用户支柱的目标和目的
“持续验证、评估和监控用户活动模式,以管理用户的访问和权限,同时保护和确保所有交互的安全。”用户支柱包含9大执行点,分别为:用户清单、有条件用户访问、MFA、特权访问管理PAM、身份联合和用户认证、行为、情景ID和生物识别、最下特权访问、持续认证、集成ICAM平台
图 1. 美国国防部用户支柱内的零信任功能
Gartner研究:
以下研究和用户支柱相关。
面向 IT Leaders:
以下为零信任相关历年报告,可自行检索
- 2023 年零信任安全计划实施战略路线图 - 零信任安全架构取代了传统安全架构中隐式和静态的信任模型,采用了动态和显式的信任模型。安全和风险管理(SRM)领导者必须为零信任计划建立明确的路线图,以优化其组织的风险态势。
- 快速解答:实施零信任的实用项目有哪些? - 如果没有上下文,零信任实施就会令人困惑,而供应商则不断在营销活动中暗示零信任可以提高安全性,追求零信任战略的安全和风险管理领导者必须专注于关键项目,首先要针对环境中最高的风险来快速证明零信任的价值。
- 快速解答:零信任的核心原则是什么? - Gartner客户对缺乏简单且普遍认可的零信任原则表示沮丧。安全和风险管理领导者可以将标准化建立在五个核心原则上,以推动其组织的零信任战略向前发展。
- CISO 基础:CISO 应该问 IAM 的 5 个问题 - 身份和访问管理 (IAM Identity and Access Management) 是每个网络安全计划的基础,IAM很复杂。为了实现数字化业务成果,网络安全领导者必须超越基于合规性的 IAM,并将 IAM 完全集成到网络安全战略中。
- CISO 的零信任对话指南 - 网络安全领导者在向各种利益相关者传达零信任架构的好处方面面临挑战。本文档指导他们如何明确定义零信任的好处并处理潜在的反对意见,确保组织的认同和支持。
- 以身份为中心的安全性可最大程度地提高网络安全效力 - 计算资源、渠道、实体和设备的分散使得传统的基于周边的安全策略和工具变得不足。安全和风险管理领导者必须将身份置于网络安全战略的核心,并投资于持续的、上下文感知的控制。
- 定义:身份结构 - 术语“身份结构”在行业术语中使用较为宽泛,供应商对其滥用作营销口号造成了混淆。在这里,我们阐述了 Gartner 的完整定义以及安全和风险管理领导者如何将其当前的 IAM 基础架构演变为身份结构。
- 使用 IAM 架构来实现业务成果 - IAM 架构为程序利益相关者提供了对程序目标能力的清晰视图。这项研究将通过定义 IAM 架构范围、职责和最佳实践来帮助以 IAM 为重点的安全和风险管理领导者实现所需的结果。
- 2023 年数字身份炒作周期 - 现代社会日益数字化。随着数字身份成为每个人生活中的基础,组织的身份和访问管理挑战成倍增加。本炒作周期中的创新可以帮助安全和风险管理领导者解决这些挑战。
面向IT technical professionals:
以下为零信任相关历年报告,可自行检索
如何构建零信任架构(How to Build a Zero Trust Architecture) - 本文档指导安全和风险管理技术专业人员如何构建和部署零信任架构。它消除了这个流行术语的歧义,并提供了实用的架构见解。
信息图表:迈向零信任的 4 个基本阶段(Infographic: 4 Essential Stages on Your Journey to Implementing a Solution at the E) - 部署零信任架构是为了提供对应用程序的安全访问。该行业已经使这个过程复杂化,甚至使零信任本身也变得复杂化。此信息图表可帮助 CISO 视觉化零信任架构所需的基本阶段。
减少 IAM 技术债(Reduce IAM Technical Debt) - 技术债削弱了 IAM 团队的敏捷性和组织安全控制的有效性。安全和风险管理技术专业人员必须解决孤岛工具、遗留集成问题、糟糕的入职流程等。IAM 团队必须评估以决定是保留还是替换现有的 IAM工具,如通过将孤立的 IAM 工具逐步迁移到通用 IAM 架构,提高业务接入的敏捷性,
2024 年身份和访问管理规划指南(2024 Planning Guide for Identity and Access Management) - IAM 是业务的基础推动者。安全和风险管理技术专业人员必须使其 IAM 架构策略成熟,解决 IAM 技术债,以提供身份优先的安全性,从而支持所有必需的 IAM 使用案例。
1.1 用户清单
1.1.1 功能描述
识别普通用户和特权用户,并将其集成到支持定期修改的用户清单(或用户目录)中。拥有本地用户的应用程序、软件和服务都是清单的一部分,应突出显示。
1.1.2 能力结果
(一般指可衡量的收益)
系统所有者可以控制(可见性和管理权限)网络上所有授权和经过身份验证的用户。
1.1.3 对 ZT 的影响
未在授权用户列表中的用户将被策略拒绝访问
1.1.4 行动
针对库存用户(Inventory User)。 在零信任架构中,库存用户一般指公司员工、第三方员工(外包)、合作伙伴、客户、IOT用户等。
1.1.5 Gartner 研究
身份生命周期管理是身份治理和管理 (IGA--Identity Governance and Administration) 解决方案的决定性功能之一。为了实现这一点,IGA 工具会汇总并关联分散在组织内多个身份存储库(包括本地和云中)中的不同身份(库存用户,即用户清单)数据,供普通用户和特权用户使用,而身份数据管理则是基础。
注释:IGA是一种集成了身份管理、访问控制和合规性管理的解决方案,而在IGA方案中,库存用户(Inventory User)是身份管理的核心,通过对库存用户(Inventory User)的管理,可以实现对系统访问的有效控制。
1.1.6 零信任7大支柱之用户支柱
为避免错过相关细节,点击以下链接可跳转至过往文章
扫一扫
372
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
