老柳談安全|零信任架構2.0的進化:以人為中心的身份管理
圖
1
:老柳談安全
零信任架構是美創資料安全實踐的核心遵循思想。美創從資料不應該自動信任任何人的基本觀點開始,從2010年開始實踐,在2015年左右正式形成了零信任架構1.0版本,在美創科技的每個資料安全產品中無縫落地。在經過5年的成熟實踐之後,近期美創科技零信任架構即將升級為2.0版本,以更好的滿足資料安全和網路安全的訴求。
圖2:美創零信任1.0與零信任2.0
美創科技零信任架構 2.0 是零信任 1.0 四大基本原則和六大實踐原則的進化版本,以更加適應不斷開放的網路環境。零信任 2.0 與零信任 1.0 相比,主要有以下變革:
1 、更加堅決的在不可靠網路中尋求可靠支撐點,在承認無邊界訪問的事實之上重新定義了邊界,以人,邊界,資產構成非安全網路的三個基本支撐點。
2 、智慧化模式識別判斷每一個行為的上下文變化和匹配,不斷評估信任和風險,實現真正的基於上下文風險的動態訪問。
3 、充分認知到資料流動場景已成為主要的安全場景之一,並且讓零信任架構覆蓋資料流動場景。
本篇主要講述美創科技零信任架構 2.0 中基本支撐點之一: 以人為中心的身份管理。
傳統感知上,在網路裡用位置和賬戶來認知使用者或者身份,但由於位置和賬戶具有共享性、可變更性以及可劫持可盜用等特點,因此無法成為非安全網路中的有效支撐點。我們講非安全網路,其中一個核心原因在於位置和賬戶的非安全性。在美創零信任 1.0 的六大實踐中已經明確了資產作為網路第一有效支撐點,身份是僅次於資產的第二個有效支撐點,明確提出了從保護目標開始和以身份為基礎而不是以賬戶為基礎兩大實踐原則。 以人為中心的身份管理作為美創科技零信任架構 2.0 中基本支撐點之一,就是對於以身份為基礎而不是以賬戶為基礎這個實踐原則的進一步深化和加強。
01 人、終端、應用、賬戶的身份四要素
零信任架構實現的過程本質上就是不斷在非安全網路中尋找可靠支撐點的過程。毋庸置疑,人是網路中最為可靠的支撐點,任何網路上的身份要素和現實中的人越接近則可靠度越高,越遠離則可靠度越差。
人為了在網路中活動,需要終端的支援;終端要訪問目標則需要應用的支援,有價值目標的訪問則必然需要賬戶支撐。人、終端、應用、賬戶構成了身份的四個基本要素,共同錨定一個現實生活中的人。
02 人如何作用於網路,成為非安全網路的明燈
人雖然是網路中的最可靠支撐點,但是人本身遊離在網路之外,為了讓人進入網路需要代表人的轉換媒介。代表人的轉換媒介可以是強媒介,也可以是弱媒介,但都須具有一個共同特性:必須可以對映到唯一的人,而不是眾多的人。
典型的強媒介是遊離在網路之外的憑證,比如指紋、虹膜、人臉、靜脈等生物識別或是手機、 ukey 、卡等可攜帶的硬體。典型的弱媒介本身就是網路的一部分,比如:唯一對映的賬戶(共享賬戶不能成為媒介),證書等等。如同生活中具有雙胞胎辨別困難,在確定了人之後需要檢測人是否被盜用和假冒的情況。而以人為中心的 MFA 或者模糊身份認證體系可以幫助我們更好的確定是否是生活中真實的人,正確的人。
03 構建可信終端,成為非安全網路的錨點
可信終端和人一樣,在非安全網路中開闢出一塊相對安全空間,成為可靠支點。可信終端是一個訪問客戶端,以硬體或者軟體方式存在於非安全終端上,為每個可信終端分配編號和證書,確保該終端是受管控的,非入侵的。我們可以進行策略設定,所有有價值目標都必須透過可信終端進行訪問,從而保證訪問身份的可靠性。當可信終端建立和人之間的關聯之後,可以幫助我們進行事件快速追溯和定位。
04 安全應用讓每個行動都是可確認的
