团网站,网站代码跑偏了怎么做,个人网站导航模版,林云seo博客随着数字化转型的发生#xff0c;网络边界也在不断被重新定义#xff0c;因此#xff0c;组织必须使用新的安全方法重新定义其防御策略。
零信任是一种基于“永不信任#xff0c;永远验证”原则的安全方法#xff0c;它强调无论在公司内部或外部#xff0c;任何用户、设…随着数字化转型的发生网络边界也在不断被重新定义因此组织必须使用新的安全方法重新定义其防御策略。
零信任是一种基于“永不信任永远验证”原则的安全方法它强调无论在公司内部或外部任何用户、设备或网络都不能从本质上被信任。
零信任模型
零信任模型旨在通过帮助组织采取全面的方法来实现强大的网络安全态势从而加强和保护组织当组织根据其基础设施的需求遵循不同的技术和策略而不仅仅是一个独立的策略时就可以实现这一点。以下是一些零信任准则
微分段多因素身份验证单点登录SSO最小特权原则持续监控和审核用户活动监控设备
微分段
微分割是零信任模型中最重要的方面之一它是将网络边界分解为更易于管理的小型安全区域的过程这些区域被称为微段。与大型网络相比微分段更容易监控、实现特定的安全策略以及建立精细的访问和控制这反过来又提供了对单个网络资源、应用程序和数据的更好的可见性和访问。
微分段可确保攻击面尽可能小通过这种方式它减少了组织成为网络攻击牺牲品的机会它防止流量在网络内横向移动即服务器到服务器、应用程序到服务器等。组织可以通过多种方式创建微细分例如组织可以根据位置、特权数据资产、用户身份员工或第三方用户、个人身份信息、虚拟机、重要应用程序、软件等创建它们。
多因素身份验证
通过多重身份验证MFA等安全方法为所有用户和网络资源提供经过身份验证和授权的访问。MFA要求用户使用多种身份验证因素来证明和验证自己的身份例如通常的用户名密码组合、指纹扫描以及发送到移动设备的代码或一次性密码OTP。与双因素身份验证不同MFA应至少包含三个用于对用户进行身份验证的因素这三个因素可以是用户知道的东西密码用户拥有的东西身份验证应用程序上的OTP以及用户本身的东西指纹等生物识别技术。
然而对于组织来说考虑网络威胁可以绕过 MFA 这一事实也很重要这就是为什么他们必须拥有强大的 MFA 方法。 单点登录SSO
单点登录SSO使用户能够使用其凭据登录一次并有权访问其所有应用程序。SSO 通过在应用程序和身份提供者之间交换身份验证令牌来工作每当用户登录时都会创建并记住此令牌以建立用户已通过验证的事实用户将尝试访问的任何应用程序或门户都将首先与身份提供者进行验证以确认用户的身份。
SSO 允许用户为自己的帐户创建并记住一个强密码而不是多个密码。这种方法还有助于避免密码疲劳和减少攻击面它进一步确保用户不会使用重复的密码来访问多个门户和应用程序。从安全的角度来看SSO 提供了从中心位置对所有用户活动的集中可见性它允许组织为整个组织实现更强的密码策略。
最小特权原则
最小特权原则POLP是零信任的核心原则之一它只允许用户访问其工作所需的数据、应用程序和服务。由于用户是任何组织中最薄弱的环节因此此策略确保仅在需要知道的基础上授予他们对资源的访问权实施POLP的方法包括
基于角色的访问控制根据每个用户在组织中的角色允许或拒绝其访问数据或网络资源。例如财务团队的员工只能访问与财务相关的数据而不能访问其范围之外的信息。实时特权访问管理在预定的时间段内授予对资源和应用程序的访问权限。一旦定义的时间过期授予用户的访问将被自动撤销。例如一周中只需要访问门户几天的用户将只在这些特定的日子获得访问权限。恰到好处的资源访问权限用户只能访问他们执行任务所需的资源或服务。例如用户需要访问报表但只能使用其中的一部分在这种情况下用户只能访问其工作所需的报告部分。基于风险的访问控制根据与用户相关的风险评分授予用户访问权限风险评分较高的用户需要应对额外的身份验证挑战而风险得分较低的用户则需要遵循一般的用户名/密码方法。
持续监控和审核用户活动
对所有用户活动进行持续监控和审核非常重要的主动寻找任何潜在威胁的方法有助于防止恶意攻击。日志数据由 SIEM 解决方案引入应对其进行进一步分析并应配置实时警报以防检测到任何异常活动。
监控设备
严格控制的监控设备也是零信任网络不可或缺的一部分监控可以访问网络的设备数量并检查它们是否被授权访问网络资源是很重要的。组织还应该跟踪托管和非托管设备并确保这些设备定期打补丁和更新。对于网络中的BYOD设备和访客设备应采取严格的访问控制和威胁检测措施以降低攻击面扩大的风险。
实施和采用零信任模型的最佳做法
那么如何创建零信任架构呢以下是构建零信任环境采用的一些常见但典型的做法。
识别所有关键和敏感数据、网络组件和资源并根据优先级对它们进行分组。验证所有设备包括终端设备以确保对组织资源的安全访问。强制实施最低权限策略并尽量减少和限制对数据、应用程序、服务和资源的访问。识别并禁用前员工的用户帐户因为恶意内部人员可能会利用这些孤立和过时的帐户来访问组织的敏感数据和资源。主动监控和审核所有用户活动以跟踪他们在网络中的行踪配置实时警报以通知 IT 团队检测到的任何异常活动。调查和验证来自组织网络内部和外部的流量。
采用并实施零信任安全方法以确保对网络及其组件的受限和安全访问这样做可以最大程度地减少组织遭受网络威胁的风险。
SIEM 解决方案如Log360可通过其 UEBA 和 CASB 功能帮助组织维护零信任环境。
