IAM 零信任架构 身份是实现零信任架构和构建任何IT环境边界的关键部分。在本节中,我们将探讨为什么使用身份控制来实现零信任非常重要。 观看视频 简介 在本课程中,我们将涵盖: 为什么我们需要在现代IT环境中将身份作为边界? 这与传统的IT架构有何不同? 身份是如何用于实现零信任架构的? 为什么我们需要在现代IT环境中将身份作为边界? 在现代IT环境中,传统的物理边界(使用防火墙和网络边界等工具作为主要防御手段)的概念变得越来越无效。由于技术复杂性的增加、远程工作的兴起以及云服务的采用,这种传统方法的效果正在减弱。相反,组织正在转向使用身份作为新的边界。这意味着安全的核心在于验证和管理尝试访问资源的用户、设备和应用程序的身份,而不考虑它们的物理位置。
身份是实现零信任架构和构建任何IT环境边界的关键部分。在本节中,我们将探讨为什么使用身份控制来实现零信任非常重要。
在本课程中,我们将涵盖:
在现代IT环境中,传统的物理边界(使用防火墙和网络边界等工具作为主要防御手段)的概念变得越来越无效。由于技术复杂性的增加、远程工作的兴起以及云服务的采用,这种传统方法的效果正在减弱。相反,组织正在转向使用身份作为新的边界。这意味着安全的核心在于验证和管理尝试访问资源的用户、设备和应用程序的身份,而不考虑它们的物理位置。
以下是使用身份作为边界的几个关键原因:
远程工作队伍:随着远程工作和移动设备成为常态,用户可以从各种位置和设备访问资源。当用户不再局限于物理办公室时,传统的边界方法就不起作用了。
云和混合环境:越来越多的组织采用云服务和混合环境。数据和应用程序不再仅限于组织内部,这使得传统的边界防御变得不那么相关。
零信任安全:零信任安全的概念假设无论实体位于网络内外都不应被自动信任。身份成为验证访问请求的基础,无论这些请求来自何处。
威胁态势:网络威胁正在演变,攻击者找到了绕过传统边界防御的方法。网络钓鱼、社会工程和内部威胁往往利用人类的弱点,而不是试图突破网络边界。
以数据为中心的方法:保护敏感数据至关重要。通过关注身份,组织可以控制谁可以访问什么数据,从而降低数据泄露的风险。
传统的IT架构严重依赖基于边界的网络安全模型,在这种模型中,防火墙和网络边界在防止威胁方面扮演了重要角色。传统架构与以身份为中心的方法之间的主要区别如下:
| 方面 | 传统IT架构 | 以身份为中心的方法 |
|---|---|---|
| 关注点 | 边界关注:依赖于防火墙和访问控制等边界防御。 | 身份验证关注:从网络边界转移到验证用户/设备身份。 |
| 位置 | 位置依赖:安全与物理办公地点和网络边界绑定。 | 位置无关:安全不绑定到特定位置;可以在任何地方访问。 |
| 信任假设 | 假定信任:在网络边界内假定用户/设备可信。 | 零信任方法:永不假定信任;根据身份和上下文验证访问。 |
| 设备考虑 | 设备多样性:假定网络边界内的设备是安全的。 | 设备意识:无论位置如何,都考虑设备的健康和安全状况。 |
| 数据保护 | 数据保护:集中于保护网络边界内的数据。 | 以数据为中心的保护:根据身份和数据敏感性控制对数据的访问。 |
在零信任架构中,基本原则是永远不要自动信任任何实体,无论它是在网络边界之内还是之外。身份在实现零信任方法中起着核心作用,通过持续验证尝试访问资源的实体。现代身份安全控制要求每个寻求访问资源的用户、设备、应用程序和服务必须经过彻底的身份识别和认证后才能获得访问权限。这涉及通过用户名/密码组合、多因素认证(MFA)、生物识别和其他强大的认证机制来验证其数字身份。
声明:
本文件灏天文库团队进行了翻译。尽管我们力求准确,但请注意,翻译可能包含错误或不准确之处。原文档以其原始语言为准。我们不对因使用此翻译而产生的任何误解或误译负责。