NIST零信任详解

已于 2024-01-19 11:04:15 修改
阅读量1.5k 收藏
点赞数
文章标签: 安全 web安全
于 2023-08-16 10:04:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Innocence_0/article/details/132313197
版权

1、零信任背景

传统的网络安全架构理念是基于边界的安全架构,把网络划分为外网、内网、DMZ区等不同的安全区域,通过在网络区域边界部署防护设备从而达到保护内网资产的效果。

随着典型企业的IT基础设施变得越来越复杂。⼀个企业可能会运营多个内部网络,拥有本地基础设施的分支机构,远程办公接入、BYOD设备以及云上的服务等。这种复杂性已经超过了基于边界的网络安全的传统方法,因为企业没有单⼀的、易于识别的边界。基于边界的网络安全也已被证明是不够的,因为⼀旦攻击者突破边界,进⼀步的横向移动将不受阻碍。

这个复杂的企业导致了⼀种新的网络安全理念及模型的出现,即“零信任”(ZT)。零信任架构(ZTA)是⼀种基于零信任原则的企业网络安全架构,旨在防⽌数据泄露和限制内部横向移动攻击。

2、零信任的发展

2004年

零信任的最早雏形源于2004年成立的耶利哥论坛,其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案,提出要限制基于网络位置的隐式信任,并且不能依赖静态防御。

2010年

最早提出零信任一词的是咨询机构Forrester的分析员约翰·金德维格(JohnKindervag)。

他提到了三个核心观点:

  • 不再以一个清晰的边界来划分信任或不信任的设备

  • 不再有信任或不信任的网络

  • 不再有信任或不信任的用户

2013年

2013年CAS成立软件定义边界SDP工作组,次年发布SDP标准规范;

2014年

GoogleBeyondCorp的研究成果并陆续发布6篇相关论文,介绍零信任落地实践;

设计理念如下:

  • 所有网络都不可信;

  • 以合法用户、受控设备访问为主;

  • 所有服务访问都要进行身份验证、授权加密处理。

2017年

Gartner在安全与风险管理峰会上发布持续自适应风险与信任评估(ContinuousAdaptiveRiskandTrustAssessment,CARTA)模型,并提出零信任是实现CARTA宏图的初始步骤,后续两年又发布了零信任网络访问(Zero-
TrustNetworkAccess,ZTNA)。

2018年

Forrester提出ZTX架构,将能力从为隔离扩展到可视化、分析、自动化编排;

2020年

NIST发布的《SP800-207:ZeroTrustArchitecture》标准对零信任架构ZTA的定义如下:利用零信任的企业网络安全规划,包括概念、思路和组件关系的集合,旨在消除在信息系统和服务中实施精准访问策略的不确定性。该标准强调零信任架构中的众多组件并不是新的技术或产品,而是按照零信任理念形成的一个面向用户、设备和应用的完整安全解决方案。

3、为什么零信任很重要

随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有安全边界,企业信息安全面临着前所未有的挑战。

  • 访问者身份及接入终端的多样化、复杂化打破了网络的边界,传统的访问管控方式过于单一。在用户一次认证后,整个访问过程不再进行用户身份合规性检查,无法实时管控访问过程中的违规和异常行为。

  • 业务上云后各种数据的集中部署打破了数据的边界,同时放大了静态授权的管控风险,数据滥用风险变大。高低密级数据融合导致权限污染,被动抬高整体安全等级,打破安全和业务体验的平衡。

  • 资源从分散到云化集中管理,按需部署。由于当前安全管控策略分散、协同水平不高,云端主机一旦受到攻击,攻击将难以快速闭环,很难形成全局防御。

零信任是应对上述挑战的重要方法。采用零信任方案可以统一身份管理,构筑身份边界,实时感知风险,实现动态和细粒度授权。

4、零信任基础

零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。

零信任和零信任架构的操作定义:

零信任(ZT)提供了⼀系列概念和想法,旨在最⼤限度地减少在⾯对被视为受损的⽹络时在信息系统和服务中执⾏准确、最⼩权限的每个请求访问决策的不确定性。零信任架构(ZTA)是企业的⽹络安全计划,它利⽤零信任概念并包含组件关系、⼯作流规划和访问策略。

