要实现零信任网络安全体系结构，身份和访问管理应该是组织最先开始的核心技术。

随着现在世界越来越多地采用移动和云技术，也就有越来越多的工作在企业安全网络之外完成，企业的敏感资产不再有一堵围墙：员工、合作伙伴和供应商都可以跨传统边界访问企业数据。

安全领域的这种转变导致了零信任模型的诞生。

Gartner 在其 2017 年的 CARTA 框架中，特意强调零信任不仅需要更加关注入口的认证和授权，还要通过自适应的、基于风险的评估来识别潜在访问威胁，持续贯穿用户体验。Forrester Reserch 公司将单点登录 (SSO) 等功能称为一项关键功能，并指出多重身份验证 (MFA) “可成倍地减少访问威胁”。

虽然技术演变，但是零信任核心概念依旧保持不变：在当今的安全环境中，它不再与网络有关，而是与访问您系统的人员以及对这些人的访问控制有关。

因此，我们需要为不同的用户启用安全访问，无论他们的位置、设备和网络。

然而，传统的身份认证管理（IAM）正面临如下困境：

系统结构复杂耗时耗资
扩展性差难以集成新系统
无法满足分布式身份与权限管理的诉求
安全保护机制单一数据泄露风险高
无法应对组织身份和应用快速增长的诉求

这些痛点，恰是 Authing 身份云在零信任中的用武之地。IAM 正面临着三十年未遇的变局，企业可以利用 Authing 作为现在和未来成功的零信任计划的基础。

那么，应该如何建立零信任网络安全体系结构呢？本文将分享五个步骤轻松实现无边界安全。

01 在用户身份中建立信任

第一个步骤是将 MFA 部署到所有应用程序和用户设备中。这之后你会得到一份完整的用户和设备列表，对接下来的步骤很有帮助。

部署 MFA 是一个可以让用户轻松过渡到零信任模式的很好方式。同时也会产生一些挑战，比如管理员需要时间来适应无边界安全的理念，用户样需要时间来习惯每次登录时采取额外的安全措施。

02 用户设备和行为可视化

当已经有了一套系统来确定是否信任用户的身份，接下来要做的是了解他们访问应用程序的设备。

这一步的核心是创建并维护企业和个人所有设备的列表。这能让你能看到所有设备相关的情况，也能帮你捕捉到有关这些设备安全性的关键信息。这非常重要，因为它可以帮你衡量与用户和设备相关的安全⻛险，从而更好地掌握到底是什么类型的设备在访问应用。

03 确保用户设备的可信度

前面，我们已经谈到了零信任如何基于多个属性来管理安全，在新的范式中，许多关键属性告诉你更多关于请求访问的端点设备的信息。对于第三步，你将定义和审查端点设备的特征，这些特征将在每次登录时得到交叉验证。

例如，许多企业使用零信任模型，以两种关键方式建立设备的可信度。

确认它曾被授予过访问权限
强制要求它满足安全规定（如限制设备操作系统的最低版本等）

了解设备是否由企业管理也很重要。

用户和设备的 "可信度判定 "永远在访问应用程序之前。例如，如果用户拥有正确的凭证，但试图从一个在不符合规定的设备登录他们的工作邮箱，他们仍然会被拒绝访问。

这套策略也被叫做 PBAC（基于策略的权限控制）。

04 执行基于风险的自适应的访问策略

接下来，需要创建与用户和设备双重相关的安全策略。

例如，如果一个用户在上午 9 点从家里登录检查电子邮件，这可以被认为是典型的行为，是可以被授权的。但如果同一个用户在周末登录，并在 Salesforce 中检查他们以前没有访问过的客户数据，那就可以认为是异常的，基于风险的模型可以捕捉到这一点。

而且由于与用户及其设备相关的⻛险可能会在访问尝试之间发生变化，例如，用户的设备软件过时了，你的访问策略也必须适应不断变化的条件，以保持可接受的⻛险水平。

05 安全连接所有应用

一旦用户验证了自己的身份和设备的有效性，并且验证了用户-设备策略，用户就可以在其设备和企业的应用程序之间建立安全连接。

首先将零信任模型推广到最高⻛险的应用程序。企业最终需要保护所有应用程序，所以从最重要的应用程序开始，然后逐级下降。需要注意的是，与应用程序的连接并不是根据访问来源的网络来推断是否信任，而是验证用户和设备。

