零信任网络安全

随着数字化转型的发生,网络边界也在不断被重新定义,因此,组织必须使用新的安全方法重新定义其防御策略。

零信任是一种基于“永不信任,永远验证”原则的安全方法,它强调无论在公司内部或外部,任何用户、设备或网络都不能从本质上被信任。

零信任模型

零信任模型旨在通过帮助组织采取全面的方法来实现强大的网络安全态势,从而加强和保护组织,当组织根据其基础设施的需求遵循不同的技术和策略,而不仅仅是一个独立的策略时,就可以实现这一点。以下是一些零信任准则:

  • 微分段
  • 多因素身份验证
  • 单点登录(SSO)
  • 最小特权原则
  • 持续监控和审核用户活动
  • 监控设备

微分段

微分割是零信任模型中最重要的方面之一,它是将网络边界分解为更易于管理的小型安全区域的过程,这些区域被称为微段。与大型网络相比,微分段更容易监控、实现特定的安全策略以及建立精细的访问和控制,这反过来又提供了对单个网络资源、应用程序和数据的更好的可见性和访问。

微分段可确保攻击面尽可能小,通过这种方式,它减少了组织成为网络攻击牺牲品的机会,它防止流量在网络内横向移动,即服务器到服务器、应用程序到服务器等。组织可以通过多种方式创建微细分,例如,组织可以根据位置、特权数据资产、用户身份(员工或第三方用户)、个人身份信息、虚拟机、重要应用程序、软件等创建它们。

多因素身份验证

通过多重身份验证(MFA)等安全方法,为所有用户和网络资源提供经过身份验证和授权的访问。MFA要求用户使用多种身份验证因素来证明和验证自己的身份,例如通常的用户名密码组合、指纹扫描以及发送到移动设备的代码或一次性密码(OTP)。与双因素身份验证不同,MFA应至少包含三个用于对用户进行身份验证的因素,这三个因素可以是用户知道的东西(密码),用户拥有的东西(身份验证应用程序上的OTP),以及用户本身的东西(指纹等生物识别技术)。

然而,对于组织来说,考虑网络威胁可以绕过 MFA 这一事实也很重要,这就是为什么他们必须拥有强大的 MFA 方法。

在这里插入图片描述

单点登录(SSO)

单点登录(SSO)使用户能够使用其凭据登录一次,并有权访问其所有应用程序。SSO 通过在应用程序和身份提供者之间交换身份验证令牌来工作,每当用户登录时,都会创建并记住此令牌,以建立用户已通过验证的事实,用户将尝试访问的任何应用程序或门户都将首先与身份提供者进行验证,以确认用户的身份。

SSO 允许用户为自己的帐户创建并记住一个强密码,而不是多个密码。这种方法还有助于避免密码疲劳和减少攻击面,它进一步确保用户不会使用重复的密码来访问多个门户和应用程序。从安全的角度来看,SSO 提供了从中心位置对所有用户活动的集中可见性,它允许组织为整个组织实现更强的密码策略。

最小特权原则

最小特权原则(POLP)是零信任的核心原则之一,它只允许用户访问其工作所需的数据、应用程序和服务。由于用户是任何组织中最薄弱的环节,因此此策略确保仅在需要知道的基础上授予他们对资源的访问权,实施POLP的方法包括:

  • 基于角色的访问控制:根据每个用户在组织中的角色,允许或拒绝其访问数据或网络资源。例如,财务团队的员工只能访问与财务相关的数据,而不能访问其范围之外的信息。
  • 实时特权访问管理:在预定的时间段内授予对资源和应用程序的访问权限。一旦定义的时间过期,授予用户的访问将被自动撤销。例如,一周中只需要访问门户几天的用户将只在这些特定的日子获得访问权限。
  • 恰到好处的资源访问权限:用户只能访问他们执行任务所需的资源或服务。例如,用户需要访问报表,但只能使用其中的一部分,在这种情况下,用户只能访问其工作所需的报告部分。
  • 基于风险的访问控制:根据与用户相关的风险评分授予用户访问权限,风险评分较高的用户需要应对额外的身份验证挑战,而风险得分较低的用户则需要遵循一般的用户名/密码方法。

持续监控和审核用户活动

对所有用户活动进行持续监控和审核非常重要的,主动寻找任何潜在威胁的方法有助于防止恶意攻击。日志数据由 SIEM 解决方案引入,应对其进行进一步分析,并应配置实时警报,以防检测到任何异常活动。