4.1 零信任原则

  1. 所有数据源和计算服务都被视为资源。
  2. 无论网络位置如何,所有通信都是安全的。网络位置并不意味着隐式信任,所有通信应以最安全的方式进行,保证机密性和完整性。
  3. 对企业资源的访问授权是基于每个连接的。
  4. 对资源的访问权限由动态策略(包括客户身份、应用和请求资产的可观测状态)决定,也可能包括其他属性。
  5. 由于没有任何设备本身是值得信赖的,企业应该监控并且测量资产以确保资产保持在尽可能安全的状态。
  6. 所有资源身份验证和授权都是动态的,并且在资源范围跟被允许之前严格强制实施。
  7. 该企业收集尽可能多的关于网络基础设施和通信的当前状态的信息,并将其应用于改善网络安全态势。

4.2 零信任视角的网络

对于在网络规划和部署中使用ZTA的任何组织,都有一些关于网络连接性的基本假设。

  1. 整个企业转往不被视为隐式信任区。
  2. 网络上的设备可能不归企业所有或不可配置。(非企业设备:访客电脑、员工手机等)
  3. 没有资源是天生可信的。
  4. 并非所有的企业资源都在企业拥有的基础设施上。
  5. 远程企业主体不能信任本地网络连接。
  6. 在企业和非企业基础设施之间移动的资产和工作流应具有一致的安全策略和态势。

5、零信任架构

5.1 零信任体系架构的逻辑组件

概念框架模型显示了组件及其相互作用的基本关系,ZTA逻辑组件使用单独的控制平面进行通信,而应用数据则在数据平面进行通信;

1673575782_63c0bd66529dafffd8b84.jpg!small?1673575782574

  • 策略引擎(Policy Engine): 该组件负责最终决定是否授予指定访问主体对资源(访问客体)的访问权限。策略引擎使用企业安全策略以及来自外部源(例如IP黑名单,威胁情报服务)的输入作为“信任算法”的输入,以决定授予或拒绝对该资源的访问,策略引擎的核心作用是信任评估。
  • 策略管理器(Policy Administrator): 组件负责建立客户端与资源之间的连接。它将生成客户端用于访问企业资源的任何身份验证令牌或凭据。它与策略引擎紧密相关并依赖于其决定最终允许或拒绝连接,策略管理器的核心作用是策略判定点,是零信任动态权限的判定组件。
  • 策略执行点(Policy Enforcement Point): 这实际上是一个组件系统,负责开始,持续监控、并最终结束访问主体与访问客体之间的连接。策略执行点实际可分为两个不同的组件:客户端组件(如用户笔记本电脑上的agent)与资源端组件(如资源前控制访问的网关),策略执行点的核心作用是确保业务的安全访问。除了以上核心组件外,还有进行访问决策时为策略引擎提供输入和策略规则的许多数据源。包括本地数据源和外部数据源,具体包括: 持续诊断和缓解计划系统(CDM System): 该系统收集关于企业系统当前状态的信息,并将更新应用到配置和软件组件中。企业CDM系统还提供给策略引擎关于系统访问请求的信息。 行业合规系统(Industry Compliance System): 该系统确保企业与当前政府管理的一致性。包括企业开发的所有策略规则来确保合规。 威胁情报流(Threat Intelligence): 该系统提供帮助策略引擎进行访问决策的信息。 数据访问策略(Data Access Policy): 数据访问策略是企业为企业资源创建的关于数据访问的属性、规则和策略的集合。策略规则集可以编码在策略引擎中或有PE动态生成。 企业公钥基础设施(PKI): 该系统负责生成和记录企业对资源、应用等发布的证书。既包括全局CA生态系统和联邦PKI。 ID管理系统(ID Management): 系统负责创建、保存和管理企业用户帐户和身份记录。系统中既含有必要的用户信息,也含有其他企业特征,比如角色、访问属性、或分配的系统。 安全应急和事件管理系统(SIEM System): 该系统收集以安全为核心、可用于后续分析的信息,比如:系统安全日志。这些数据可被用于优化策略并预警可能对企业系统进行的主动攻击。

5.2 抽象架构常见部署方案

5.2.1 基于设备代理/网关的部署

在设备安装agent代理程序,用于创建和管理连接,并且每个资源都有一个组件(即网关)放置在最前面,以便资源仅能与网关进行通信,通过代理将流量引导到策略执行点(PEP)以便对请求进行评估;

