《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 零信任原則:了解用戶、服務和設備身份

零信任原則:了解用戶、服務和設備身份

2021-09-25
來源:祺印說信安
關(guān)鍵詞: 零信任

  在零信任網(wǎng)絡中做出訪問決策時,用戶、服務和設備身份是一個非常重要的因素。

  介紹

  身份可以代表用戶(人)、服務(軟件過程)或設備。在零信任架構(gòu)中,每個都應該是唯一可識別的。這是決定是否應授予某人或某物訪問數(shù)據(jù)或服務的權(quán)限的最重要因素之一。

  這些唯一身份是輸入策略引擎的眾多信號之一,策略引擎使用此信息做出訪問決策。例如,在允許訪問服務或數(shù)據(jù)之前,策略引擎可以評估用戶和設備身份信號以確定兩者是否真實。

  用戶、服務和設備分配單一身份來源的重要第一步。

  用戶身份

  組織應使用明確的用戶目錄,創(chuàng)建與個人相關(guān)聯(lián)的帳戶。這可以以虛擬目錄或目錄同步的形式出現(xiàn),以呈現(xiàn)單個用戶目錄的外觀。

  每個身份都應該分配給一個角色,并且應該將其配置為“最低權(quán)限”,因此用戶只能訪問他們執(zhí)行角色所需的內(nèi)容。事實上,這些特權(quán)通常源自用戶在組織內(nèi)的工作職能。

  無論從何處訪問,用戶有一個單一的身份和登錄來源。這將允許更好的用戶體驗,但也允許所有服務具有單一的強身份。

  用戶身份服務應該能夠:

  創(chuàng)建群組

  定義已配置為“最低權(quán)限”的角色

  支持強大的現(xiàn)代身份驗證方法,例如多因素或無密碼身份驗證。

  安全地為用戶提供憑據(jù)

  啟用對服務的聯(lián)合身份驗證(例如 SAML 2.0、OAuth 2.0 或 OpenID Connect)

  在適用的情況下管理外部服務中的用戶身份(例如 SCIM 2.0)

  支持您的加入者、移動者和離開者流程

  支持第三方聯(lián)合 ID(接受來自其他受信任的第三方用戶目錄的身份)

  遷移

  如果有一個現(xiàn)有目錄,遷移到另一個目錄需要仔細規(guī)劃。某些目錄服務允許在目錄之間導入、同步或聯(lián)合,這將實現(xiàn)分階段遷移,或者有效地提供共享目錄。

  外部訪問

  應該考慮如何向組織外部的人員提供訪問權(quán)限。服務可以與外部身份提供者聯(lián)合,以允許訪問適當?shù)姆蘸蛿?shù)據(jù)。例如,訪客可以查看午餐菜單,或者承包商只能訪問與其工作相關(guān)的文檔。

  身份和身份驗證是一個需要仔細考慮的廣泛主題。

  服務令牌

  服務不應該能夠代表用戶采取無限的行動。如果這樣的服務受到威脅,它將提供對系統(tǒng)中任何服務或任何數(shù)據(jù)的高特權(quán)訪問。

  為服務提供適當訪問權(quán)限的更好方法是將每個操作與與用戶身份相關(guān)聯(lián)的范圍和限時訪問令牌相關(guān)聯(lián)。這樣,如果同一服務受到損害,對您的服務造成的損害將僅限于原始操作的權(quán)限。

  如果檢測到異常行為,用戶和設備評估服務或數(shù)據(jù)的信心水平將會下降。應立即觸發(fā)補救措施,因為由于用戶或設備健康狀況的變化,令牌的可信度低于發(fā)布時的可信度。一些補救措施的示例是終止連接或觸發(fā) MFA 提示。

  服務標識

  一項服務或者更準確地說,提供一項服務的軟件——應該有自己獨特的身份,并被授予正常運行所需的最低權(quán)限。這包括根據(jù)服務的身份維護連接的允許列表,將服務之間的網(wǎng)絡通信限制為所需的最小數(shù)量。

  示例身份驗證方法可能涉及每個服務的唯一證書。然后可以使用證書身份驗證在構(gòu)成服務的軟件進程之間形成相互的TLS(傳輸層安全)連接。

  用戶對應用程序或容器平臺的訪問應聯(lián)合到單個用戶目錄中,并使用策略引擎根據(jù)多個信號授權(quán)訪問。如果滿足策略,策略引擎可以做出訪問決策并釋放令牌。

  設備標識

  組織擁有的每臺設備都應在單個設備目錄中唯一標識。這可以實現(xiàn)高效的資產(chǎn)管理,并提供訪問服務和數(shù)據(jù)的設備的清晰可見性。

  定義的零信任策略將使用設備的合規(guī)性和健康聲明來決定它可以訪問哪些數(shù)據(jù)以及它可以執(zhí)行的操作。需要一個強大的身份來確保這些聲明可以得到驗證。

  設備身份的強度取決于設備類型、硬件和平臺:

  設備身份應在安全硬件協(xié)處理器(例如 TPM)上與設備緊密綁定,這將使您對設備身份充滿信心。應盡可能使用密鑰證明來證明身份在安全硬件協(xié)處理器中受到保護。

  與基于 TPM 的方法相比,使用基于軟件的密鑰存儲存儲在管理良好的設備上的身份對設備身份的信心較低。

  相對于上述內(nèi)容,基于軟件的密鑰庫中的非托管設備上的身份對設備身份的可信度最低。

  識別來自另一個組織的設備需要在兩個組織之間建立信任關(guān)系。這應該發(fā)生在治理和技術(shù)層面。

  自帶設備場景

  當允許來自不擁有和管理的設備的請求時,識別可能具有挑戰(zhàn)性。BYOD 模型中的設備仍應具有與其相關(guān)聯(lián)的身份以進行監(jiān)控,但對該設備身份的置信度可能會降低。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。