Por que a plataforma de gerenciamento de identidade de arquitetura de confiança zero é mais confiável?

News 2023-08-19 03:22:41 views: null

Com o avanço contínuo da tecnologia da informação e a popularização da computação em nuvem, Internet das Coisas e dispositivos móveis, problemas de segurança como vazamento de informações estão se tornando mais frequentes. Recentemente, um incidente de vazamento de informações de um estudante universitário gerou ampla discussão. Os alunos da escola se aproveitaram de suas identidades para obter ilegalmente um grande número de informações privadas, como nomes, números de alunos e fotos de alunos.

Após a discussão deste tema quente, as pessoas mais uma vez perceberam a importância das informações privadas e levantaram preocupações sobre a segurança do gerenciamento de identidade.

O roubo de informações de identidade não está relacionado apenas à privacidade pessoal e à segurança da propriedade, mas também leva ao vazamento de dados essenciais da empresa e afeta a produção normal das empresas. Portanto, seja para indivíduos ou empresas, um sistema de gerenciamento de identidade confiável é importante e necessário.

Diante de ameaças complexas e diversas à segurança da informação na era digital, o sistema de gerenciamento de identidade da arquitetura tradicional de segurança de fronteira não é mais confiável. Para proteger os dados e recursos confidenciais da empresa e garantir a segurança das informações de privacidade pessoal, o estabelecimento de uma plataforma de gerenciamento de identidade baseada em uma arquitetura de confiança zero tornou-se uma maneira confiável para as pessoas melhorarem a segurança do gerenciamento de identidade.

01. O que é Arquitetura Zero Trust

Zero Trust Architecture é um modelo de segurança de rede centrado na identidade. Ele defende o controle de acesso com base no princípio do menor privilégio e não julga mais se o acesso pode ser realizado com base nos limites da rede e nas identidades do usuário.

No livro "Zero Trust Network", o autor abstrai a arquitetura de confiança zero através de cinco pressupostos:

  • A rede está em um ambiente perigoso o tempo todo.
  • Sempre há ameaças externas ou internas na rede.
  • A localização da rede não é suficiente para determinar a confiabilidade da rede.
  • Todos os dispositivos, usuários e tráfego de rede devem ser autenticados e autorizados.
  • As políticas de segurança devem ser dinâmicas e calculadas com base no maior número possível de fontes de dados

Uma arquitetura de confiança zero segue uma estratégia "nunca confie, sempre verifique". Por padrão, ninguém, coisa ou coisa dentro ou fora da empresa pode ser confiável, e qualquer usuário deve ser autenticado e autorizado a acessar os recursos.

De acordo com o entendimento da arquitetura de confiança zero, os princípios da arquitetura de confiança zero podem ser resumidos da seguinte forma:

  • Identidade como base para controle de acesso: uma arquitetura de confiança zero depende da autenticação de todos os objetos participantes para estabelecer relações de confiança. Esses objetos participantes incluem redes básicas, dispositivos, usuários e aplicativos. A arquitetura de confiança zero fornece a todos os objetos identidades digitais e cria um sistema de controle de acesso baseado em identidades em vez de locais de rede.
  • Princípio do menor privilégio: Zero Trust Architecture enfatiza a alocação de recursos sob demanda e concede apenas as permissões mínimas necessárias para executar tarefas, limitando a visibilidade dos recursos. Ao usar meios técnicos, como ocultação de portas, os indivíduos de acesso não autenticados não podem ver os recursos. As decisões de autorização consideram a combinação de identidades de entidade, como pessoal, dispositivos e aplicativos, bem como requisitos de acesso, avaliação de confiança e cálculos de política de permissão para determinar se o acesso deve ser concedido.
  • Cálculo em tempo real de políticas de controle de acesso: As decisões de autorização são calculadas em tempo real com base nas informações de identidade do sujeito, informações de autoridade, informações do ambiente e nível de confiança atual do sujeito para formar políticas de controle de acesso. Durante o processo de acesso a recursos, se a base de decisão de autorização for alterada, o cálculo e a análise serão recalculados e a decisão de autorização será alterada imediatamente, se necessário.
  • Acesso controlado e seguro aos recursos: A arquitetura de confiança zero requer julgamentos obrigatórios de identificação e autorização para cada solicitação de acesso em todos os cenários e recursos de negócios, garantindo que as permissões e os níveis de confiança das solicitações de acesso atendam aos requisitos das políticas de segurança antes de liberá-las e implementá-las controle de acesso refinado em nível de sessão. A confiança zero pressupõe um ambiente de rede inseguro e exige que todas as conexões de acesso sejam criptografadas.
  • Avaliação contínua do nível de confiança com base em dados de várias fontes: o nível de confiança do sujeito é uma das bases para determinar a decisão de autorização de confiança zero, que é calculada com base em dados de várias fontes em tempo real (como identidade, autoridade, log de acesso, etc. .). Quanto mais precisa a avaliação do nível de confiança, mais tipos de dados envolvidos no cálculo e maior a confiabilidade. O rápido desenvolvimento da tecnologia de inteligência artificial fornece suporte para avaliação de confiança. Por meio de tecnologias de inteligência artificial, como sistemas especialistas, treinamento de modelo e aprendizado de máquina, a eficiência de cálculo de estratégias de avaliação de confiança pode ser aprimorada para cenários de aplicativos e a arquitetura de confiança zero pode ser alcançada em termos de segurança, confiabilidade, usabilidade e proteção.Balanço abrangente de custos e outros aspectos.

