零信任网络安全

随着数字化转型的发生,网络边界也在不断被重新定义,因此,组织必须使用新的安全方法重新定义其防御策略。

零信任是一种基于“永不信任,永远验证”原则的安全方法,它强调无论在公司内部或外部,任何用户、设备或网络都不能从本质上被信任。

零信任模型

零信任模型旨在通过帮助组织采取全面的方法来实现强大的网络安全态势,从而加强和保护组织,当组织根据其基础设施的需求遵循不同的技术和策略,而不仅仅是一个独立的策略时,就可以实现这一点。以下是一些零信任准则:

  • 微分段
  • 多因素身份验证
  • 单点登录(SSO)
  • 最小特权原则
  • 持续监控和审核用户活动
  • 监控设备

微分段

微分割是零信任模型中最重要的方面之一,它是将网络边界分解为更易于管理的小型安全区域的过程,这些区域被称为微段。与大型网络相比,微分段更容易监控、实现特定的安全策略以及建立精细的访问和控制,这反过来又提供了对单个网络资源、应用程序和数据的更好的可见性和访问。

微分段可确保攻击面尽可能小,通过这种方式,它减少了组织成为网络攻击牺牲品的机会,它防止流量在网络内横向移动,即服务器到服务器、应用程序到服务器等。组织可以通过多种方式创建微细分,例如,组织可以根据位置、特权数据资产、用户身份(员工或第三方用户)、个人身份信息、虚拟机、重要应用程序、软件等创建它们。

多因素身份验证

通过多重身份验证(MFA)等安全方法,为所有用户和网络资源提供经过身份验证和授权的访问。MFA要求用户使用多种身份验证因素来证明和验证自己的身份,例如通常的用户名密码组合、指纹扫描以及发送到移动设备的代码或一次性密码(OTP)。与双因素身份验证不同,MFA应至少包含三个用于对用户进行身份验证的因素,这三个因素可以是用户知道的东西(密码),用户拥有的东西(身份验证应用程序上的OTP),以及用户本身的东西(指纹等生物识别技术)。

然而,对于组织来说,考虑网络威胁可以绕过 MFA 这一事实也很重要,这就是为什么他们必须拥有强大的 MFA 方法。

在这里插入图片描述

单点登录(SSO)

单点登录(SSO)使用户能够使用其凭据登录一次,并有权访问其所有应用程序。SSO 通过在应用程序和身份提供者之间交换身份验证令牌来工作,每当用户登录时,都会创建并记住此令牌,以建立用户已通过验证的事实,用户将尝试访问的任何应用程序或门户都将首先与身份提供者进行验证,以确认用户的身份。

SSO 允许用户为自己的帐户创建并记住一个强密码,而不是多个密码。这种方法还有助于避免密码疲劳和减少攻击面,它进一步确保用户不会使用重复的密码来访问多个门户和应用程序。从安全的角度来看,SSO 提供了从中心位置对所有用户活动的集中可见性,它允许组织为整个组织实现更强的密码策略。

最小特权原则

最小特权原则(POLP)是零信任的核心原则之一,它只允许用户访问其工作所需的数据、应用程序和服务。由于用户是任何组织中最薄弱的环节,因此此策略确保仅在需要知道的基础上授予他们对资源的访问权,实施POLP的方法包括:

  • 基于角色的访问控制:根据每个用户在组织中的角色,允许或拒绝其访问数据或网络资源。例如,财务团队的员工只能访问与财务相关的数据,而不能访问其范围之外的信息。
  • 实时特权访问管理:在预定的时间段内授予对资源和应用程序的访问权限。一旦定义的时间过期,授予用户的访问将被自动撤销。例如,一周中只需要访问门户几天的用户将只在这些特定的日子获得访问权限。
  • 恰到好处的资源访问权限:用户只能访问他们执行任务所需的资源或服务。例如,用户需要访问报表,但只能使用其中的一部分,在这种情况下,用户只能访问其工作所需的报告部分。
  • 基于风险的访问控制:根据与用户相关的风险评分授予用户访问权限,风险评分较高的用户需要应对额外的身份验证挑战,而风险得分较低的用户则需要遵循一般的用户名/密码方法。

持续监控和审核用户活动

对所有用户活动进行持续监控和审核非常重要的,主动寻找任何潜在威胁的方法有助于防止恶意攻击。日志数据由 SIEM 解决方案引入,应对其进行进一步分析,并应配置实时警报,以防检测到任何异常活动。