监控设备

严格控制的监控设备也是零信任网络不可或缺的一部分,监控可以访问网络的设备数量并检查它们是否被授权访问网络资源是很重要的。组织还应该跟踪托管和非托管设备,并确保这些设备定期打补丁和更新。对于网络中的BYOD设备和访客设备,应采取严格的访问控制和威胁检测措施,以降低攻击面扩大的风险。

实施和采用零信任模型的最佳做法

那么,如何创建零信任架构呢?以下是构建零信任环境采用的一些常见但典型的做法。

  • 识别所有关键和敏感数据、网络组件和资源,并根据优先级对它们进行分组。
  • 验证所有设备(包括终端设备),以确保对组织资源的安全访问。
  • 强制实施最低权限策略,并尽量减少和限制对数据、应用程序、服务和资源的访问。
  • 识别并禁用前员工的用户帐户,因为恶意内部人员可能会利用这些孤立和过时的帐户来访问组织的敏感数据和资源。
  • 主动监控和审核所有用户活动,以跟踪他们在网络中的行踪,配置实时警报,以通知 IT 团队检测到的任何异常活动。
  • 调查和验证来自组织网络内部和外部的流量。

采用并实施零信任安全方法,以确保对网络及其组件的受限和安全访问,这样做可以最大程度地减少组织遭受网络威胁的风险。

SIEM 解决方案(如Log360)可通过其 UEBA 和 CASB 功能帮助组织维护零信任环境。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/43896.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何检测用户的Chrome插件

背景 已知一些Chrome插件会影响到网站的一些功能,希望在前端主动检测到用户使用了某插件然后弹出提示让用户关闭,以减少客诉 方法 1. 检测资源文件 如图获取插件的ID 启用插件后,打开 chrome-extension://${ID}/manifest.json 找到 web_a…

分享一个 EF6 分页查询数据的 IQueryable 扩展方法

前言 不废话&#xff0c;直接上方法。_ IQueryable 扩展方法 方法一 /// <summary> /// 由其它 Reponsitory 提供数据源&#xff0c;分页查询数据 /// </summary> /// <typeparam name"T"></typeparam> /// <typeparam name"S&quo…

MySQL:TABLE_SCHEMA及其应用

MySQL TABLE_SCHEMA及其应用 - 文章信息 - Author: 李俊才 (jcLee95) Visit me at CSDN: https://jclee95.blog.csdn.netMy WebSite&#xff1a;http://thispage.tech/Email: 291148484163.com. Shenzhen ChinaAddress of this article:https://blog.csdn.net/qq_28550263/ar…

24/07/08数据结构(2.1203)顺序表实现

size属于结构体的作用域 如果要访问一个结构体的指针用-> 如果要访问一个结构体的变量用. 点操作 #include<stdio.h> #include<stdlib.h> #include<string.h> #include"seqlist.h" //typedef struct seqList{ // SLDataType* _data; //需…

20_Inception V3深度学习图像分类算法

回顾GoogleNet:传送门 1.1 介绍 InceptionV3是Google开发的一种深度卷积神经网络架构&#xff0c;它是Inception系列网络中的第三代模型&#xff0c;由Christian Szegedy等人在论文《Rethinking the Inception Architecture for Computer Vision》中提出&#xff0c;该论文发…

基于Java的学生选课系统

第1章 系统概述 1.1概述 背景&#xff1a;随着计算机网络技术的发展&#xff0c;Web 数据库技术已成为应用最为广泛的网站架构基础技术。学生选课系统作为教育单位不可缺少的部分&#xff0c;其内容对于学校的决策者和管理者至关重要。传统的人工管理方式存在效率低、保密性差等…

Python酷库之旅-第三方库Pandas(012)

目录 一、用法精讲 28、pandas.HDFStore.keys函数 28-1、语法 28-2、参数 28-3、功能 28-4、返回值 28-5、说明 28-6、用法 28-6-1、数据准备 28-6-2、代码示例 28-6-3、结果输出 29、pandas.HDFStore.groups函数 29-1、语法 29-2、参数 29-3、功能 29-4、返回…

Python环境配置PyCharm

PyCharm Community设置: A 网络连接 File-Settings-Tools-Web Browsers and Preview-看情况吧[全部删除&#xff0c;换成本地浏览器即可] B Interpreter File-Settings-Project-Python Interpreter-Add Interpreter-System Interpreter-选择 C 系统变量 把B中下载的Pytho…

【从零开始实现stm32无刷电机FOC】【理论】【3/6 位置、速度、电流控制】

目录 PID控制滤波单独位置控制单独速度控制单独电流控制位置-速度-电流串级控制 上一节&#xff0c;通过对SVPWM的推导&#xff0c;我们获得了控制电机转子任意受力的能力。本节&#xff0c;我们选用上节得到的转子dq轴解耦的SVPWM形式&#xff0c;对转子受力进行合理控制&…

