零信任中的标识
在计算意义上,标识可以是用户、设备或应用程序。 成功“零信任”方法的第一步是能够保护这些标识。
了解谁请求访问数字资产中的资源对于控制对敏感数据的访问至关重要。 对用户或设备进行身份验证后,系统会向他们授予适当的授权,从而授予他们访问资源、资产和数据的权限。
使用“零信任”方法 (也称为标识管理) 保护标识应用持续验证用户的原则。 在允许访问之前,组织必须验证用户的标识和其他属性,例如其位置、设备的运行状况、他们在组织中的角色以及尝试访问的数据类型。 为了实现这种最终状态,“零信任”策略在很大程度上依赖于自动化技术和策略的实施,以确保安全性并提供出色的用户体验。
“零信任”方法侧重于对每个连接、设备、用户或网络流 进行身份验证 和 授权。
身份验证和授权
作为“零信任”策略的一部分,在获得访问资源的授权之前,应对用户、应用程序和设备进行强身份验证和评估。
- 身份验证 是一个要求用户确认他们身份的过程。
- 授权 是一个系统在其中确定向每个用户授予访问级别的自动化过程。
身份验证方法
组织必须建立用户、设备和应用程序的标识。 身份验证过程涉及确定用户的初始标识,并使用各种技术将其绑定到该标识。 下面是组织采用的一些常见身份验证方法:
密码: 使用密码是基于用户知道的内容 (例如,字母、数字或特殊字符的字符串) 的最基本身份验证形式。 这种类型的身份验证存在限制,因为攻击者可能会窃取或猜测凭据。
多重身份验证 (MFA): 此技术需要多个不同因素来证明用户的身份。 多重身份验证通常使用一个或多个:
- 用户知道的内容,例如用户名或密码。
- 用户拥有的内容,例如安全令牌。
- 用户是某种内容,例如指纹、视网膜或语音。
其中一个或多个可用于确认请求为正版。
- 生物识别: 此技术使用生物特征 (如指纹、面部、语音或视网膜识别) 来验证用户的身份。 使用生物识别可减轻键入密码的负担,并减少攻击者进行肩部冲浪的几率。
- 无密码: 此身份验证是消除使用密码的最新技术。 它结合了生物识别、多重身份验证和移动应用,以消除对密码的需求。
强身份验证和弱身份验证之间的差异
强身份验证是指该方法合并两个或更多因素来验证用户或设备的身份。 例如,多重身份验证结合了两个或更多独立因素来确认用户的身份。 这会增加额外的安全层,因为它根据给定的详细信息 (如设备或位置) 评估用户的标识。 如果凭据遭到入侵,未经授权的用户将无法满足所需的第二级或第三级身份验证。
弱身份验证是指所用方法的强度有缺陷且不确定。 这可能会导致密码易于破解的情况,或者攻击者可以轻松绕过身份验证来获取访问权限。