身份是零信任网络安全的基础，Authing 身份云平台经过严肃、精心的设计重构，是以开发者为中心，独立的、中立的、安全的全场景身份云平台，最大化地赋能开发者释放生产力，帮助企业更好地面对各种复杂的业务生态与变化。

关于 Authing

Authing 是国内首款以开发者为中心的全场景身份云产品，为企业和开发者提供完善安全的用户认证和访问管理服务。作为云原生架构下的身份云产品，Authing 在产品创建初期，目标就是服务亿级的企业和个人开发者客户，轻量级、易部署、低消耗、技术栈成熟，运维易的云原生技术产品架构，成为了 Authing 的首选。

点击此处了解更多行业身份管理

「解决方案」以及「最佳实践案例」

如何实现「零信任网络」安全体系结构？教你五步实现无边界安全相关推荐

70页论文，图灵奖得主Yoshua Bengio一作：「生成流网络」拓展深度学习领域
来源:机器学习研究组订阅 GFlowNet 会成为新的深度学习技术吗? 近日,一篇名为<GFlowNet Foundations>的论文引发了人们的关注,这是一篇图灵奖得主 Yoshua ...
网络安全 — 零信任网络访问（ZTNA）
目录文章目录目录零信任网络访问(ZTNA) Identity-driven MFA(身份驱动的多因素身份验证) SDP(软件定义边界) 零信任网络访问(ZTNA) ZTNA(Zero-Trust ...
零信任网络ZTNA及SDP概念理解
本文是对云安全联盟发布的<NIST零信任架构>及<SDP标准规范>的学习记录,用一句话总结:零信任是一种安全理念,SDP是一种落地方案. 一.什么是零信任网络传统模型假设:组 ...
零信任网络ZTNA及SDP概念理解身份认证安当加密
本文是对云安全联盟发布的<NIST零信任架构>及<SDP标准规范>的学习记录,用一句话总结:零信任是一种安全理念,SDP是一种落地方案. 一.什么是零信任网络传统模型假设:组 ...
智安网络详解：零信任网络访问 (ZTNA)原理
传统的基于边界的网络保护将普通用户和特权用户.不安全连接和安全连接,以及外部和内部基础设施部分结合在一起,创建了一个可信区域的假象,很多潜在的安全问题无法解决,越来越多的企业开始转向零信任网络访问来解 ...
为什么零信任网络的设计需求有优先级列表？
为了确定零信任网络的实现范围,我们有必要将本书前面章节描述的零信任网络特性排出一个优先级列表.本书给出如下RFC-格式的优先级建议. 基于上述零信任网络的设计需求优先级列表,下面将深入探讨为这些设计需 ...
这本《零信任网络》上架两个月，一直是程序员们最青睐的网络安全书
<零信任网络>上架两个月了,在京东30日新书热销榜中位列第13位.因为这本书一直稳定的受到程序员们的青睐,所以诚挚的推荐给大家. 零信任网络在不可信网络中构建安全系统在充斥着威胁的网络 ...
九州云腾双因素认证系统_九州云腾董事长尚红林深度解读零信任网络
近日,由安全牛主办的第三届CSO高端沙龙在北京丽亭华苑酒店顺利举行,九州云腾董事长尚红林作为统一身份认证领域资深专家应邀出席沙龙并做精彩分享. 九州云腾董事长尚红林从下一代IDaaS产品和服务出发,谈 ...
浅谈零信任网络，入门必读！
未来已来,只是不均衡地分布在当下大家好,我是菜农,欢迎来到我的频道. 本文共 6471字,预计阅读 20 分钟信任是一个很奢侈的东西,无论人与人,亦或是网络之间.在网络监控无处不在的时代,谁值得信 ...

如何实现「零信任网络」安全体系结构？教你五步实现无边界安全

01

在用户身份中建立信任

02

用户设备和行为可视化

03

确保用户设备的可信度

04

执行基于风险的自适应的访问策略

05

安全连接所有应用

关于 Authing

如何实现「零信任网络」安全体系结构？教你五步实现无边界安全相关推荐

最新文章

热门文章