零信任模型中的持续身份认证：从静态到动态的转变

创作时间:

作者:

@小白创作中心

零信任模型中的持续身份认证：从静态到动态的转变

引用

CSDN

https://m.blog.csdn.net/nick_zlg/article/details/145148322

随着数字化转型的加速，零信任模型已经成为企业网络安全的重要组成部分。其中，持续身份认证作为零信任模型的核心支柱之一，通过不断验证用户身份来确保系统的安全性。本文将详细介绍持续身份认证的实施方法及其在零信任模型中的应用。

功能描述

国防部各组织和整个企业将有条不紊地朝着基于属性的持续身份验证发展。

初始阶段，重点是将传统的单一身份验证标准化为组织提供的IDP（身份提供者，如AD、第三方身份服务等），并涵盖用户和群组，旨在建立统一的身份管理平台。

第二阶段添加基于规则（时间）的身份验证，如：根据预定义的规则（如时间限制）进行身份验证。例如：某些系统或数据只能在工作时间内访问、定期要求用户重新验证等场景。

最终阶段：根据应用程序/软件活动请求的权限发展为持续身份验证。如：根据用户在应用程序中的活动和请求的权限动态调整验证要求，例如，高风险操作需要进行增强身份验证。这是最终目标，将基于用户的属性、行为、上下文等因素进行持续的身份验证，并根据应用程序/软件活动和请求的特权对权限进行动态调整。

能力结果

国防部使用MFA（多因素身份验证）在会话和跨会话的过程中，持续对用户访问的DAAS（参考有条件用户访问关于此概念的描述）权限进行验证和授权。

对 ZT 的影响

未持续提供多种形式身份验证的用户将被拒绝访问 DAAS （参考有条件用户访问关于此概念的描述）系统和资源。

活动

单次身份认证；定期身份认证；持续身份认证。

Gartner 研究

如前所述，在用户整个使用过程中包括情境和行为信号（包括被动行为生物特征识别）可以提供持续身份验证。安全服务边缘（SSE）提供了强大的基础，可以与访问风险动态评估（包括威胁情报、资产敏感性和资产关键性）相映射的持续身份验证。根据应用程序的托管方式，合理利用 ZTNA 或 CASB 功能，而访问管理（AM）工具则为持续身份验证和持续自适应访问提供了基础能力。

Gartner 研究解读

先了解如下概念：

情境和行为信号：用户的地理位置、设备类型、时间、访问行为等信息。
被动式行为生物特征识别：通过观察用户与设备的交互方式（如打字速度、鼠标移动轨迹）来进行身份验证。
安全服务边缘 (SSE)：一种集成的安全服务，涵盖了多种安全功能，如防火墙、数据丢失防护 (DLP)、网络访问控制 (NAC) 等。
动态访问风险评估：根据实时威胁情报、资产价值等因素，动态评估用户访问权限。
零信任网络访问 (ZTNA)：基于身份和上下文，对所有网络访问进行严格验证和授权。
云访问安全代理 (CASB)：用于监控和控制云应用的使用，确保数据安全。
访问管理 (AM) 工具：用于管理用户身份、权限和访问控制的工具。

Gartner 研究中强调通过包含情境和行为信号（包括被动行为生物识别）来实现持续身份验证。这些信号包括用户的位置、设备、网络、打字速度、鼠标移动模式等。通过持续监控这些信号，可以更有效地检测异常行为，并及时采取措施。SSE 不仅可以验证用户身份，还可以根据威胁情报、资产敏感性和资产关键性等因素动态调整访问权限。根据应用程序的托管方式，可以使用 ZTNA 或 CASB 来实现更精细的访问控制。ZTNA 主要用于保护内部应用程序，而 CASB 主要用于保护云应用程序。访问管理（AM）工具是持续身份验证和持续自适应访问的核心，AM 工具可以集中管理用户身份、访问权限和策略，并根据实时情况动态调整访问权限。

通过持续验证用户身份，可以最大限度地减少安全风险。持续身份验证是传统身份验证方式的重大改进，它不再是简单的“一次验证，永久信任”，而是“持续验证，动态信任”，从而更好地适应不断变化的安全环境。