對企業網絡的信任從未如此重要。對更分散的勞動力的快速調整——以及相關設備的爆炸式增長——大大增加了網絡威脅級別。因此,零信任已成為企業運營的實際網絡安全框架。
NCSC(國家網絡安全中心)將零信任架構定義為“一種系統設計方法,其中固有信任網絡中的內容已被刪除。取而代之的是,假設網絡是敵對的,並且每個訪問請求都根據訪問策略進行驗證。”
零信任需要通過防網絡釣魚、無密碼的 MFA 對用戶進行強有力的驗證。它還需要在用於訪問應用程序和數據的端點設備中建立信任。如果您可以信任誰或什麼,那麼零信任方法的所有其他部分都是徒勞的。因此,身份驗證對於零信任計劃的成功至關重要,因為它可以防止未經授權訪問數據和服務,並使訪問控制實施盡可能細化。
五個認證要求:
零信任之旅中的企業必須儘早解決身份驗證問題,使用以下要求作為指導:
強大的用戶驗證——如果未經授權的用戶獲得訪問您的系統,您的網絡安全工作將僅限於進一步降低風險和防止訪問其他資源。強大的設備驗證——通過強大的設備驗證,組織限制未經授權的“自帶設備”(BYOD ) 並僅向已知設備授予訪問權限。L用戶和管理員的低摩擦身份驗證— 減少摩擦至關重要。密碼和 MFA 是耗時的任務,會降低工作效率。高級身份驗證易於採用和管理,可在幾秒鐘內通過用戶設備上的生物識別掃描儀驗證用戶。與 IT 管理和安全工具集成— 盡可能多地收集有關您的信息用戶、設備和事務在決定授予哪些訪問權限時確實很有幫助。零信任政策引擎將需要與數據源和工具集成,以正確傳達決策、向 SOC 發送警報並共享可信賴的日誌數據以進行審計。高級政策引擎— 使用具有易於使用的界面的策略引擎允許安全團隊定義策略,例如控制訪問的風險級別和風險評分。自動化策略引擎幫助從數万台設備收集數據,包括員工和承包商的多台設備。
在不斷發展的威脅環境中限制風險
設計一個既能抵抗網絡釣魚又無密碼的身份驗證過程必須是零信任框架的關鍵組成部分。雖然它在降低網絡安全風險方面是輕而易舉的事,但作為提高用戶生產力以及技術團隊和更廣泛組織的效率的一種方式,不應低估它。
作為依賴密碼和密碼的身份驗證解決方案可釣魚的 MFA 已經與嚴肅的零信任計劃無關,高級身份驗證為企業提供了基於持續風險評估的有效零信任計劃,並讓領導者在他們的技術生態系統發展、成長和擴展時充滿信心。
圖片來源:HTGanzo/depositphotos.com
Jasson Casey 是 超越身份。