1673575808_63c0bd80b66630e9848e7.jpg!small?1673575809215

通过认证流程进行理解,一个用户希望通过企业分配的电脑连接到企业数据资源,该访问请求由本地代理程序接收,然后将请求发送给策略管理器(PA),PA将请求转发到策略引擎(PE)进行评估,如果请求被授权,则PA通过控制平面配置代理与对应资源网关之间的连接通道,从而访问资源,当工作完成或超时、无法重新认证时,由PA触发终止Agent和Gateway之间的连接;

5.2.2 基于飞地的部署

该模型是代理/网关模型的变体,可用于基于云上微服务的业务流程,在该模型中整个私有云位于网关后;

1673575817_63c0bd89bcec76c1858d0.jpg!small?1673575818008

在该模型中,创建连接的过程和代理/网关模型一致;

5.2.3 基于资源门户的部署

在此模型中,PEP是充当用户请求网关的唯一组件,通过网关门户连接到数据资源;

1673575825_63c0bd91ade0c020ceea8.jpg!small?1673575825871

该模型在客户端设备上无需安装Agent代理程序,也代表着来着访问请求设备得信息也会非常有限,此模型只能在资产和设备连接到PEP门户时进行一次校验分析,无法持续进行监控,并且允许攻击者发现并尝试访问门户,具有DOS风险。

5.2.4 设备应用沙箱

将应用程序或进程在资产设备上的隔离区(虚拟机、容器或者其他方式)运行,保护在设备上运行的应用程序。

1673575840_63c0bda01d6fd39ac9ad0.jpg!small?1673575840295

用户在沙箱中运行已批准和审查过的应用程序,该应用程序可以与PEP通信以请求访问资源,其他未批准应用程序将会被拒绝;

此模型的主要优点是,单个的应用程序和该设备上的其他应用程序隔离。即使无法扫描设备资产上的漏洞,这些独立运行在沙盒的程序也能免受主机上潜在的恶意软件感染,缺点是运维需要大量成本。

6、PEP中的信任算法(TA)

TA 是策略引擎PE 用来最终授予或拒绝对资源的访问的进程。策略引擎 PE
接受来自多个源的数据输入:用户信息、用户属性和角色、用户历史行为模式、威胁情报源和其他元数据源的策略数据库,通过获取的数据基于算法模型对用户请求进行评估,判断是否允许访问或者进行二次验证。

6.1 信任算法的常见实现方式

基于条件与基于分值 :基于条件的信任算法 TA
假设在授予对资源的访问或允许操作(例如读/写)之前必须满足一组合格属性,只有在满足所有条件时,才授予对资源的访问权或对资源应用操作。

简单说,通过对用户过去的行为以及用户是否绑定电话、终端是否注册等信息进行信任评估得出一个分数,对应的分数对应相应的规则,60分以下拒绝访问应用资源,60-80分之间进行短信二次验证,并且分数会根据用户行为动态评估变化;

独立与基于上下文
:基于上下文的信任算法TA在评估访问请求时考虑用户或网络代理的最近历史记录,当攻击者使用被盗的凭据以一种被PE感知到的不同平常的模式访问信息时,攻击能被检测到。对于用户行为的分析可用于建模出可被系统接受的用户使用方式,与此行为的偏差可能会触发额外的身份验证或者资源请求拒绝。

总结

以上为本人近期零信任学习记录,不喜勿喷,内容主要来自于《NIST零信任架构(正式版)》以及《NIST.SP.800-207》,文中还有很多内容没有进行记录比如:与零信任架构相关威胁以及零信任架构实施等,感兴趣的读者可以在CSA的官网找找资料。

行为的偏差可能会触发额外的身份验证或者资源请求拒绝。

总结

以上为本人近期零信任学习记录,不喜勿喷,内容主要来自于《NIST零信任架构(正式版)》以及《NIST.SP.800-207》,文中还有很多内容没有进行记录比如:与零信任架构相关威胁以及零信任架构实施等,感兴趣的读者可以在CSA的官网找找资料。