监控设备

严格控制的监控设备也是零信任网络不可或缺的一部分,监控可以访问网络的设备数量并检查它们是否被授权访问网络资源是很重要的。组织还应该跟踪托管和非托管设备,并确保这些设备定期打补丁和更新。对于网络中的BYOD设备和访客设备,应采取严格的访问控制和威胁检测措施,以降低攻击面扩大的风险。

实施和采用零信任模型的最佳做法

那么,如何创建零信任架构呢?以下是构建零信任环境采用的一些常见但典型的做法。

  • 识别所有关键和敏感数据、网络组件和资源,并根据优先级对它们进行分组。
  • 验证所有设备(包括终端设备),以确保对组织资源的安全访问。
  • 强制实施最低权限策略,并尽量减少和限制对数据、应用程序、服务和资源的访问。
  • 识别并禁用前员工的用户帐户,因为恶意内部人员可能会利用这些孤立和过时的帐户来访问组织的敏感数据和资源。
  • 主动监控和审核所有用户活动,以跟踪他们在网络中的行踪,配置实时警报,以通知 IT 团队检测到的任何异常活动。
  • 调查和验证来自组织网络内部和外部的流量。

采用并实施零信任安全方法,以确保对网络及其组件的受限和安全访问,这样做可以最大程度地减少组织遭受网络威胁的风险。

SIEM 解决方案(如Log360)可通过其 UEBA 和 CASB 功能帮助组织维护零信任环境。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/373241.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ST Smart Things Sentinel:一款针对复杂IoT协议的威胁检测工具

关于ST Smart Things Sentinel ST Smart Things Sentinel,简称ST,是一款功能强大的安全工具,广大研究人员可以使用该工具检测物联网 (IoT) 设备使用的复杂协议中的安全威胁。 在不断发展的联网设备领域,ST Smart Things Sentinel…

【人工智能】-- 搜索技术(状态空间法)

个人主页:欢迎来到 Papicatch的博客 课设专栏 :学生成绩管理系统 专业知识专栏: 专业知识 文章目录 🍉引言 🍈介绍 🍉状态空间法 🍈状态空间的构成 🍍状态 🍍算符…

opencv读取视频文件夹内视频的名字_时长_帧率_分辨率写入excel-cnblog

看视频的时候有的视频文件名贼长。想要翻看,在文件夹里根本显示不出来,缩短又会丢失一些信息,所以我写了一份Python代码,直接获取视频的名字,时长,帧率,还有分辨率写到excel里。 实际效果如下图…

一、openGauss详细安装教程

一、openGauss详细安装教程 一、安装环境二、下载三、安装1.创建omm用户2.授权omm安装目录3.安装4.验证是否安装成功5.配置gc_ctl命令 四、配置远程访问1.配置pg_hba.conf2.配置postgresql.conf3.重启 五、创建用户及数据库 一、安装环境 Centos7.9 x86openGauss 5.0.1 企业版…

【论文速读】| 用于安全漏洞防范的人工智能技术

本次分享论文:Artificial Intelligence Techniques for Security Vulnerability Prevention 基本信息 原文作者:Steve Kommrusch 作者单位:Colorado State University, Department of Computer Science, Fort Collins, CO, 80525 USA 关键…

4:表单和通用视图

表单和通用视图 1、编写一个简单的表单&#xff08;1&#xff09;更新polls/detail.html文件 使其包含一个html < form > 元素&#xff08;2&#xff09;创建一个Django视图来处理提交的数据&#xff08;3&#xff09;当有人对 Question 进行投票后&#xff0c;vote()视图…

初识STM32:寄存器编程 × 库函数编程 × 开发环境

STM32的编程模型 假如使用C语言的方式写了一段程序&#xff0c;这段程序首先会被烧录到芯片当中&#xff08;Flash存储器中&#xff09;&#xff0c;Flash存储器中的程序会逐条的进入CPU里面去执行。 CPU相当于人的一个大脑&#xff0c;虽然能执行运算和执行指令&#xff0c;…

ASP.NET Core----基础学习01----HelloWorld---创建Blank空项目

文章目录 1. 创建新项目--方式一&#xff1a; blank2. 程序各文件介绍&#xff08;Project name &#xff1a;ASP.Net_Blank&#xff09;&#xff08;1&#xff09;launchSettings.json 启动方式的配置文件&#xff08;2&#xff09;appsettings.json 基础配置file参数的读取&a…

分布式锁(仅供自己参考)

