【翻译】零信任架构准则(二)Know your architecture

news/2024/4/13 12:11:37/文章来源:https://blog.csdn.net/qq_33823833/article/details/136533148

了解你的业务架构

在零信任网络模型中,了解你的用户,设备,服务和数据比以往任何时候都更加重要。为了使零信任架构威力发挥到最大,你需要了解你的架构中的每一个组件。因此,正确了解你的资产是最关键的一步,我们可以采用自动化工具来做资产发现,也可以通过非技术程序(例如查询采购记录,人工盘点)来确定你的资产。第二步,了解你的业务设备的一些信息,包括它们的位置,存储了哪些数据,数据的敏感性是怎样的。资产发现可以帮助我们指定有效且适当的访问策略,这将有助于实现访问授权。

过渡到零信任

在没有充分考虑现有服务架构是否安全的前提下,贸然直接实施零信任架构,我们的业务可能会面临更高的风险,因为这些服务在内网中没有安装过任何的漏洞保护软件。因此,无论你是想从原有的业务架构迁移到零信任架构,还是直接从全新的架构部署,那么进行资产安全评估也同样重要。

进行风险评估

了解你的架构后,就可以通过资产评估和风险偏好等方法,更好地确认新架构的风险,并确保它们可以获得比原来架构更好的安全防护能力。如果无法使用零信任方法降低所有风险,则应保留当前网络架构中现有的安全防护模块(IPS+WAF等)。

了解你的用户,服务和设备身份

在零信任网络做出访问决策时,用户,服务和设备身份是一个非常重要的因素。身份可以代表一个用户(人),服务(业务调用)或设备。在零信任架构中,以上每一个身份都应该被唯一标识和验证的。这些唯一身份标识是输入策略引擎众多Signal之一,策略引擎可以用此信息做出访问决策。例如,策略引擎可以在用户访问服务或数据之前就能通过用户和设备的身份信息确定二者是否相关联。

用户身份

你的组织应该使用明确的用户目录,创建与个人相关联的账户,这可以采用虚拟目录或目录同步技术,以提供单个用户目录的外观。

虚拟目录是什么?顾名思义只是一个虚拟的目录,和真实目录是有差别的。先来看看使用真实目录访问,我们在刚才的F:/MyPHP中建立一个文件夹Test,然后在里面放入2.php,这个时候就可以通过http://127.0.0.1/Test/2.php访问。但是有些时候你可能建立的文件夹和想要输入的访问地址有一个映射关系,而不是直接输入Test文件夹名,这样做的原因有很多其中就有一个是安全问题,因为那样别人就会知道你的根目录的文件夹。具体点,你在Test文件夹中放置了2.php,但是想要通过http://127.0.0.1/cmj/2.php访问2.php而不是通过http://127.0.0.1/Test/2.php来访问怎么办呢?这个时候我们就需要虚拟目录了,很明显没有cmj这个文件夹,但是又能够像访问一个正式的目录一样来访问,就需要一种映射关系。

每一个身份都应该配置为一次访问所需要的"最小权限",这样以来,用户只能访问和执行其角色所需的内容。事实上,权限通常都源自用户在其组织中的工作职能,当需要管理用户账户和权限是,我们的安全管理指南是一个很好的起点。

用户身份服务应该可以做到以下几点:

  • 创建群组
  • 定义"最低权限"角色
  • 支持强大的现代身份验证方法,例如MFA多因子或无密码身份验证验证,有关详细信息,可参阅我们的guidance on identity and access management 和 authentication policy.
  • 安全地为用户提供token
  • 启动对服务的联合身份验证,如SAML 2.0 Auth或OpenId Connect
  • 在适当的情况管理外部服务中的用户身份
  • 支持身份的加入,提权,降级和注销
  • 考虑如何向组织外部的人员提供访问权限,例如访客可以看到午餐菜单,或者承包商只能访问与其工作相关的文档

服务标识

接入服务后,服务不应该有能力代表用户采取任何对系统中任何服务或数据高特权的访问,为服务提供适当访问权限的更好方法是将每个访问操作都绑定到一个存在访问范围和时间限制的令牌上,并于用户的身份相关联。这样,如果一个服务收到攻击,那对你的损害程度仅限于原始操作的权限。当然如果我们检测到异常行为,用户和设备评估服务就会认为当前令牌比最开始颁发时可信度要低,因此就会让用户进行可信补救措施,比如触发MFA提醒,短信认证等等。

服务或更准确地说,提供服务的软件,应该有自己独特的标识,通过维护允许连接列表,将服务之间的网络通信限制在所需的最小数量。连接可以采用TLS(输入层安全)连接,使用唯一证书对服务身份进行标识,其次对用程序或容器平台的访问应该联合到单个用户目录中,并使用策略引擎决策访问授权。