02. Vantagens e principais tecnologias da arquitetura de confiança zero

A arquitetura tradicional de segurança de fronteira considera que existe um claro ponto de divisão entre o "dentro" e o "fora" de uma empresa, e os distingue por meio de limites. Essa arquitetura geralmente concede amplos direitos de acesso a usuários e dispositivos dentro do perímetro e não pode refinar as permissões relevantes. Assim que um invasor obtiver direitos de acesso, todo o conteúdo dentro do perímetro estará seriamente ameaçado.

A arquitetura de confiança zero, por outro lado , é baseada na política de "nunca confie, sempre verifique" e autentica cada transação e conexão toda vez que é acessada. Uma vez autenticado, privilégios de acesso extremamente limitados também são obtidos com base no princípio do menor privilégio. Comparada com a arquitetura tradicional de segurança de fronteira, a arquitetura de confiança zero pode prevenir efetivamente o vazamento de informações e possui forte segurança.

A arquitetura de confiança zero não é uma tecnologia, mas um conceito de segurança. De acordo com o NIST, existem três tecnologias principais "SIM" para realizar a arquitetura de confiança zero, que são perímetro definido por software (SDP), gerenciamento de identidade e acesso (IAM) e microssegmentação (MSG).

Perímetro definido por software (SDP)

O perímetro definido por software é uma tecnologia fundamental na arquitetura de confiança zero, que pode atingir um nível mais alto de segurança ocultando recursos de rede e restringindo o acesso. O SDP utiliza políticas de criptografia e controle de acesso para estabelecer um perímetro de rede virtual e transparente para proteger aplicativos e dados. O SDP permite que apenas usuários e dispositivos autenticados acessem recursos autorizados, enquanto usuários e dispositivos não associados não podem ver e acessar esses recursos. Com o SDP, os recursos de rede ficam visíveis apenas para usuários autorizados, ao mesmo tempo em que fornecem controle de acesso mais refinado, reduzindo a superfície de ataque para invasores.

Gerenciamento de identidade e acesso (IAM)

O gerenciamento de identidade e acesso é outra tecnologia importante na arquitetura de confiança zero, responsável por gerenciar e controlar a autenticação do usuário e o acesso autorizado. O IAM controla o acesso do usuário a sistemas e recursos identificando usuários e com base em suas funções, permissões e informações contextuais. Em uma arquitetura de confiança zero, cada usuário precisa ser autenticado e receber permissões apropriadas conforme necessário para acessar os recursos necessários. O IAM também pode detectar e responder a comportamentos anômalos, bem como implementar autenticação multifator para aumentar a segurança e proteger os sistemas contra acesso não autorizado.

