实施零信任模型的方法指南:支柱1用户 行为、上下文身份识别和生物识别
实施零信任模型的方法指南:支柱1用户 行为、上下文身份识别和生物识别
零信任模型是一种网络安全架构,其核心理念是“永不信任,始终验证”。在零信任模型中,用户支柱是确保安全访问的关键组成部分。本文将详细介绍如何通过行为分析、上下文身份识别和生物识别技术来增强身份验证和访问控制,从而构建更安全的零信任环境。
功能描述
利用企业身份提供商(Enterprise IDP),可使用基本用户属性实现用户和实体行为分析 (UEBA)。完成后,使用可用的组织身份提供商(Organizational IDP)将其扩展为组织特定属性。最后,将UEBA与PAM和JIT/JEA系统集成,以更好地检测异常和恶意活动。
能力结果
国防部组织利用行为、上下文和生物特征遥测技术来增强基于风险的身份验证和访问控制。
对 ZT 的影响
行为、上下文和生物特征遥测技术增强了多因素身份验证(MFA)。
活动
实施用户实体行为分析(UEBA)和用户活动监控(UAM)工具。
模型解读
此模型描述了美国国防部如何利用行为、上下文和生物识别技术来增强其身份验证和访问控制,并将其整合到零信任架构中。实施步骤是先使用企业IDP提供的基本用户属性启用基础UEBA,然后使用组织IDP提供的组织特定属性扩展UEBA,最后将UEBA与PAM和JIT/JEA系统集成,以实现更全面的安全监控和控制,通过集成这些技术,可以更有效地检测和应对安全威胁,提高整体安全性。
这里有几个核心概念需要知道,如UEBA、上下文身份识别、生物识别。
UEBA:User and Entity Behavior Analytics,用户和实体行为分析是指通过分析用户和实体(例如设备、应用程序)的行为模式,检测异常活动。这包括分析登录时间、访问资源、使用的设备类型等。
Contextual ID:上下文身份识别指基于用户的环境信息(例如位置、设备、网络)进行身份验证。例如,如果用户通常从办公室登录,而突然从国外登录,则可能触发额外的安全检查。
生物识别:使用生物特征(例如指纹、面部识别)进行身份验证。
Gartner 研究
尽管 MFA 可以减轻 ATO 风险,但漏洞仍然存在,过度依赖此类主动身份验证方法会让用户和组织面临风险。在登录过程中以及整个用户使用过程中收集情境和行为信号(包括被动行为生物识别)可以提供持续的被动身份验证。将高级分析应用于更广泛的识别和风险信号可以提高灵活性和弹性,并进一步优化所有用户的用户体验,而不仅仅是在 PAM 环境中。信号分析可以通过 AM、ZTNA、SSE 和其他工具中的 UEBA 功能提供。
AM概念参考MFA中的解释、SSE(Security Service Edge,安全服务边缘)指一种云交付的安全模型,将多种安全功能集成到一个云平台上。
Gartner 研究解读
过度依赖主动身份验证方法(例如输入密码、验证码等)仍然存在一些问题。如:
- MFA疲劳:用户可能因为频繁的身份验证请求而感到疲劳,从而降低安全意识。
- 钓鱼攻击:攻击者可以通过复杂的钓鱼攻击绕过 MFA。
- 中间人攻击:攻击者可能通过中间人攻击截获 MFA 验证信息。
为了弥补 MFA 的不足,Gartner 建议收集情境和行为信号。持续监控指与传统的仅在登录时进行身份验证不同,持续被动身份验证会在用户整个使用过程中持续监控这些信号,从而及时发现异常行为。包括:
- 情境信号:例如用户的位置、使用的设备、网络连接等。
- 行为信号:例如用户的打字速度、鼠标移动模式、访问的应用程序和数据等。
- 被动行为生物识别:这是一种特殊的行为信号,它在用户不知情的情况下收集用户的生物特征,例如按键习惯等。
总之,仅仅依靠 MFA 是不够的,需要结合情境和行为信号,实现持续被动身份验证,才能更有效地保护用户和组织的安全,并提供更好的用户体验。这种方法通过持续监控用户行为,弥补了传统身份验证方法的不足,提高了安全性,并降低了用户的使用负担。
零信任7大支柱之用户支柱
为避免错过相关细节,点击以下链接可跳转至过往文章
- 支柱1用户--用户清单
- 支柱1用户--有条件用户访问
- 支柱1用户--多因子认证
- 支柱1用户--特权访问管理
- 支柱1用户--身份联邦和用户认证
- 支柱1用户--行为、上下文身份识别和生物识别
- 支柱1用户--最小特权访问
- 支柱1用户--持续身份认证
- 支柱1用户--集成ICAM平台