freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

老柳談安全 | 零信任架構2.0的進化:以人為中心的身份管理
2020-07-27 10:39:30
零信任架構是美創數據安全實踐的核心遵循思想。美創從數據不應該自動信任任何人的基本觀點開始,從2010年開始實踐,在2015年左右正式形成了零信任架構1.0版本,在美創科技的每個數據安全產品中無縫落地。在經過5年的成熟實踐之后,近期美創科技零信任架構即將升級為2.0版本,以更好的滿足數據安全和網絡安全的訴求。

?

零信任架構2.0是零信任1.0四大基本原則和六大實踐原則的進化版本,以更加適應不斷開放的網絡環境。零信任2.0與零信任1.0相比,主要有以下變革:

1、更加堅決的在不可靠網絡中尋求可靠支撐點,在承認無邊界訪問的事實之上重新定義了邊界,以人,邊界,資產構成非安全網絡的三個基本支撐點。

2、智能化模式識別判斷每一個行為的上下文變化和匹配,不斷評估信任和風險,實現真正的基于上下文風險的動態訪問。

3、充分認知到數據流動場景已成為主要的安全場景之一,并且讓零信任架構覆蓋數據流動場景。

本篇主要講述零信任架構2.0中基本支撐點之一:以人為中心的身份管理。

傳統感知上,在網絡里用位置和賬戶來認知用戶或者身份,但由于位置和賬戶具有共享性、可變更性以及可劫持可盜用等特點,因此無法成為非安全網絡中的有效支撐點。我們講非安全網絡,其中一個核心原因在于位置和賬戶的非安全性。在零信任1.0的六大實踐中已經明確了資產作為網絡第一有效支撐點,身份是僅次于資產的第二個有效支撐點,明確提出了從保護目標開始和以身份為基礎而不是以賬戶為基礎兩大實踐原則。
以人為中心的身份管理作為零信任架構2.0中基本支撐點之一,就是對于以身份為基礎而不是以賬戶為基礎這個實踐原則的進一步深化和加強。

01人、終端、應用、賬戶的身份四要素

零信任架構實現的過程本質上就是不斷在非安全網絡中尋找可靠支撐點的過程。毋庸置疑,人是網絡中最為可靠的支撐點,任何網絡上的身份要素和現實中的人越接近則可靠度越高,越遠離則可靠度越差。

人為了在網絡中活動,需要終端的支持;終端要訪問目標則需要應用的支持,有價值目標的訪問則必然需要賬戶支撐。人、終端、應用、賬戶構成了身份的四個基本要素,共同錨定一個現實生活中的人。

02人如何作用于網絡,成為非安全網絡的明燈
人雖然是網絡中的最可靠支撐點,但是人本身游離在網絡之外,為了讓人進入網絡需要代表人的轉換媒介。代表人的轉換媒介可以是強媒介,也可以是弱媒介,但都須具有一個共同特性:必須可以映射到唯一的人,而不是眾多的人。

典型的強媒介是游離在網絡之外的憑證,比如指紋、虹膜、人臉、靜脈等生物識別或是手機、ukey、卡等可攜帶的硬件。典型的弱媒介本身就是網絡的一部分,比如:唯一映射的賬戶(共享賬戶不能成為媒介),證書等等。如同生活中具有雙胞胎辨別困難,在確定了人之后需要檢測人是否被盜用和假冒的情況。而以人為中心的MFA或者模糊身份認證體系可以幫助我們更好的確定是否是生活中真實的人,正確的人。

03構建可信終端,成為非安全網絡的錨點
可信終端和人一樣,在非安全網絡中開辟出一塊相對安全空間,成為可靠支點??尚沤K端是一個訪問客戶端,以硬件或者軟件方式存在于非安全終端上,為每個可信終端分配編號和證書,確保該終端是受管控的,非入侵的。我們可以進行策略設置,所有有價值目標都必須通過可信終端進行訪問,從而保證訪問身份的可靠性。當可信終端建立和人之間的關聯之后,可以幫助我們進行事件快速追溯和定位。

04安全應用讓每個行動都是可確認的
無論是人還是可信終端,當操作的應用是假冒或者可注入時,他們就都成了“工具人”,可以在毫無防備的情況下幫助入侵者達成他所需要的結果。因此,我們需要為每一個訪問有價值目標的應用建立準入清單,簽發證書或者指紋,確認應用程序處于安全狀態。

05責任到人的賬戶和密碼托管
由于賬戶管理的脆弱性,所以賬戶獨立成為人的映射具有比較大的風險。賬戶管理最大的風險在于:共享賬戶和密碼泄露。

共享賬戶的意思是一個賬戶可以被多人使用,無法做到賬戶到人的唯一映射,無法做到責任到人。共享即公共,因此共享賬戶最終會發展成為所有人都可以使用的賬戶。除了共享賬戶以外,密碼泄露是賬戶管理的另一個巨大風險,運行了40多年的復雜性密碼實踐宣布放棄,已經證明了密碼管理的脆弱性和復雜性。而密碼托管是解決共享賬戶和密碼脆弱性的有效工具。

最后總結一下:零信任架構需要在不確定性網絡尋找確定性的支撐點,以人為中心的身份管理體系為零信任架構提供了可靠的確定性支撐點。而人、可信終端、應用和賬戶構成了以人為中心的身份管理體系的身份四要素。
文章來源:杭州美創科技有限公司 柳遵梁

本文作者:, 轉載請注明來自FreeBuf.COM

# 零信任體系 # 零信任 # 零信任架構 # 零信任安全
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网