设备标识

你的组织拥有的每台设备都应该在单个设备目录中具有唯一标识,这可以实现高效的资产管理,并提高访问你的设备的清晰性。你定义的零信任策略将使用设备的合规性和健康生命,来决定它可以被访问哪些数据以及被执行的操作,这些都需要一个强大的身份来验证。

设备身份的置信度取决于设备类型,硬件和平台:

  • 安全的硬件协调处理器(例如TPM)
  • 管理良好的设备
  • 非托管设备
  • 自带设备(BYOD)

翻译:zhihu于顾而言

Reference

zero-trust-architecture/1-Know-your-architecture-including-users-devices-services-and-data.md at main · ukncsc/zero-trust-architecture · GitHub

zero-trust-architecture/2-Know-your-User-Service-and-Device-identities.md at main · ukncsc/zero-trust-architecture · GitHub

apache配置虚拟主机及虚拟目录_Bill zhang的技术博客_51CTO博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.luyixian.cn/news_show_997585.aspx

如若内容造成侵权/违法违规/事实不符,请联系dt猫网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

RNN实现退位减法

文章目录 前言RNNRNN架构图前向传播公式反向传播算法 用RNN实现退位减法代码变量的对应关系 总结 前言 最近深入学习了一下RNN,即循环神经网络。RNN是一类比较基础的神经网络,本文使用的是最基础、最简单的循环神经网络的形式。LSTM也是一种常见的循环神…

Qt 简约美观的动画 摆钟风格 第十季

&#x1f60a; 今天给大家分享一个摆钟风格的加载动画 &#x1f60a; 效果如下: 最近工作忙起来了 , 后续再分享其他有趣的加载动画吧. 一共三个文件 , 可以直接编译运行 //main.cpp #include "LoadingAnimWidget.h" #include <QApplication> #include <Q…

TCP收发——计算机网络——day02

今天主要讲了TCP的收发 TCP发端步骤 ①socket ②connect ③send ④closeTCP收端步骤 ①socket ②bind ③listen ④accept ⑤recv ⑥clise其函数主要有 connect int connect(int sockfd, const struct sockaddr *addr,socklen_t addrlen);功能:发送链接请求参数:sockfd:套接…

【论文阅读】(2024.03.05-2024.03.15)论文阅读简单记录和汇总

(2024.03.05-2024.03.15)论文阅读简单记录和汇总 2024/03/05&#xff1a;随便简单写写&#xff0c;以后不会把太详细的记录在CSDN&#xff0c;有道的Markdown又感觉不好用。 目录 &#xff08;ICMM 2024&#xff09;Quality Scalable Video Coding Based on Neural Represent…

Mac电脑可以玩《幻兽帕鲁》吗? 幻兽帕鲁配置要求

Mac电脑可以玩《幻兽帕鲁》吗? 各位只有苹果电脑的玩家也不用担心&#xff0c;现在你也可以在Mac上玩《幻兽帕鲁》了!系统兼容神器CrossOver在第一时间就支持了《幻兽帕鲁》&#xff0c;不用虚拟机就能流畅运行。除了《幻兽帕鲁》外&#xff0c;CrossOver还支持《赛博朋克207…

HarmonyOS NEXT应用开发案例——阻塞事件冒泡

介绍 本示例主要介绍在点击事件中&#xff0c;子组件enabled属性设置为false的时候&#xff0c;如何解决点击子组件模块区域会触发父组件的点击事件问题&#xff1b;以及触摸事件中当子组件触发触摸事件的时候&#xff0c;父组件如果设置触摸事件的话&#xff0c;如何解决父组…

6个维度分析实时渲染和Webgl技术异同

在日常交流中&#xff0c;对Webgl技术熟悉的合作伙伴&#xff0c;在初次了解实时渲染技术时&#xff0c;都会问二者之间的异同。目前很多要求B/S架构的项目&#xff0c;很多在用webgl技术路线&#xff0c;而且这个方案在行业里比较普&#xff0c;业主方对这个也比较熟悉&#x…

重要通告 | 公司更名为“浙江实在智能科技有限公司”

更名公告 升级蜕变、砥砺前行 因业务快速发展和战略升级&#xff0c;经相关政府机构批准&#xff0c;自2024年3月1日起&#xff0c;原“杭州实在智能科技有限公司”正式更名为“浙江实在智能科技有限公司”。 更名后&#xff0c;公司统一社会信用代码不变&#xff0c;业务主体…

