零信任模型中的持续身份认证:方法与实践
零信任模型中的持续身份认证:方法与实践
随着网络安全威胁的日益复杂化,传统的静态身份验证方式已难以满足现代企业的需求。持续身份认证作为零信任架构的重要组成部分,通过实时监控用户行为和环境因素,实现动态的访问控制。本文将详细介绍持续身份认证的实施方法、技术原理及其在零信任模型中的应用。
持续身份认证的实施阶段
国防部各组织和整个企业将有条不紊地朝着基于属性的持续身份验证发展。初始阶段,重点是将传统的单一身份验证标准化为组织提供的IDP(身份提供者,如AD、第三方身份服务等),并涵盖用户和群组,旨在建立统一的身份管理平台。
第二阶段添加基于规则(时间)的身份验证,如:根据预定义的规则(如时间限制)进行身份验证。例如:某些系统或数据只能在工作时间内访问、定期要求用户重新验证等场景。
最终阶段:根据应用程序/软件活动请求的权限发展为持续身份认证。 如:根据用户在应用程序中的活动和请求的权限动态调整验证要求,例如,高风险操作需要进行增强身份验证。这是最终目标,将基于用户的属性、行为、上下文等因素进行持续的身份验证,并根据应用程序/软件活动和请求的特权对权限进行动态调整。
能力结果
国防部使用MFA(多因素身份验证)在会话和跨会话的过程中,持续对用户访问的DAAS(参考有条件用户访问关于此概念的描述)权限进行验证和授权。
对零信任的影响
未持续提供多种形式身份验证的用户将被拒绝访问DAAS(参考有条件用户访问关于此概念的描述)系统和资源。
活动
单次身份认证;定期身份认证;持续身份认证。
Gartner研究解读
先了解如下概念:
- 情境和行为信号:用户的地理位置、设备类型、时间、访问行为等信息。
- 被动式行为生物特征识别:通过观察用户与设备的交互方式(如打字速度、鼠标移动轨迹)来进行身份验证。
- 安全服务边缘 (SSE):一种集成的安全服务,涵盖了多种安全功能,如防火墙、数据丢失防护 (DLP)、网络访问控制 (NAC) 等。
- 动态访问风险评估:根据实时威胁情报、资产价值等因素,动态评估用户访问权限。
- 零信任网络访问 (ZTNA):基于身份和上下文,对所有网络访问进行严格验证和授权。
- 云访问安全代理 (CASB):用于监控和控制云应用的使用,确保数据安全。
- 访问管理 (AM) 工具:用于管理用户身份、权限和访问控制的工具。
Gartner研究中强调通过包含情境和行为信号(包括被动行为生物识别)来实现持续身份验证。这些信号包括用户的位置、设备、网络、打字速度、鼠标移动模式等。通过持续监控这些信号,可以更有效地检测异常行为,并及时采取措施。SSE不仅可以验证用户身份,还可以根据威胁情报、资产敏感性和资产关键性等因素动态调整访问权限。根据应用程序的托管方式,可以使用ZTNA或CASB来实现更精细的访问控制。ZTNA主要用于保护内部应用程序,而CASB主要用于保护云应用程序。访问管理(AM)工具是持续身份验证和持续自适应访问的核心,AM工具可以集中管理用户身份、访问权限和策略,并根据实时情况动态调整访问权限。
通过持续验证用户身份,可以最大限度地减少安全风险。持续身份认证是传统身份验证方式的重大改进,它不再是简单的“一次验证,永久信任”,而是“持续验证,动态信任”,从而更好地适应不断变化的安全环境。