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

程序员负总裁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
零信任架构的3大核心技术
yutao929的专栏
02-04 1万+
零信任”自从2010年被Forrester分析师约翰·金德维格正式提出到现在已有十年的历史,在这十年中“零信任”一直都是安全圈内众人不断争议和讨论的对象,有人说它将是网络安全发展的必然产物,也有人说这种理念难以实现。无论“零信任”如何饱受争议,但事实证明随着相关技术的发展它都已然成为当下企业最好的选择。 研究人员说: “我们估计,这份报告中披露的战役是伊朗迄今所揭示的最连续,最全面的战役之一。”,“揭露的战役被用作侦察基础设施;但是,研究人员将攻击活动与威胁小组APT33,APT34和APT39捆绑在一起
什么是零信任
weixin_52272797的博客
07-02 6493
零信任的核心思想是:默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。
白话零信任02:第二、三章零信任的概念及架构
最新发布
04-12 222
但如果攻击者将用户的手机、计算机、账号、密码证书都窃取了,并且绕过了零信任的异常行为检测,那么零信任就无能为力。3、零信任架构不是抛弃传统的安全边界,将网络、身份、设备等环境信息结合,进行综合评估,依据结果进行访问控制。10、如果采用云形式的零信任架构,需要考虑第三方的服务等级协议SLA、可靠度、可能存在的数据泄露风险。2、零信任的访问代理可能造成性能延迟,特别是对于分布式、大规模的场景,要多考虑POP点的架构,与安全网关、业务系统、数据中台、数据代理进行对接,实现应用级、功能级、数据级的权限管控。
NIST零信任架构SP 800-207 标准草案(中文版).pdf
06-15
NIST 零信任架构SP 800-207 标准草案 第二版 中文版 云安全联盟大中华区SDP工作组翻译稿
NIST零信任架构介绍
weixin_70101757的博客
05-15 335
十多年来,在很多方面美国联邦机构一直在积极转向基于零信任原则的网络安全,联邦机构一直在推进相关能 力建设和政策,如《联邦信息安全管理法案》(FISMA)、风险管理框架(RMF)、联邦身份凭证和访问管理 (FICAM)、可信互联网连接(TIC)、持续诊断和缓解(CDM)等,这些规范和标准为零信任方案标准的推 出奠定了基础。下面我们看看NIST零信任标准逻辑框架: 最近考CZTP的人越来越多,看到相关问题下面大家都在求加群,自己建了个交流群,顺便分享下自己考过的相关课程资料。大家可以互相督促
NIST零信任架构正式版.pdf
12-30
NIST零信任架构正式版.pdf
零信任学习系列一——研读NIST零信任架构(正式版)
m0_47269393的博客
07-18 1843
零信任(Zero Trust )(ZT)是一种网络安全范式。它的重心在于保护资源,动态赋予用户的资源访问权限(基于你操作的上下文,基于你的设备,ip,身份认证等综合信息不断调整你的访问权限)。相比之下,传统的网络防御更关注网络边界,并且赋予用户账户或者设备权限的隐式信任。零信任网络架构的兴起很大程度上起源于当下移动端用户,云资产等的大量使用,这些资产和用户常常是不位于传统的网络边界保护之内。例如:居家办公,远程访问校园网等常常是不受边界防御保护的。 零信任基本概念 零信任的核心是资源保护,途径是对信任进行持
NIST零信任架构(正式版).zip
02-25
本出版物旨在为企业安全架构师介绍零信任理念。它旨在帮助理解用于民用非保密系统的零信任,并为将零信任安全概念移植和部署到企业环境提供路线图。 网络安全经理、网络管理员和管理者也可以从本文档中了解零信任和 ZTA。它不 是针对 ZTA 的单一部署计划,因为企业将拥有需要保护的独特业务用例和数据资产。从对组织业务和数据的扎实了解开始,将形成一种强有力的零信任方法。
NIST零信任架构(正式版).pdf
04-08
NIST零信任架构(正式版).pdf
NIST零信任架构第二版.pdf
02-25