蓝桥杯备赛之二分专题

常用的算法二分模板 1. 在数组a[]中找大于等于x的第一个数的下标 //int ans lower_bound(a, a n, x) - a //相当于下方 int l 0, r n - 1; while(l < r) {int mid l r >> 1;if(a[mid] > x) r mid;else l mid 1; } cout << r;2. 在数组a[]中找大于…

nginx,php-fpm

一&#xff0c;Nginx是异步非阻塞多进程&#xff0c;io多路复用 1、master进程&#xff1a;管理进程 master进程主要用来管理worker进程&#xff0c;具体包括如下4个主要功能&#xff1a; &#xff08;1&#xff09;接收来自外界的信号。 &#xff08;2&#xff09;向各worker进…

php常见的45个漏洞及解决方案

[TOC]&#xff08;太多了&#xff0c;目录只列出最重要的几个&#xff0c;剩下的同学们自己翻&#xff09; PHP作为一种广泛应用的服务器端脚本语言&#xff0c;在历史上曾曝出过多种安全漏洞。以下是一些PHP漏洞的类别及其简要解释&#xff0c;以及如何解决这些问题&#xff1…

vue+nodejs超市购物商城在线选品系统wtk87

在此基础上&#xff0c;结合现有超市货品信息管理体系的特点&#xff0c;运用新技术&#xff0c;构建了以 vue为基础的超市货品信息管理信息化管理体系。首先&#xff0c;以需求为依据&#xff0c;根据需求分析结果进行了系统的设计&#xff0c;并将其划分为管理员和用户二种角…

c++ 11 新特性 不同数据类型之间转换函数之reinterpret_cast

一.不同数据类型之间转换函数reinterpret_cast介绍 reinterpret_cast是C中的一种类型转换操作符&#xff0c;用于执行低级别的位模式转换。具体来说&#xff0c;reinterpret_cast可以实现以下功能&#xff1a; 指针和整数之间的转换&#xff1a;这种转换通常用于在指针中存储额…

MATLAB | MATLAB版玫瑰祝伟大女性节日快乐!!

妇女节到了&#xff0c;这里祝全体伟大的女性&#xff0c;节日快乐&#xff0c;事业有成&#xff0c;万事胜意。 作为MATLAB爱好者&#xff0c;这里还是老传统画朵花叭&#xff0c;不过感觉大部分样式的花都画过了&#xff0c;这里将一段很古老的2012年的html玫瑰花代码转成MA…

[OpenCv]频域处理

目录 前言 一、频域变换 1.傅里叶变换 2.代码实现 二、频域中图像处理 1.理解数字图片的频谱 2.频域图像处理步骤 3.使用低通滤波器实现图像平滑 4.使用高通滤波器实现图像锐化 三、总结 前言 数字图像处理的方法有两大类&#xff1a;一种是空间域处理法&#xff0c;…

C# LINQ基础

LINQ基础 1. 入门2. 运算符流语法2.1 连续使用查询运算符2.2 使用Lambda表达式2.2.1 Lambda表达式及Func的方法签名2.2.2 Lambda表达式和元素类型2.2.3 自然排序2.2.4 其他查询运算符 3 查询表达式4 延迟执行4.1 重复执行4.2 捕获的变量4.3 延迟加载的工作原理4.4 查询语句的执…

Python学习笔记-Flask实现简单的抽奖程序

1.导入flask包和randint包 from flask import Flask,render_template from random import randint 2.初始化 Flask 应用: app Flask(__name__) 3. 定义英雄列表 hero [黑暗之女,狂战士,正义巨像,卡牌大师,德邦总管,无畏战车,诡术妖姬,猩红收割者,远古恐惧,正义天使,无极剑…

dbeaver更换下载驱动地址

DBeaver 是一个免费开源的数据库工具&#xff0c;提供对多种数据库系统的支持&#xff0c;包括 MySQL、PostgreSQL、Oracle、SQLite 等。它是一个通用的数据库管理工具&#xff0c;可以帮助用户连接、管理和查询各种类型的数据库。 下载地址 使用dbeaver连接数据库时需要先下…

网络安全知识入门:Web应用防火墙是什么?

在互联网时代&#xff0c;网络安全问题逐渐受到重视&#xff0c;防火墙的配置也是非常必要的。它是位于内部网和外部网之间的屏障&#xff0c;更是系统的第一道防线。Web应用防火墙是什么&#xff0c;如何才能更好地保护Web应用&#xff0c;这篇文章会从应用安全为出发点&#…

一、大数据集群搭建

1、前言 学习大数据需要准备3台服务器&#xff0c;这里我们在VMWare创建3台虚拟机来搭建大数据集群环境 如果本地服务器条件不允许&#xff0c;可以考虑云环境&#xff0c;如阿里云 2、搭建大数据集群 我们准备安装3台虚拟机&#xff0c;一个主节点&#xff0c;两个从节点。 主…