分布式锁&#xff1a;满足分布式系统或集群式下多进程可见并且互斥的锁&#xff08;使用外部的锁&#xff0c;因为如果是集群部署&#xff0c;每台服务器都有一个对应的tomcat&#xff0c;则每个tomcat的jvm就不同&#xff0c;锁对象就不同&#xff08;加锁的机制&#xff0c;每…

【UML用户指南】-32-对体系结构建模-部署图

目录 1、对嵌入式系统建模 2、对客户/服务器系统建模 3、对全分布式系统建模 部署图展示运行时进行处理的结点和在结点上生存的制品的配置。 部署图用来对系统的静态部署视图建模。 在UML中&#xff0c;可以 1&#xff09;利用类图和制品图来思考软件的结构&#xff0c; …

【初阶数据结构】1.算法复杂度

文章目录 1.数据结构前言1.1 数据结构1.2 算法1.3 如何学好数据结构和算法 2.算法效率2.1 复杂度的概念2.2 复杂度的重要性 3.时间复杂度3.1 大O的渐进表示法3.2 时间复杂度计算示例3.2.1 示例13.2.2 示例23.2.3 示例33.2.4 示例43.2.5 示例53.2.6 示例63.2.7 示例7 4.空间复杂…

音视频开发—FFmpeg处理流数据的基本概念详解

文章目录 多媒体文件的基本概念相关重要的结构体操作数据流的基本步骤1.解复用&#xff08;Demuxing&#xff09;2.获取流&#xff08;Stream&#xff09;3. 读取数据包&#xff08;Packet&#xff09;4. 释放资源&#xff08;Free Resources&#xff09;完整示例 多媒体文件的…

基于SpringBoot构造超简易QQ邮件服务发送(分离-图解-新手)

目录 获取QQ 授权码 SpringBoot构建 依赖 Yaml配置 服务编写 测试 获取QQ 授权码 https://mail.qq.com/ 接着后就会有对应的密钥了 SpringBoot构建 依赖 这里的建议是 2.0系列的Springboot版本用低一点的邮件依赖 <!-- 电子邮件 --> <dependency>&…

字节码编程javassist之生成带有注解的类

写在前面 本文看下如何使用javassist生成带有注解的类。 1&#xff1a;程序 测试类 package com.dahuyou.javassist.huohuo.cc;import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import ja…

神经网络设计过程

1.可根据Iris特征直接判断 2.神经网络方法&#xff0c;采集大量的Iris特征&#xff0c;分类对应标签&#xff0c;构成数据集。 将数据集喂入搭好的神经网络结构&#xff0c;网络通过反向传播优化参数得到模型。 有新的网络送入到模型里&#xff0c;模型会给出识别结果。 3.…

低空经济火爆:无人机培训机构工作开展详解

随着低空经济的迅速崛起&#xff0c;无人机技术在多个领域得到了广泛应用&#xff0c;从航拍摄影、农业植保到物流配送、环境监测等&#xff0c;都显示出了巨大的市场潜力。无人机培训机构作为培养专业无人机驾驶和操作人才的摇篮&#xff0c;在低空经济的发展中扮演着至关重要…

Vue项目openlayers中使用jsts处理wkt和geojson的交集-(geojson来源zpi解析)

Vue项目openlayers中使用jsts处理wkt和geojson的交集-(geojson来源zpi解析) 读取压缩包中的shape看上一篇笔记&#xff1a;Vue项目读取zip中的ShapeFile文件&#xff0c;并解析为GeoJson openlayers使用jsts官方示例&#xff1a;https://openlayers.org/en/latest/examples/j…

已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!

已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法&#xff0c;亲测有效&#xff01;&#xff01;&#xff01; 目录 一、问题分析 二、报错原因 三、解决思路 四、解决方法 五、总结 博主v&#xff1a;XiaoMing_Java 博主v&#x…

昇思25天学习打卡营第16天|Vision Transformer图像分类

昇思25天学习打卡营第16天|Vision Transformer图像分类 前言Vision Transformer图像分类Vision Transformer&#xff08;ViT&#xff09;简介模型结构模型特点 环境准备与数据读取模型解析Transformer基本原理Attention模块 Transformer EncoderViT模型的输入整体构建ViT 模型训…

【自学网络安全】:安全策略与用户认证综合实验

实验拓扑图&#xff1a; 实验任务&#xff1a; 1、DMZ区内的服务器&#xff0c;办公区仅能在办公时间内(9:00-18:00)可以访问&#xff0c;生产区的设备全天可以访问 2、生产区不允许访问互联网&#xff0c;办公区和游客区允许访问互联网 3、办公区设备10.0.2.10不允许访问Dmz区…