零信任架构(ZTA)是一个企业基于零信任原则的的网络空间安全战略并被设计为预防数据泄露和限制内部横向突破。本材料讨论了 ZTA 的逻辑组件,可能的部署场景和威胁。它还为希望迁移到以零信任设计方法为中心的网络基础...
零信任产生的历史背景
securitypaper的博客
09-07 603
伴随着云计算、移动互联、物联网等新兴技术的发展、移动办公等需求的增 加,互联网渗透到经济社会的方方面面,网络安全问题也愈演愈烈,网络安全事 件带来的危害越来越大。传统的“纵深防御+边界防护”这类基于边界的安全防 护体系因为边界的模糊而渐渐失效,难以适应企业的快速增长及业务的快速变化。 聚焦资源保护,不允许隐式信任的零信任理念在过去几年里获得了众多政府 及企业的认可。
零信任架构分析【扬帆】
数据安全学习分享
07-31 2968
以身份为中心:零信任对访问控制进行了范式上的颠覆,引导安全体系架构从「网络中心化」走向「身份中心化」,其本质诉求是以身份为中心进行访问控制。 零信任架构通常执行三项主要原则-永不信任,始终验证、多因素身份验证(MFA)是必须的,而微隔离对于执行限制至关重要。为了实现零信任安全,组织需要采用信息安全扩展端点可见性并实现对访问和特权的控制的实践和工具。......
零信任(Zero Trust) 体系
weixin_41935046的博客
04-25 3278
零信任(Zero Trust) 体系 随着云计算、大数据、物联网等新兴技术的不断兴起,IT环境变得越来越复杂,IT架构正在从有边界向无边界转变。远程办公通过互联网接入公司总部,访问重要业务信息,任何用户的任何设备在任何位置(在家庭、咖啡厅、地铁等)都有可能接入。这种情况下如何确保权限安全?随着数字业务的发展,网络边界的消失导致基于网络位置的信任体系无法适应数字化转型,企业正在逐渐向更灵活、更安全零信任框架迁移。零信任:不信任任何人,验证每个人,实施严格的访问控制和身份管理策略,以限制员工访问其工作所需的
零信任关键技术之风险评估
H3C的博客
07-08 1129
2020年8月12日,美国国家标准与技术研究院(简称NIST)发布《零信任架构》正式版,其中对零信任安全原则、架构模型、应用场景做了详细的描述,企业客户和安全厂商都可以参考和借鉴。如图所示,NIST倡导的零信任架构有两个核心组件:1、PDP(策略决策点):由策略引擎和策略管理器组成,通过持续评估每个请求的身份和安全状态做出访问控制决策。2、PEP(策略执行点):负责启用、监视并最终终止主体和客体企业资源之间的连接。NIST零信任架构示意图策略引擎负责最终决定是否授予特定访问主体对资源的访问权限,承担着零信任
NIST零信任安全架构标准》简单解读
一杯咖啡的渗透记忆
04-15 3817
1、零信任(Zero Trust,缩写ZT)代表着业界正在演进的网络安全最佳实践,它将网络防御的重心从静态的网络边界转移到了用户、设备和资源上。 2、零信任安全模型假设网络上已经存在攻击者,并且企业自有的网络基础设施(内网)与其他网络(比如公网)没有任何不同,不再默认内网是可信的。 3、零信任架构(ZTA)的宗旨是减少对攻击者的资源暴露,并在主机系统被攻陷时,最小化(或防止)攻击在企业内部的横向扩展。 4、零信任的重心在于保护资源,而不是网段,因为网络位置不再被视为资源安全与否的主要依据。 5、根据
nist零信任架构的处理流程
weixin_70101757的博客
05-15 143
基于上述组件介绍,我们来分析一下零信任主要处理流程。基于零信任标准逻辑框架,我们重新整理了框架结 构图, 处理流程如下: (1) 主体、客体的身份在身份系统中注册,进行统一身份管理; (2) 在访问策略模块设置主体与客体之间的访问策略; (3) 通过CDM对主体、客体进行持续风险评估; (4) 策略引擎根据CDM数据、行业合规系统、威胁情报源和安全审计信息对主体、客体进行风险评 估,给出风险等级; (5) 主体向客体发起业务请求,到达PEP,如果主体没有进行认证,PEP将请求重定向到PA的认
零信任安全架构2-零信任理念、实现及部署方案
elevn的博客
09-05 825
零信任安全理念主要分为两类,一类是站在发起方,用户对资源的访问模式,指的是用户访问内部资源时,如何验证用户是可信的,如何确保访问来源终端可信,如何确认拥有访问资源权限。另外一类是站在服务方,即服务资源之间如何安全的互相访问。实现方案中,主要解决的是站在用户视角的零信任方案。
零信任体系技术研究
