一、什么是零信任?
零信任是一组不断发展的网络安全范例术语,它将组织的防御措施从静态的、基于网络的边界转移到关注用户、资产和资源。这是一种安全心态,在明确验证之前,每个传入连接都被视为潜在的恶意请求。这个概念是由世界上最重要的网络安全专家之一 John Kindervag 提出的,并强调了已下三点原则:
永不信任,始终验证:根据用户身份、地理位置、设备和 IP 地址等一系列数据点进行身份验证和授权。
使用最低权限访问:通过使用刚够访问 (JEA) 基于风险的自适应策略限制用户访问来保护数据。
假设突破口:限制爆炸半径,以尽量减少发生突破口时的暴露。使用分析来获得可见性、推动威胁检测并改进防御。
二、为什么零信任模型很重要
传统的IT框架保护公司网络资源。在当今世界,用户不仅会使用个人设备从外部网络远程登录,访问公司网络甚至可能依赖于托管在云端的 IAM 解决方案。
如此模糊的边界,组织如何保护其资源?我们如何确保只有授权人员才能登录网络?在一个登录凭据被窃事件横行的环境下,我们如何信任那些拥有正确密码的人?我们在每一步都进行验证。实施零信任方法的字面意思是:不暗中信任任何人并验证每次访问尝试。
零信任模型的好处包括:
通过网络获得更大的可见性
降低数据泄露的风险
简化 IT 管理
满足合规要求
三、零信任身份部署的核心功能
实施零信任原则以保护组织中的身份需要您牢记以下因素:
MFA 验证:使用多因素身份验证 (MFA) 检查和传统密码可加强安全性并提供额外的保护层。
上下文策略:使用实时计算的基于上下文的风险级别实施访问控制可以显着改善组织的安全状况。例如,源自公司范围内的连接可归类为低风险和远程登录、高风险。
无密码身份验证:可以破解凭据并窃取密码。实施无密码身份验证可以消除整个等式中的这种威胁。
分析:使用 AI 和 ML 支持的分析来跟踪登录行为和访问模式可以帮助识别安全漏洞和潜在攻击。
四、开始您的零信任之旅
显式验证是零信任的核心,ManageEngine ADSelfService Plus 可以帮助您的组织实施它。它使用自适应MFA、条件访问、无密码身份验证和 企业SSO等高级功能来实现这一点 。