美文网首页
读零信任网络:在不可信网络中构建安全系统11用户组的认证和授权

读零信任网络:在不可信网络中构建安全系统11用户组的认证和授权

作者: 躺柒 | 来源:发表于2024-08-06 07:14 被阅读0次
读零信任网络:在不可信网络中构建安全系统11用户组的认证和授权.png

1. 用户组的认证和授权

1.1. 几乎在每个系统中都有一小部分操作需要被密切关注

  • 1.1.1. 每个应用对这部分操作的风险容忍度各有不同,且没有任何下限

  • 1.1.2. 一部分风险是由用户个人的可信度决定的

    • 1.1.2.1. 单个用户的可信度可能很低

    • 1.1.2.2. 多个用户组合的可信度可能大有提高

  • 1.1.3. 通过针对用户组的授权认证来减少风险

    • 1.1.3.1. 有些敏感操作需要多人授权才能执行

1.2. Shamir秘密共享机制

  • 1.2.1. 将秘密拆分后分发给一群人

  • 1.2.2. 原始秘密以适当的方式被拆分成n部分,并将拆分后的每一部分分发给不同的参与者

  • 1.2.3. 算法的配置决定了最终需要多少个参与者协作才能恢复原始秘密

  • 1.2.4. 当使用Shamir秘密共享机制保护大容量数据时,一般将对称密钥拆分并进行分布式存储,而非直接针对数据运用Shamir算法

    • 1.2.4.1. 待拆分的秘密容量必须小于秘密共享算法所使用的某些数据

2. 积极参与、积极报告

2.1. 在零信任网络中,用户同设备一样,都需要积极参与到系统的安全维护中

2.2. 按照惯例,企业都有一个专门的团队负责系统安全的维护

  • 2.2.1. 对系统的所有更改都需要得到他们的同意以保证系统安全不受损害

  • 2.2.2. 他们的首要目标就是维护企业安全,其他都为企业安全让路

2.3. 更好的一种方式是,创建一种全新的文化,安全团队与其他团队携手合作以共同维护系统安全

  • 2.3.1. 用户意识到他们做了一些危险性操作或发现了一些异常现象,那么请鼓励他们进行报告,即使这些现象微不足道

  • 2.3.2. 这种信息共享使得安全团队可以更好地防御对企业安全的威胁,比如报告钓鱼邮件,即使用户并未上当,也应该积极报告,这样可以让安全团队知道是否有潜在攻击者正在试图进行网络渗透

  • 2.3.3. 设备丢失或被盗都应该马上报告

    • 2.3.3.1. 安全团队也许会考虑给用户提供一种24小时报警机制以方便他们随时报告设备遗失情况
  • 2.3.4. 响应用户的提示和报警时,安全团队应该注意,他们对事件的响应态度可能会给组织成员带来广泛的影响

    • 2.3.4.1. 有些用户可能对丢失设备感到羞愧,从而不及时报告设备的丢失情况
  • 2.3.5. 宁可有误报也不要放过任何可能存在的威胁

3. 信任信号

3.1. 用户的历史活动为判定其当前操作可信度提供了丰富的分析素材

3.2. 系统可以通过挖掘用户历史操作构建其行为基线,然后通过比较当前操作和其行为基线来计算用户的信任评分

3.3. 通过一些积极的防御方法进行处置,如CAPTCHA(一种自动的挑战问答机制,只有人类才能准确回答)或锁定异常账户

  • 3.3.1. 为了减少异常误判率通常需要设定较高的异常阈值

  • 3.3.2. 将异常访问模式判定纳入整体风险评估有助于发现可疑操作行为,但这并不适用于那些明显威胁系统的操作行为

3.4. 用户的应用程序使用模式也可以发现恶意攻击意图

3.5. 仅仅保留员工为了开展工作而明确需要的访问权,以此提高安全性

3.6. 根据用户的历史操作为其计算一个信任评分,然后基于此信任评分决定用户是否仍然具备足够的访问敏感资源的信任度

3.7. 信任度量不能取代强制验证手段,这对于系统至关重要—通过验证建立对用户的基础信任,并进一步通过活动日志进行分析,持续度量其信任度

3.8. 类似Spamhaus提供的黑名单,也可以作为评估用户信任度的有效依据

3.9. 地理位置同样是评估用户信任评分的一个很好的因素

  • 3.9.1. 在用户信任度的评估中,地理位置的权重不应过高

4. 总结

4.1. 身份信息需要存放在某个位置,而身份库是非常有价值的攻击目标

4.2. 认证极有可能影响用户体验,因此认证的时机相当重要

4.3. 恰当的时机、频率是身份认证应该考虑的因素

4.4. 提高系统用户的信任度意味着多方用户共同完成一项目标

4.5. 在零信任网络中可以利用用户活动日志作为用户画像,分析用户行为基线以便与当前活动对比做出信任评估

相关文章

  • 畅销书单 | 8月大家都在读什么书?

    1.科技科普类 《零信任网络 在不可信网络中构建安全系统》 作者:[美] 埃文·吉尔曼(Evan Gilman),...

  • 数据安全

    网络安全的演进 隔离网络:防火墙 联通网络:vpn 合规与认证:堡垒机、4A(账户、认证、授权、审计) 安全产品:...

  • 干货分享丨网络安全·建立零信任IT环境的5个步骤

    然而,网络安全系统设计之初不是已有这个功能了吗?难道零信任只是在此基础上增加某些额外的控件? 网络安全零信任正恰逢...

  • Centos7 集成Openldap2.4.4 服务端

    众所周知Hadoop安全模块不存储用户和用户组信息,而是依赖Linux系统的用户和用户组。同时在集群开启安全认证模...

  • 从交换机安全配置,看常见局域网攻击

    前言 构建零信任网络,自然离不开网络准入(NAC),这就涉及到交换机的一些安全测试,于是有了此文《从交换机安全配置...

  • HTTP与HTTPS(安全性)

    零、 百科:网络安全包含网络设备、信息安全、软件安全网络系统的硬件软件及其系统中的数据受到保护,不因偶然的或者恶意...

  • 什么是防火墙?防火墙的作用

    什么是防火墙? 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合...

  • 什么是防火墙?防火墙的功能有哪些?

    什么是防火墙?防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。...

  • 计算机网络原理梳理丨网络安全

    目录 网络安全概述 数据加密 消息完整与数字签名 身份认证 密匙分发中心与证书认证 防火墙与入侵检测系统 网络安全...

  • 零信任网络安全

    近年来,国内信息与通信技术(ICT)发展迅速,各企业将新技术应用于商业环境,推动了其数字化应用与发展。与此同时,也...

网友评论

      本文标题:读零信任网络:在不可信网络中构建安全系统11用户组的认证和授权

      本文链接:https://www.haomeiwen.com/subject/bxvxkjtx.html