如何平衡安全访问和办公效率?零信任安全×统一身份才是解决之道

最新推荐文章于 2024-07-25 10:39:15 发布
最新推荐文章于 2024-07-25 10:39:15 发布
阅读量415 收藏 5
点赞数 4
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuzijiang11111/article/details/139682210
版权

7dd1da9413b820be690d4867f302bdde.jpeg

在远程办公、混合办公、跨团队协作日益频繁的今天,企业的业务开展需要支持多种访问接入的需求和场景。如何平衡企业数据的安全访问和办公效率将成为挑战。

在业务的多种接入场景上,企业引入零信任(Zero Trust,ZT)产品实现暴露面收缩,为内外网应用建立可信的网络访问环境。零信任产品虽然解决了访问层的安全需求,但底层的身份认证能力没有覆盖,分散的业务系统无法通过零信任产品来提升办公敏捷性。因此,零信任产品和统一身份认证的联合解决方案,才是企业平衡安全访问和办公效率的解决之道。


身份是零信任安全架构的基石

零信任产品准确来说是零信任网络接入产品,是指通过安全的网络通道接入服务器资源,并提供持续的访问控制、安全评估及阻断。零信任安全的防护理念在于持续验证、多源安全评估、动态访问控制等,但就目前零信任产品的功能而言,并未完全做到以“身份”为基石进行展开。尽管国内厂商开发了很多零信任产品,但在实际应用过程中,零信任产品并未发挥真正的力量。

零信任技术由SDP(软件定义边界)、身份增强(IAM 身份和访问管理)、微隔离三大组件组成,其中身份增强部分主要与IAM相关。原因在于零信任安全理念在国外提出时,身份模块建立在微软 AD 运用已十分广泛的基础上,因此 IAM 用于增强 AD 在其他场景下的能力。但国内 IT 建设并无成熟的身份底座,从理论上来说,身份增强组件应包含 LDAP 目录服务才能形成闭环。


宁盾统一身份认证与零信任联合解决方案

c7c7a564f8e38cc2e5c678533af420a2.jpeg

宁盾统一身份认证系统以 LDAP 目录服务为核心,集成了LDAP、RADIUS、SSO及 IAM 系统所具备的协议/能力,对接零信任网络接入系统后,既可以作为活动目录(微软AD角色),为零信任提供身份认证源,也可以提供网络层身份鉴别、应用层身份认证和权限管控、多因素身份认证、SSO单点登录等能力,以满足不同企业不同场景不同需求。方案场景如下所示:


收拢分散身份,为ZT提供标准身份认证源

统一身份认证系统主要为企业身份、认证、授权的全场景提供相关的身份认证及权限管理的基础服务。支持对接企业现有的内网和外网系统的用户身份信息,如OA、HR、4A、AD、自研系统等,通过将企业现有的身份源进行梳理和整合,打通身份流程链路,实现对企业员工身份生命周期自动化管理,为零信任网络接入平台提供身份基础设施服务。

宁盾提供 LDAP 身份源,将零信任通过 LDAP 协议与宁盾目录进行对接,实现 LDAP 同步用户和用户 LDAP 认证,同时宁盾支持将零信任的认证转发到其他用户源进行认证,保障企业员工的用户账密使用习惯。

729f374fce36c13a9a4e1e0b4aabdcf2.jpeg图源:宁盾 


移动办公场景,单点登录提升办公效率

企业对内网的应用业务实现统一身份和单点登录,并结合零信任方案实现移动办公应用访问,将应用与零信任进行结合,只有认证通过的用户,并且具备足够的权限才能访问业务。


场景一:零信任作为应用实现单点登录

零信任网络接入系统作为单点登录应用之一,宁盾统一身份认证为其提供应用层的接入认证和权限管理。

394175923a61c8663cfa0d702b7b8b5d.jpeg 图源:宁盾 


场景二:零信任作为单点登录门户

将应用系统集成到零信任网络接入平台,用户访问零信任平台后,可在其平台点击应用图标完成登录认证。

7964920c5684f870908f8e1dad1a0518.jpeg图源:宁盾  


场景三:业务接入,构建零信任边界

用户终端访问应用,需要先和零信任控制中心建立连接,完成认证,认证通过后,控制中心可将访问应用的会话凭证通知给应用,从而继续完成应用的认证。

bc1b5c15b5f64aaf5248d7b60ecd579d.jpeg图源:宁盾   


场景四:结合办公软件(企微、钉钉、飞书)打造零信任场景

将单点登录应用以H5应用方式发布到办公软件(企微、钉钉、飞书)工作台中(Embedded Link),员工访问H5应用时,零信任全程静默在线提供访问保护,保障员工安全使用内网H5应用。

