您当前的位置:首页 > 电脑百科 > 程序开发 > 架构

身份难辨,零信任架构下如何设置访问权限?

时间:2021-10-27 09:24:05  来源:计算机世界  作者:

“零信任”概念没有统一定义难理解?NIST(美国国家标准与技术研究院)梳理了7大“零信任”原则,帮助用户更好的保护网络安全。

身份难辨,零信任架构下如何设置访问权限?

 

近年来,坊间不乏有关零信任的定义,你一定听到过诸如原则、支柱、基本原理和宗旨之类的术语。虽然对零信任还没有一个统一的定义,但是业界对于一个概念有共同的理解还是很有必要的。为此,NIST(美国国家标准与技术研究院)发布了NIST SP 800-207零信任架构,描述了以下关于零信任的七大原则:

01 所有数据源和计算服务都被视为资源

仅将终端用户设备或服务器视为资源的时代早已过去了。今天的网络包括一系列层出不穷的设备,从服务器和端点设备等传统设备,到FaaS(函数即服务)等更动态的云计算服务,不一而足,它们可能需要对你环境中的其他资源拥有特定的访问权限才能执行。

对于你环境中的所有数据和计算资源而言,除了最低权限访问控制措施外,你还必须确保已经实施了基本的验证控制措施,必要时还要实施高级的验证控制措施。与后几条原则密切相关的是,所有这些资源在某种程度上相互关联,可以提供信号上下文,以帮助推动零信任中的架构组件做出决策,这将在第七个原则中进行讨论。

02 无论网络位置如何,所有通信都是安全的

零信任环境中落实了ZTNA(零信任网络访问)这个概念。这与传统的远程访问模式形成了对比;在传统的远程访问模式中,用户完成身份验证连接至VPN,然后在网络内/网络上可以不受限制地访问。

在ZTNA环境中,访问策略是默认拒绝访问,必须对特定资源授予明确的访问权。此外,在ZTNA环境中操作的用户如果没有明确的访问授权,甚至不会意识到环境中存在的应用程序和服务。你很难把注意力转移到你不知道存在的东西上。

身份难辨,零信任架构下如何设置访问权限?

 

如今,地理位置分散的员工们因为新冠肺炎疫情而更加分散,这使得第二条原则对企业来说更重要,现在企业中有很大一部分劳动力要从许多不同的地方和设备访问内部资源。

03 基于每个会话授予访问单个企业资源的权限

“就像季节一样,人也在变化”。这句话对于数字化身份来说更是如此。面对具有动态性的分布式计算环境、云原生架构以及不断暴露在一连串威胁面前的分布式员工队伍,信任应该仅限于单一会话。

你在前一次会话中信任一个设备或身份,并不意味着你在后面的会话中能继续信任他们。每次会话都需要同样严谨地确定设备和身份对你的环境构成的威胁。与用户相关的异常行为或设备安全态势方面的变化都可能会发生,应该与每个会话结合起来,以决定访问和访问程度。

04 对资源的访问取决于动态策略(包括客户身份、应用程序/服务和所请求资产的可观察状态),可能包括其他行为属性和环境属性

现代计算环境很复杂,远远超出了企业的传统边界。应对这种现状的方法之一是,利用所谓的“信号”,在你的环境中做出访问控制决策。

直观显示信号的一种方法是借助微软的Conditional Access(条件访问)图。访问和授权决策应该考虑到信号,信号可以是诸如此类的信息:用户及位置、设备及相关的安全态势、实时风险以及应用程序上下文。这些信号应支持决策过程,比如授予全面访问、有限访问或根本不允许访问。你还可以根据信号采取额外的措施,以请求更高级别的验证保证,比如MFA(多因子验证),并根据这些信号限制授予的访问级别。