Microssegmentação

A microssegmentação é uma técnica de segurança de rede usada em uma arquitetura de confiança zero para reduzir a superfície de ataque e a possibilidade de movimento lateral, dividindo a rede em várias pequenas zonas de segurança. A microssegmentação garante que cada carga de trabalho na rede esteja em um domínio de segurança independente, usando políticas de controle de acesso refinadas para restringir o tráfego e as conexões. Dessa forma, mesmo que uma carga de trabalho seja comprometida, é difícil para o invasor se mover lateralmente para outras cargas de trabalho. A microssegmentação também detecta e bloqueia tráfego anômalo e comportamento mal-intencionado e fornece isolamento seguro para cada carga de trabalho para aumentar a segurança e a confiabilidade geral da rede.

03. Prática de plataforma de gerenciamento de identidade baseada em arquitetura de confiança zero

Na arquitetura de confiança zero, o modelo tradicional de defesa de perímetro é substituído e o foco da confiança é deslocado do perímetro da rede para a autenticação e autorização de cada usuário e dispositivo. O gerenciamento de identidade desempenha um papel fundamental nesse processo, gerenciando e autenticando as identidades dos usuários e concedendo direitos de acesso apropriados.

O gerenciamento de identidade é uma importante linha de defesa para garantir a segurança das informações. Como uma plataforma de governança de identidade nativa da nuvem orientada a eventos de última geração, o Authing Identity Cloud é a realização do produto do sistema de gerenciamento de identidade sob a arquitetura de confiança zero. O Authing Identity Cloud também coloca em prática os princípios da Zero Trust Architecture por meio de recursos de autenticação, controle de acesso, governança de identidade e gerenciamento de identidade privilegiada:

  • Autenticação multifator (MFA) :  estabeleça confiança confirmando a identidade da entidade e combine senhas, códigos de verificação, impressões digitais, rostos e outros fatores para tornar a verificação de identidade mais segura e confiável.
  • Gerenciamento de identidade unificado: A adoção de um sistema de gerenciamento de identidade unificado pode gerenciar centralmente as informações e permissões de autenticação de identidade do usuário, melhorar a eficiência do gerenciamento e garantir consistência e precisão.
  • Controle de acesso dinâmico: com base em fatores como identidade do usuário, equipamento e ambiente, atribua e ajuste dinamicamente os direitos de acesso para garantir que os usuários possam acessar recursos específicos apenas quando necessário.
  • Minimize a autoridade: examine regularmente os ativos do servidor, feche portas e serviços desnecessários a tempo, garanta autoridade externa mínima, filtre serviços inseguros, atribua autoridade mínima necessária aos usuários, limite o escopo de acesso do usuário e reduza os riscos potenciais.
  • Auditoria de segurança de dados: fornece acesso a dados detalhados e auditoria de log de operação, e a auditoria de segurança cobre registros de rastreamento detalhados de todas as atividades de dados. O relatório de resultado gerado torna todas as atividades de dados visíveis em detalhes, como falha de login, escalação de privilégio, mudança de plano, acesso ilegal, acesso a dados confidenciais, etc., e se essas ações são compatíveis podem ser vistas rapidamente, para que todos os usuários operações podem ser rastreadas.

Em termos de autenticação e autorização, embora o MFA possa evitar o risco de roubo de credenciais até certo ponto, ele não pode cobrir efetivamente todos os cenários de autenticação devido às limitações de fatores objetivos, como equipamentos (por exemplo, equipamentos precisam suportar impressão digital e face reconhecimento), tecnologia, etc. E adicionar fatores desnecessários ao processo de autenticação também pode sobrecarregar a experiência do usuário.

O Gartner também apontou em relatórios relacionados que, no atual ambiente de segurança de rede, a implementação de MFA não pode lidar efetivamente com ataques de rede complexos e contínuos e também requer custos de gerenciamento mais altos. Ao mesmo tempo, o Gartner defende a abordagem de confiança adaptativa contínua (CAT), de modo que apenas as entidades que continuam confiáveis ​​possam continuar acessando, de modo a se adaptar com mais segurança ao ambiente de ameaças em constante mudança.