25a645ac16d0ee7acf6cc6af85296587.jpeg 图源:宁盾


加强安全防护,多因素认证增强身份鉴别

为了降低密码泄露带来的风险,需要对零信任网络接入平台使用多因素认证进行二次动态密码验证,配合 AI 智能分析得出存在部分风险的时候,统一身份认证系统能自动要求用户进行高强度的身份验证。

c7a4537d44f5d8afec6d2998584b3ae5.jpeg图源:宁盾 


从安全防护到业务敏捷,零信任安全投资最大化

统一身份认证系统与零信任网络接入平台的联合方案,增强了零信任安全架构中身份认证和访问管理的能力,帮助企业更好地实现对安全访问和办公效率的双重提升,其方案价值主要体现在以下三点:

  • 一站式的虚拟门户和单点登录,为企业用户带来更好的访问体验

结合零信任平台,实现单点登录效果,用户只需要登录一次就可以访问其权限内的系统。当用户在零信任平台完成身份认证和访问认证后,即可访问权限内的应用系统,用户无需再输入原有系统密码,简化了登录流程,节省了员工在各个业务系统之间的切换时间。也无需记忆大量密码,提高用户办公效率和体验。

  • 打造更为安全的办公环境,实现自主可控的安全解决方案

与零信任重新构建安全边界,宁盾身份为深信服提供身份认证,作为安全的最后一道边界,实现对企业内员工身份信息的保障;同时宁盾也可以做好第一道防线的增强,增加动态认证,能更好的保障认证和使用的安全性。

