曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        不僅對人類,對機器、設備也要零信任
        發布時間:2020-12-23 15:37:25   閱讀次數:

        不僅對人類,對機器、設備也要零信任(圖1)

        到目前為止,零信任已成為一種著名的網絡安全方法,可以防御基于身份的入侵。正如身份定義安全聯盟(IDSA)的“零信任之路始于身份”白皮書中所舉例說明的那樣,零信任就是承認威脅參與者將進入組織環境,因此,防御必須以這種想法為基礎心里。


        許多企業在遇到違規或審核失敗后,便開始建立零信任的道路。零信任以身份管理和訪問控制為重點,自然而然地滿足了合規性法規和網絡安全的許多要求。盡管如此,許多組織仍缺乏與身份相關的關鍵密鑰的安全控制。實際上,IDSA最近的一項研究表明,基于憑證的數據泄露既普遍(94%的受訪者經歷了與身份相關的攻擊),又是高度可預防的(99%)。


        嚴肅的事實是,黑客不再入侵,而是使用弱的、默認的、被盜或其他方式受到破壞的憑據登錄。


        當今的經濟氣候加劇了這些網絡風險,并且COVID-19流行病的影響導致數字化轉型和技術變革的加速,將進一步對組織的身份和訪問管理(IAM)做法進行壓力測試。這在最小化傳統數據中心,云和DevOps環境中與訪問相關的風險方面提出了新的挑戰。


        對于安全性采用以身份為中心的方法的公司通常將重點放在人類用戶(客戶、員工、IT管理員、顧問或業務合作伙伴)上。但是,這與現實不符。如今,身份不僅包括人員,還包括工作負載、微服務和應用程序。


        實際上,在許多組織中,非個人身份(也稱為機器身份)代表了大多數“用戶”。機器身份通常與特權帳戶相關聯,并且通常比現代IT基礎結構中的傳統人類特權帳戶具有更大的占用空間。在任務自動化起主導作用的DevOps和云環境中,尤其如此。


        最終,這些新型的機器和現代的云原生應用程序架構正在推動組織重新考慮其IAM策略,否則它們將暴露于其網絡對手可以輕易利用的盲點。在Gartner的最新報告“管理機器身份、秘密、密鑰和證書”中,作者證實“通常會有充分的理由感到不受控制的不安和缺乏責任心?!?Gartner提到存在可發布、管理和控制密鑰,機密和證書的影子IAM部署。在組織的不同設備和工作負載中出現幻影安全外殼(SSH)密鑰;以及缺乏有關使用計算機身份的良好指導,這是一些公司如何努力處理計算機身份的示例。


        除了低估數據泄露情況下非個人身份的相關性外,許多組織還迅速意識到,傳統的靜態密碼概念(通常需要手動和耗時的配置)不適用于快速移動的多云和混合環境,其中訪問需求通常是臨時的,并且變化是恒定的。那么,這對于密碼的未來意味著什么,以及組織如何采取措施控制對其敏感資源的訪問?


        零信任:從基礎開始

        Gartner建議重新考慮并制定企業范圍內的身份,機密和密鑰管理策略,其中應包括以下基本步驟:

        • 定義機器標識的通用命名法。


        • 區分機器身份如何存儲在中央和本地身份存儲庫(例如Active Directory或數據庫)和機器使用的憑據之間。


        • 了解組織必須滿足的不同業務部門的需求和法規要求。


        • 評估可以幫助管理機器憑據的不同技術,例如:

          • 硬件安全模塊HSM

          • 密鑰管理系統(KMS

          • 秘密管理系統

          • 特權訪問管理(PAM)

          • IaaS / PaaS提供商提供的內置功能和工具


        • 建立計算機的所有權和憑證。


        • 向整個組織的利益相關者提供最佳實踐和指導(例如,DevOps)。


        推進身份驗證模型

        一旦組織實施了這些基本步驟,他們就必須放棄對靜態密碼模型的依賴,而轉而采用動態密碼方法。這些基于證書的臨時訪問憑據解決了困擾靜態密碼的主要安全問題,而又不影響高度數字化的IT環境中的可用性和敏捷性。


        實施基于臨時證書的授權時,無需永久訪問憑據即可訪問目標系統,并基于零信任原則建立“零站立特權”立場,以確保必須對所有對服務的訪問進行身份驗證、授權和加密。對于每個會話(適用于人還是機器),臨時證書都是由證書頒發機構(CA)頒發的,CA是受信任的第三方,并基于行業標準(例如臨時X.509證書)。它出于安全目的對用戶身份進行編碼,并且生存期短,避免了中間人攻擊的風險。


        最終,CA根據基于規則創建的用戶角色(包括分配給工作負載、服務和計算機的角色)控制對目標系統的訪問。特定角色的規則是根據安全策略和訪問要求生成的。然后,CA從傳統企業目錄(例如,Microsoft Active Directory)中獲取每個角色的規則,并使用它們來確定適當的身份驗證。這種方法減輕了為每個單獨的用戶/計算機設置訪問權限的可能性,并簡化了對用戶/計算機組的更新。


        結論

        身份與安全性的集成仍在進行中,根據IDSA的研究,只有不到一半的企業完全實施了與身份相關關鍵密鑰訪問控制。開始這條道路的關鍵是要認識到,基于零信任原則的以身份為中心的安全方法不僅適用于人類,而且還適用于機器。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精