Tags:零信任架构   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
“零信任”概念没有统一定义难理解?NIST(美国国家标准与技术研究院)梳理了7大“零信任”原则,帮助用户更好的保护网络安全。 近年来,坊间不乏有关零信任的定义,你一定听到过诸如原...【详细内容】
2021-10-27  Tags: 零信任架构  点击:(33)  评论:(0)  加入收藏
1、背景今天在杭州跟一个金融客户交流网络安全方面的需求,结合他们公司的安全标准,给他们推荐了SDP产品。下面稍微给大家介绍下SDP产品的一些细节内容。2019年底国家推出了《...【详细内容】
2021-02-25  Tags: 零信任架构  点击:(2255)  评论:(0)  加入收藏
▌简易百科推荐
为了构建高并发、高可用的系统架构,压测、容量预估必不可少,在发现系统瓶颈后,需要有针对性地扩容、优化。结合楼主的经验和知识,本文做一个简单的总结,欢迎探讨。1、QPS保障目标...【详细内容】
2021-12-27  大数据架构师    Tags:架构   点击:(3)  评论:(0)  加入收藏
前言 单片机开发中,我们往往首先接触裸机系统,然后到RTOS,那么它们的软件架构是什么?这是我们开发人员必须认真考虑的问题。在实际项目中,首先选择软件架构是非常重要的,接下来我...【详细内容】
2021-12-23  正点原子原子哥    Tags:架构   点击:(7)  评论:(0)  加入收藏
现有数据架构难以支撑现代化应用的实现。 随着云计算产业的快速崛起,带动着各行各业开始自己的基于云的业务创新和信息架构现代化,云计算的可靠性、灵活性、按需计费的高性价...【详细内容】
2021-12-22    CSDN  Tags:数据架构   点击:(10)  评论:(0)  加入收藏
▶ 企业级项目结构封装释义 如果你刚毕业,作为Java新手程序员进入一家企业,拿到代码之后,你有什么感觉呢?如果你没有听过多模块、分布式这类的概念,那么多半会傻眼。为什么一个项...【详细内容】
2021-12-20  蜗牛学苑    Tags:微服务   点击:(8)  评论:(0)  加入收藏
我是一名程序员关注我们吧,我们会多多分享技术和资源。进来的朋友,可以多了解下青锋的产品,已开源多个产品的架构版本。Thymeleaf版(开源)1、采用技术: springboot、layui、Thymel...【详细内容】
2021-12-14  青锋爱编程    Tags:后台架构   点击:(20)  评论:(0)  加入收藏
在了解连接池之前,我们需要对长、短链接建立初步认识。我们都知道,网络通信大部分都是基于TCP/IP协议,数据传输之前,双方通过“三次握手”建立连接,当数据传输完成之后,又通过“四次挥手”释放连接,以下是“三次握手”与“四...【详细内容】
2021-12-14  架构即人生    Tags:连接池   点击:(16)  评论:(0)  加入收藏
随着移动互联网技术的快速发展,在新业务、新领域、新场景的驱动下,基于传统大型机的服务部署方式,不仅难以适应快速增长的业务需求,而且持续耗费高昂的成本,从而使得各大生产厂商...【详细内容】
2021-12-08  架构驿站    Tags:分布式系统   点击:(23)  评论:(0)  加入收藏
本系列为 Netty 学习笔记,本篇介绍总结Java NIO 网络编程。Netty 作为一个异步的、事件驱动的网络应用程序框架,也是基于NIO的客户、服务器端的编程框架。其对 Java NIO 底层...【详细内容】
2021-12-07  大数据架构师    Tags:Netty   点击:(16)  评论:(0)  加入收藏
前面谈过很多关于数字化转型,云原生,微服务方面的文章。虽然自己一直做大集团的SOA集成平台咨询规划和建设项目,但是当前传统企业数字化转型,国产化和自主可控,云原生,微服务是不...【详细内容】
2021-12-06  人月聊IT    Tags:架构   点击:(23)  评论:(0)  加入收藏
微服务看似是完美的解决方案。从理论上来说,微服务提高了开发速度,而且还可以单独扩展应用的某个部分。但实际上,微服务带有一定的隐形成本。我认为,没有亲自动手构建微服务的经历,就无法真正了解其复杂性。...【详细内容】
2021-11-26  GreekDataGuy  CSDN  Tags:单体应用   点击:(35)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条