身份 身份是指描述机构用户或实体(包括非人实体)的一个或一组属性 。
各机构应确保并强制用户和实体在正确的时间 , 为正确的目的访问正确的资源 , 而不授予过度的访问权限 。各机构应尽可能在企业范围内集成身份、凭据和访问管理解决方案 , 以强制执行强身份验证、实施基于上下文的授权 , 并评估机构用户和实体的身份风险 。在适当的情况下 , 各机构应整合其身份存储和管理系统 , 以增强对企业身份、职责和权限的认知 。
下表列出了零信任架构中“身份”的相关功能 , 及其在可见性与分析、自动化与编排 , 以及治理方面的考虑 。
传统阶段
初始阶段
高级阶段
最佳阶段
身份认证
在静态访问授权中 , 使用密码或多因素认证(MFA)对实体身份进行认证 。
使用MFA对身份进行验证 , 将密码作为MFA中的一种认证方式 , 并要求验证多个实体属性(例如场所或活动) 。
使用抗钓鱼攻击的MFA和属性对所有身份进行身份验证 , 包括通过FIDO2或PIV实现的无密码MFA的最初实现 。
持续使用抗钓鱼攻击的MFA对身份进行验证 , 而不仅仅是在最初授权时进行认证 。
身份存储库
只使用自主管理的本地身份存储库(计划、部署和维护均由自行承担) 。
同时使用自主管理的和托管(例如 , 云或其他机构)的身份存储库 , 存储库之间实现了较少的集成(例如 , 单点登录) 。
开始合并和整合一些自主管理的和托管的身份存储库 。
根据需要在所有合作伙伴和环境中安全地整合身份存储库 。
风险评估
对身份风险进行有限的判断(即身份被窃取的可能性) 。
使用手动方法和静态规则来确定身份风险 , 以支持可见性 。
使用一些自动化分析和动态规则来确定身份风险 , 以支持访问决策和响应活动 。
基于持续分析和动态规则 , 实时地确定身份风险 , 以提供持续性保护 。
访问管理(新增)
永久性访问授权 , 并对特权和非特权账户进行周期性审核 。
对访问(包括特权访问)进行授权 , 并通过自动审核使访问权限过期失效 。
提供对基于需求和基于会话的访问(包括特权访问请求)授权 , 以适应不同操作和资源 。
使用自动化来实现即时和适量的授权 , 以满足个人的操作和资源需求 。
可见性和分析
收集用户和实体的活动日志(特别是特权凭据) , 并进行例行的手动分析 。
收集用户和实体活动日志 , 进行例行的手动分析和部分自动分析 , 不同类型的日志仅实现了少量关联 。
在某些类型的用户和实体活动日志上进行自动化分析 , 并增加收集范围以解决可见性缺口 。
通过对用户活动日志(包括基于行为的分析)进行自动化分析 , 维护企业范围的全面可见性和态势感知 。
自动化和编排
手动对自管理身份(用户和实体)进行编排(入职、离职) , 集成性较少 , 并定期进行审查 。
手动对特权和外部身份进行编排 , 并自动编排非特权用户和自管理实体 。
手动编排特权用户身份 , 并在所有环境中集成实现所有身份的自动编排 。
基于行为、注册和部署需求 , 在所有环境中实现完全集成的所有身份自动编排 。
治理
通过静态技术和人工审核实施身份策略(认证、凭证、访问、生命周期等) 。
在企业范围内定义并实施具有少量自动化、并通过人工更新的身份策略 。
在企业范围内实现自动化、并定期更新的身份策略 。
在企业范围内 , 为所有用户和实体实现针对所有系统的自动化身份策略 , 能够实现持续的策略实施和动态更新 。
设备 设备是指可以连接到网络的任何资产(包括其硬件、软件、固件等) , 包括服务器、台式机、笔记本电脑、打印机、手机、物联网设备、网络设备等 。
推荐阅读
- 出道35年零绯闻,56岁不恋爱不结婚不生子,无父无母孑然一身
- 《暮色心约》 空降遇冷,baby扛不住收视率,任嘉伦零宣传
- 新手零基础跑步,应该跑多久?跑多快?
- 零度等于多少华氏温度
- 北京汽车零部件展会地址 北京汽车零部件展
- 详解公积金提取操作,让您零压力领取
- “刘能”儿子大婚,包1元红包被骂寒酸,赵家班稀零到场太现实!
- 家庭主妇如何理财才能赚到零花钱
- 无尽的拉格朗日新手攻略,无尽的拉格朗日新手如何零氪
- 胡兵白金卡搭机“50万积分突归零”!拍片控诉…航空公司回应了