  • 安全动态感知和联防联控

结合宁盾以身份为中心搭建方案,打通企业网络、应用、数据,实现全链路身份管控与审计,精准跟踪到每个人的行为,实现突发事件的快速响应。

宁盾Nington
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深信服零信任安全解决方案.pdf
11-06
信任相关资料
信任组成及落地案例
sangfor_edu的博客
08-11 1657
SDP旨在通过软件的方式,在“移动+云”的时代背景下,为企业构建起一个虚拟边界,利用基于身份访问控制机制,通过完备的权限认证机制,为企业应用和服务提供隐身保护,使网络黑客因看不到目标而无法对企业的资源发动攻击,有效保护企业的数据安全。换一个说法来描述,不论在何处何时访问业务系统,都要进行相关的控制,实现从零开始进行信任,并且可以针对客户端进行实时的检查和信息收集,在客户端安全基线未达标的时候,可以对客户端进行相关的提醒或者限制访问,零信任成为统一的业务系统的入口。同时实现了业务的安全访问。...
时代亿信身份认证及访问控制白皮书
weixin_34006468的博客
10-22 231
1. 概述EETrust统一身份管理及访问控制系统(UID System)是通过构建企业级用户目录管理,实现不同用户群体之间统一认证,将大量分散的信息和系统进行整合和互联,形成整体企业的信息中心和应用中心。UID System系统使企业员工通过单一的入口安全访问企业内部全部信息与应用,为员工集中获取企业内部信息提供渠道,为员工集中处理企业内部IT系统应用提供统一窗口。2....
IAM 统一身份认证与访问管理服务
OnceWorld的博客
04-16 1489
为了方便A公司统一购买、分配资源并管理用户,A公司的人员不需要每人都注册帐号,而是由公司的管理员注册一个帐号,在这个帐号下创建IAM用户并分配权限,然后将创建的IAM用户分发给公司的人员使用。中的“测试人员组”)。即统一身份认证与访问管理服务,是云服务商提供的一套云上身份管理解决方案,可帮助企业安全地管理云上资源的访问权限。A公司的管理员使用注册的帐号登录华为云,创建“开发人员组”及“测试人员组”,并给用户组授权。A公司的管理员给三个职能团队中的成员创建IAM用户,并让他们使用新创建的用户登录华为云。
信任下的安全运营.pdf
08-11
- 在实际应用中,零信任帮助解决了账号身份对应、权限回收和授权等问题,实现了对终端设备的归属、位置和安全状态的有效管理。对于应用和服务器,它强化了安全漏洞管理、权限管控和事件发现能力。 - 运营效果显著...
信任助力企业安全管理.场景与实践.pdf
03-26
例如,IBM Cloud Pak for Security 和 IBM QRadar 可以帮助企业建立统一的、现代化的安全体系,提供实时监控和自动化响应,从而提升数据处理效率,降低成本,确保业务的稳定和安全运行。 综上所述,零信任安全策略...
深信服零信任安全解决方案.docx
07-10
深信服零信任方案打破了这种界限,为内部网络、企业无线、分支网络及互联网提供统一的接入和访问控制,用户无论身处何处都能安全接入,同时降低了管理成本和用户的学习曲线。 4. **正确的权限**:基于身份的精细化...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 415
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1053
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
大坝安全监测设备有哪些主要功能?
yyth13276363312的博客
07-24 296
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
内网安全:IPC横向
8888的博客
07-23 678
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
HDShredder 7 企业版案例分享: 依照国际权威标准,安全清除企业数据
sanyuan7783的博客
07-24 1117
符合国际权威标准软件操作符合多种主流国际权威标准,包括 DoD 5200, BSI, VSITR, NCSC, NIST 及 GOST,支持擦除单个分区和区域,并可自由定制擦除模式。对于“Clear”清除级别,软件操作符合 ISO 27001, DIN 66399 以及 NIST SP 800-88R1要求。对于“Purge”级别,则使用 SecureErase 功能。安全擦除证书软件生成准确的安全清除证书,包括时间戳、序列号、以及清除过程的所有细节信息。远程擦除 - 使用 NetDisk 技术。
深入探讨:如何在Shopee平台上安全运营多个店铺?
Ssm2022的博客
07-24 575
因为每个IP相关信息会被收录形成独特的浏览器指纹,浏览器指纹是一种通过收集和识别用户浏览器特征来跟踪和识别用户的技术。在跨境电商中,特别是运营多个店铺的商家,浏览器指纹可能被电商平台用于判断账号之间的关联。所以,当Shopee检测到一IP多店铺时,会认为商家存在恶意倾销等行为,从而封禁你的账号。这是一个关乎账号安全和业务持续性的重要问题。浏览器保存的账号、密码、支付信息等数据,以及注册资料、法人信息的重复使用,也可能导致账号被关联。通过这些措施,卖家可以有效降低店铺被关联的风险,保障业务的持续和稳定发展。
充电桩浪涌保护方案—保障充电设施安全稳定运行的关键
Leiditech_的博客
07-24 873
大功率TVS二极管则以其极快的响应速度(纳秒级)和精准的电压钳位能力,对残余的浪涌进行进一步抑制,确保后端电路的安全。然而,由于其复杂的电气环境和暴露于户外的特点,充电桩容易受到浪涌的影响。浪涌可能来自雷电、电网故障、大功率设备的启停等,对充电桩的电子设备和储能系统造成严重损害。它具有超强的浪涌吸收能力和抑制电压能力,在实际应用中通常并接在电路中,既能解决雷击大浪涌问题,又能对静电起到超强的防护效果。3. 设备启停:大功率设备(如电动机、变压器等)的启动和停止会引起线路中的电流和电压突变,产生浪涌。
后台管理系统登录安全和权限要求
最新发布
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
07-25 805
启用MFA后,系统将要求输入用户名和密码(第一安全要素),再进行输入来自其 MFA设备的动态验证码(第二安全要素),双因子的安全认证将为您的账户提供更高的安全保护。传统的用户名和密码认证容易受到破解、盗取或暴力破解等攻击方式的威胁,而双因子认证可以提供额外的安全层次,确保只有授权用户才能访问账户或系统。通过采用双因子认证,企业可以增加用户账号的安全性,降低身份盗窃和欺诈行为的风险,提高用户对系统的信任度。这在网络安全是极不安全的。订单管理:用于管理订单信息,包括查看订单、修改订单状态、发货、退货、退款等。
S-HTTP协议:确保网络通信安全的重要基石
jiamisoft的博客
07-23 634
S-HTTP,全称为Secure Hypertext Transfer Protocol,是一种安全的超文本传输协议,最早于1994年提出,并在1995年正式发布。作为HTTP(Hypertext Transfer Protocol)的一个扩展,S-HTTP旨在通过网络通信提供加密和认证机制,确保数据传输过程中的安全性和完整性。每个S-HTTP文件都经过加密处理,或者包含数字验证,甚至两者兼备,这一特性使得S-HTTP成为需要高安全性数据传输场景下的理想选择。
KunDB4.0:安全能力与Oracle兼容性提升,支持跨系统多租户部署
Transwarp
07-24 341
Oracle集中式架构向KunDB分布式架构迁移过程中,KunDB支持透明的哈希重新分布,对业务透明,无需业务重写应用,并重新设置了业务规则对数据分片,提升并行的吞吐处理效率。同时,KunDB提供自研CDC工具,整个过程支持完全的可视化流程监督,数据和对象的校验工作量和时长大幅缩减。各个租户之间通过云原生的调度方式将数据调度到不同的硬件上,通过业务分时作业的方式分批进行使用,同时通过硬件的部署隔离来把租户资源隔离开,通过数据的隔离和单实例中不同租户使用不同硬件的方式,使其之间互不影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值