weixin_70923796的博客
01-04 151
美国国家标准与技术研究院给出了零信任零信任体系的定义、遵循的原则,介绍了零信任体系的逻辑组件和处理方法的变化,分析了零信任体系的安全威胁,可以为我国广大企事业单位内部网络的升级改造提供参考,为我国网络安全事业发展提供支撑。在零信任中,通常涉及将数据、计算和应用程序等网络资源的访问权限最小化,只对那些必须用户和资产开启访问权限进行授权访问,并持续对每个访问请求者的身份和安全状态进行身份验证和授权。最后的决定被传递给策略管理员执行。因此,零信任企业的网络基础设施和操作策略,是企业零信任体系计划的执行结果。
nist 零信任架构 pdf
07-15
### 回答1: NIST(国家标准与技术研究所)零信任架构是一份PDF文档,旨在引导组织在网络安全领域采用零信任策略。零信任架构是一种安全模型,强调不信任任何用户或设备,而是将安全重点放在对资源和数据的保护上。 这份PDF文档提供了针对不同组织实施零信任策略的指导原则和实践建议。文档中首先介绍了零信任架构的基本概念和优势,解释了为什么传统的边界防御方式已经无法应对日益复杂的网络安全威胁。随后,文档提供了实施零信任策略的基本步骤和关键组件,包括身份验证、授权、访问控制、监控和审计等。 NIST零信任架构PDF文档还详细介绍了如何在组织中部署零信任策略,包括如何建立可信赖的身份验证系统、实施精细化的访问控制和权限管理、加密通信和数据保护、身份和访问管理的监控与审计等。此外,该文档还提供了一些案例研究和实施建议,以帮助组织更好地理解和应用零信任架构。 总之,NIST零信任架构PDF文档是一份有关零信任策略的指南,旨在帮助组织实施更强大的网络安全防护措施。通过遵循文档中的原则和建议,组织可以更好地保护其资源和数据,降低遭受网络攻击和数据泄露的风险。 ### 回答2: NIST零信任架构PDF是国家标准与技术研究院(NIST)发布的关于零信任安全架构的指南文件。 零信任架构广泛应用于信息安全领域,它以“不信任、始终验证”为基本原则,认为任何系统都有可能遭受攻击,因此不能仅依赖单一防御机制,而应采取多层次的安全措施。 NIST发布的零信任架构PDF对零信任安全架构的基本概念和原则进行了详细阐述。它指出,传统的边界防御已不再足够,内部和外部网络都是不可信的。该架构强调了身份验证、访问控制、连续监控和风险评估等关键元素。 零信任架构PDF提供了实施零信任策略的指导和建议。其中包括了身份验证和授权的最佳实践,例如多因素身份验证和适当权限分配。另外,该指南还推荐了使用零信任架构时的技术和工具,例如身份和访问管理(IAM)和行为分析。 通过采用NIST零信任架构PDF,组织可以更好地应对现代威胁和攻击。它提供了一种将安全重心从边界转移到数据和用户层面的新方法,帮助组织建立起基于风险评估的访问控制策略,提高安全性和系统的可信度。 总之,NIST零信任架构PDF是一份重要的指南文件,为组织提供了实施零信任安全架构的指导和建议。它帮助组织采取全面的安全措施,打造多层次的防御体系,提高安全性和数据保护水平。 ### 回答3: NIST零信任架构PDF是一份由美国国家标准与技术研究所(NIST)发布的关于零信任架构的指南文档。零信任架构是一种安全架构理念,它基于"不信任,始终验证"的原则,将安全控制从传统的基于网络边界的模式转变为更细粒度的控制。这种架构的目标是在提高安全性的同时,降低安全风险。 NIST的这份指南文档旨在帮助组织理解并实施零信任架构。它提供了关于零信任架构概念、原则以及相关技术的详细介绍。文档中包括了零信任环境中的身份验证、授权、访问控制、设备安全、数据保护等关键问题的指导建议。 该文档的主要内容包括零信任架构的设计原则、安全控制要素以及实施步骤等。它强调了基于风险的决策方法,要求在每个访问请求中进行身份验证和授权,不论是内部用户还是外部用户。此外,文档还提供了有关如何识别和保护敏感数据以及监控和响应安全事件的指导。 通过使用NIST零信任架构PDF,组织可以更好地理解并应用零信任架构的原则和技术,以提高其安全性和对外部威胁的防御能力。这个架构的目标是确保在当前复杂的网络环境中,组织可以始终实施必要的安全控制措施,以降低来自内部或外部的潜在风险的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值