無論是人還是可信終端,當操作的應用是假冒或者可注入時,他們就都成了“工具人”,可以在毫無防備的情況下幫助入侵者達成他所需要的結果。因此,我們需要為每一個訪問有價值目標的應用建立准入清單,簽發證書或者指紋,確認應用程式處於安全狀態。
05 責任到人的賬戶和密碼託管
由於賬戶管理的脆弱性,所以賬戶獨立成為人的對映具有比較大的風險。賬戶管理最大的風險在於:共享賬戶和密碼洩露。
共享賬戶的意思是一個賬戶可以被多人使用,無法做到賬戶到人的唯一對映,無法做到責任到人。共享即公共,因此共享賬戶最終會發展成為所有人都可以使用的賬戶。除了共享賬戶以外,密碼洩露是賬戶管理的另一個巨大風險,執行了 40 多年的複雜性密碼實踐宣佈放棄,已經證明了密碼管理的脆弱性和複雜性。而密碼託管是解決共享賬戶和密碼脆弱性的有效工具。
最後總結一下: 零信任架構需要在不確定性網路尋找確定性的支撐點,以人為中心的身份管理體系為零信任架構提供了可靠的確定性支撐點。而人、可信終端、應用和賬戶構成了以人為中心的身份管理體系的身份四要素。
美創科技聚焦敏感資料,創新實踐“零信任”安全理念,圍繞資料生產、傳輸、儲存、使用、共享、銷燬的全生命週期,構建由內到外的主動式縱深防禦體系,致力於為更多的客戶提供專業的安全解決方案。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69973247/viewspace-2707280/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 都在談零信任,網路安全和零信任架構的核心是什麼?架構
- 以資料庫為中心的架構與以領域為中心的架構的區別 - DevSDhami資料庫架構dev
- 架構重構:通過以任務為中心的視角看軟體的進化架構
- 零信任架構架構
- 零信任安全架構應如何落地?架構
- 擁抱零信任理念,重構安全體系架構架構
- Kubernetes 下零信任安全架構分析架構
- BeyondCorp 打造得物零信任安全架構架構
- 零信任身份治理保障遠端辦公安全
- 如何構建零信任的雲資料架構架構
- Kubernetes零信任架構架構
- 零信任安全網路構建
- 零信任架構助力實現智慧安全3.0可信訪問架構
- 基於零信任架構的IDaaS實現架構
- 以業務需求為中心的雲原生架構體系建設架構
- 以資料為中心的網路安全
- 網際網路的進化:被操縱的網際網路與以人為中心的社群化
- 去中心化基礎架構安全嘗試中心化架構
- 零信任安全市場景氣度高漲 三六零積極構建零信任安全生態
- 騰訊副總裁丁珂:以“零信任”理念重構產業數字化時代安全防禦體系產業
- 淺談:服務架構進化論架構
- 打造全場景、可信任、實戰化的安全架構,智慧安全3.0為智慧城市保駕護航架構
- 當零信任和雲安全組起CP,如何架構來強防護安全體系?架構
- 乾貨:以資料為中心的多層防禦,集中管控式大資料安全架構大資料架構
- 以應用為中心的企業混合雲管理
- 阿里雲身份管理與訪問控制之信任管理:角色扮演,臨時身份和安全令牌阿里
- 從零入門 Serverless | 架構的演進Server架構
- 美創科技以資料為中心的安全治理實踐
- 專車架構進化往事:好的架構是進化來的,不是設計來的架構
- 零信任安全的四個關鍵原則
- Flutter Fish Redux架構演進2.0FlutterRedux架構
- 新零售下的新物流:以消費者為中心實現數字化跨越
- 如何推進一個“以行動為導向的”事件驅動架構?事件架構
- 為什麼電子郵件需要零信任安全模型?模型
- 專案管理中 “以人為本” 的思想(轉)專案管理
- 資料中心安全管理的創新構想
- 零信任內網安全訪問內網
- 勒索軟體破局之道,解讀零信任架構的三大優勢架構