JVM之垃圾回收算法详解

垃圾回收算法 Java是如何实现垃圾回收的呢&#xff1f;简单来说&#xff0c;垃圾回收要做的有两件事&#xff1a; 1、找到内存中存活的对象 2、释放不再存活对象的内存&#xff0c;使得程序能再次利用这部分空间 [本质上后续所有的垃圾回收算法&#xff0c;都是在前两种算法的基…

免费下载工具 -- Free Download Manager(FDM) v6.24.0.5818

软件简介 Free Download Manager (FDM) 是一款免费的功能强大的下载管理软件&#xff0c;适用于多种操作系统&#xff0c;包括 Windows、macOS、Android 和 Linux。这款软件的特色在于它快速、安全且高效的下载能力。它可以下载各种热门网站的影片&#xff0c;支持 HTTP/HTTP…

Vatee万腾平台:创新科技,驱动未来

在科技日新月异的今天&#xff0c;每一个创新的火花都可能成为推动社会进步的重要力量。Vatee万腾平台&#xff0c;作为科技创新领域的佼佼者&#xff0c;正以其卓越的技术实力、前瞻性的战略眼光和不懈的探索精神&#xff0c;驱动着未来的车轮滚滚向前。 Vatee万腾平台深知&am…

Linux基本命令的使用示例

目录 1实现效果&#xff1a;在downloads目录下创建1个空文件夹empty&#xff0c;创建1个空文件lake.txt&#xff0c;输入任意数据保存后退出 2实现效果&#xff1a;搜索包含关键字"泉眼"的行 3实现效果&#xff1a;重命名文件夹empty为full&#xff0c;复制文件cc…

Vue3项目如何使用npm link本地测试组件库

一、组件库操作 1、在组件库项目中先运行npm run lib&#xff0c;其效果如下 2、在组件库项目中在运行npm link&#xff0c;其效果如下 会创建一个全局的软连接指向本地的组件库 二、Vue3项目使用 1、在项目中运行 npm link 组件名称&#xff08;即&#xff1a;组件库packag…

ChatGPT提问提示指南PDF下载经典分享推荐书籍

ChatGPT提问提示指南PDF&#xff0c;在本书的帮助下&#xff0c;您将学习到如何有效地向 ChatGPT 提出问题&#xff0c;以获得更准确和有用的回答。我们希望这本书能够为您提供实用的指南和策略&#xff0c;帮助您更好地与 ChatGPT 交互。 ChatGPT提问提示指南PDF下载 无论您是…

swiftui给视图添加边框或者只给某个边设置border边框

直接使用border()就可以给一个视图添加边框效果&#xff0c;但是这种边框会给所有的边都设置上。 border()里面也可以添加属性.border(.blue, width: 5)这种就是设置颜色和宽度。 设置圆角边框 Text("1024小神").padding().cornerRadius(20).overlay(RoundedRectang…

17.分频器设计拓展练习-任意分频通用模块

(1)Verilog代码&#xff1a; module divider_n(clk,reset_n,clk_out);input clk;input reset_n;output clk_out;wire clk_out1;wire clk_out2;wire [9:0]n;wire m;assign n 9;assign m n % 2;divider_even divider_even_inst(.clk(clk),.reset_n(reset_n),.n(n),.en(!m),.cl…

QT程序异常结束解决方法

在用QT开发第三方SDK的时候&#xff0c;刚开始是运行正常的&#xff0c;但是重装系统之后再次运行程序总是出现&#xff1a;程序异常结束。 以下方法尝试无效&#xff0c;但不失为一种排查方法&#xff1a; 重新安装QT&#xff1b;检查Qt Creator配置&#xff0c;编译器位数和…

下载Windows版本的pycharm

Python环境搭建 第一步下载安装python 等待安装完成 验证python是否安装成功 Python开发工具安装部署 JetBrains: Essential tools for software developers and teams PyCharm: the Python IDE for data science and web development 下载社区版本的PyCharm 双击打开下载好的…

计算机视觉研究院 | 智慧工地:2PCNet,昼夜无监督域自适应目标检测(附原代码)

本文来源公众号“计算机视觉研究院”&#xff0c;仅用于学术分享&#xff0c;侵权删&#xff0c;干货满满。 原文链接&#xff1a;智慧工地&#xff1a;2PCNet&#xff0c;昼夜无监督域自适应目标检测&#xff08;附原代码&#xff09; 由于缺乏夜间图像注释&#xff0c;夜间…