Gartner: Mudando o foco de MFA para Continuous Adaptive Trust (CAT)

O método dinâmico e contínuo de verificação e autorização de confiança do CAT também é uma incorporação importante da arquitetura de confiança zero. Com base nisso, o Authing Identity Cloud também implementa um método de autenticação mais seguro - Continuous Adaptive Multi-Factor Authentication (CAMFA) em termos de recursos de MFA. O CAMFA avalia continuamente a confiança do usuário durante toda a jornada de uso para determinar se um processo de autenticação adicional precisa ser adicionado. Ele compensa as deficiências do MFA e resolve com eficácia os riscos de segurança da empresa e os problemas de experiência do usuário.

03. Caso Prático: Construção de Plataforma de Governança de Identidade Universitária

desafio da demanda

Uma determinada universidade sempre deu mais atenção à segurança da informação, e adquiriu dezenas de sistemas aplicativos para gestão interna da escola e gestão de professores e alunos. No entanto, sob a tendência da digitalização, quando a Efficient espera alcançar o gerenciamento unificado do sistema autodesenvolvido, o sistema de aplicativos externos trouxe muitos desafios para a construção digital:

O problema de login único no sistema BIM autodesenvolvido é mais complicado e é necessário combinar o sistema autodesenvolvido (sistema BIM) e o sistema de três partes (Odoo, Strapi, http://C9.io ) para autenticação e autorização unificadas. No entanto, a P&D do próprio sistema BIM é extremamente complicada. Se a P&D do logon único for realizada ao mesmo tempo, isso diminuirá a velocidade de lançamento do projeto e afetará o uso dos usuários.

O sistema BIM autodesenvolvido não possui apenas um terminal web, mas também um pequeno terminal de programa. O desenvolvimento de sistemas de usuário multiterminal e multiplataforma introduzirá outros problemas complexos, como sincronização de dados, controle de versão, compatibilidade, etc.

Devido à complexidade da organização BIM autodesenvolvida, é necessária uma classificação de autoridade refinada, e o modelo de autorização baseado em função é muito complicado de implementar e tem um longo período de construção.

solução

Visando o problema de login de vários aplicativos, o Authing Identity Cloud usa a solução de login único baseada em OAuth 2.0 para ajudar rapidamente a universidade a resolver o problema de login de conectar o sistema BIM com Odoo, Strapi e http://C9.io , o que melhora muito a eficiência da operação  e  manutenção, para ajudar na construção do campus inteligente.

Com base em problemas de login e autorização de identidade, o esquema de autorização baseado em RBAC é usado para classificar uniformemente a autorização de organizações e funcionários, realizar totalmente a governança de identidade, melhorar a segurança das informações e fortalecer o controle de riscos.

Usando o SDK de plataforma cruzada da nuvem de identidade Authing , apenas cinco linhas de código são necessárias para realizar o sistema de usuário de plataforma cruzada (incluindo applets), o que simplifica muito o processo de desenvolvimento, reduz o ciclo de desenvolvimento e melhora a eficiência do desenvolvimento.

Tanto a arquitetura de confiança zero quanto o gerenciamento de identidade são estratégias e medidas tomadas para estabelecer um ambiente de rede seguro e proteger dados confidenciais. A aplicação da arquitetura de confiança zero à plataforma de gerenciamento de identidade pode fortalecer a verificação de identidade, o controle de acesso dinâmico e o monitoramento de atividades. Empresas e organizações podem melhorar a segurança, reduzir o risco de vazamento de dados e fornecer aos usuários uma experiência de acesso mais conveniente.

A nuvem de identidade Authing baseada na arquitetura de confiança zero também servirá como uma plataforma confiável de gerenciamento de identidade para proteger com mais eficácia dados e recursos confidenciais das empresas e proteger as informações de privacidade do usuário com mais segurança para lidar com ameaças cibernéticas crescentes e em constante mudança.

Acho que você gosta

Origin blog.csdn.net/Authing/article/details/131807619
Recomendado
Clasificación
Diario
Más
2024-05-19(0)
2024-05-18(32)
2024-05-17(5)
2024-05-16(24)
2024-05-15(5)
2024-05-14(11)
2024-05-13(7)
2024-05-12(23)
2024-05-11(31)
2024-05-10(32)

Code World

© 2018 codetd.com