零信任身份和访问管理是什么
零信任身份和访问管理是什么
零信任身份和访问管理(Zero Trust IAM)是一项重要的安全技术,其核心理念是“永不信任,总是验证”。
零信任安全已成为主流的行业趋势,但零信任的含义仍不确定。零信任从根本上改变企业安全的基本理念和方法,从过时的、明显无效的、以边界为中心的方法转变为动态的、以身份为中心的、基于策略的方法。从以边界为中心的方法向零信任方法的转变具有挑战性,组织部署和运营的企业安全资产(如目录、IAM系统、IDS/IPS和SIEM)提高互信互认互通。
零信任中的身份定义不限于用户,还包括设备、服务、数据等所有在网络中交互的实体。每个实体的身份必须得到确认和验证,同时,在进行敏感操作时可能触发额外的身份验证步骤(例如,多因素认证)。动态访问控制关注实体的访问模式并实施“最小权限”原则。它基于实体身份、请求上下文和资源敏感性来授予或拒绝访问权限,并确保授予的权限不超出完成任务所需的范围。
零信任模型通过将用户身份分为身份管理、凭证管理和访问管理三个模块,定义了从初级到高级的零信任战略成熟度级别。这有助于逐步实现零信任安全模型,以提高系统的安全性和可靠性。
零信任架构下的访问请求是基于访问应用、访问途经、访问设备及访问请求的频率而持续动态评估的。因此无需考虑组织的IT资源和环境位于什么位置,通过零信任架构的持续动态评估即可增强访问的安全性。
零信任提供了基于风险的决策授权能力,而不是仅基于单一访问控制方法的二元信任来进行授权访问。
零信任也需要实体之间的安全通信。虽然网络分段为零信任体系结构提供了价值,并应予以考虑,但它并不是零信任实施的最终解决方案。
零信任架构中的身份认证是一个持续验证的过程,首先在建立连接之前先执行身份认证,只有经过验证的最终用户才能访问资源;其次,在访问的整个生命周期中持续进行身份验证,以确定每个访问请求的身份和安全状况;同时,访问控制引擎结合用户行为、地址位置、访问时间等进行风险分析与判断,并实时做出访问权限调整;最后,授予对资源的最小访问权限。
在现阶段主流的零信任架构中,访问安全的核心关联元素包括访问主体(用户、设备、工作负载)、资源(应用、业务数据或服务)和网络(访问主体与资源间各中间节点构成的物理或逻辑通道)。
身份和访问管理需要与零信任相结合,因为零信任提供了一种基于风险的、持续动态的访问控制机制,能够确保每个实体的身份得到确认和验证,并根据访问请求的安全状态动态调整访问权限,从而增强网络安全性和访问安全性。