動態授權 - 解決零信任的關鍵

由Gal Helemski，聯合創始人和CTO，平原

零信任不再只是另一個時尚的技術流行程序 - 如今，它已成為希望優化其安全姿勢的任何企業的關鍵要求。在這種情況下，信任是脆弱性的代名詞，因此，該模型依賴於黃金法則的實際應用：不應信任任何人。

更具體地說，它刪除了一些有助於替代方法弱點的常見假設，包括：用戶身份尚未受到損害，並且所有用戶一旦進入網絡，都在負責任地操作，並且不是威脅參與者或敵對的內部人員。

更重要的是，在我們的數字分散的工作社會中，零信任隨著網絡周長繼續擴展到實際上不再適用“內部”的程度，它變得更加重要。

零信任體系結構中最重要的工作是決定是授予，拒絕還是撤銷對資源的訪問。儘管有多種實施零信任方法的方法，但美國國家標準研究所（NIST）提出了有用的框架這強調零信任絕不應該僅僅是網絡的獨家代理。

取而代之的是，要使零信託完全實施，它必須應用三個級別的訪問控制 - 訪問網絡，訪問應用程序和訪問申請內資產。如果沒有這種完整的方法，則根本無法實現真正的零信任保護。

這樣做的原因取決於風險的動態性質。當今的數字企業是由複雜的環境驅動的，這些環境具有數百個應用程序，許多系統，混合遺產和“雲”，即微服務驅動的基礎架構。這些支持數百個（有時甚至數千個）的角色，這些角色正在不斷變化，並且需要在每次更改時創建新的訪問方案。

零信任技術

對安全專業人員的好消息是，當今有一些成熟的技術可解決零信任的一些基本原則，尤其是在網絡訪問控制和高級身份驗證周圍。

另一方面，這些技術並未解決零信任訪問控制的三個關鍵級別中的每個級別。實際上，當前可用的零信託產品的重點主要是在網絡上，並且不包括在應用程序級別或應用程序中對零信任的充分參考，也不包括對零的信任。

為了說明，最大程度地推廣的作為支持零信任的解決方案包括網關集成和隔離，安全的SD-WAN和安全的訪問服務邊緣（SASE）。問題是，當真正需要的解決方案解決三個訪問控制級別的每個解決方案時，這些問題集中在以網絡為中心的零信任上。

輸入：動態授權，一種高級方法，可以根據該會話的特定上下文，實時，訪問時，授予對資源的細粒度訪問，包括應用程序資源，數據資產和任何其他資產。

動態授權通過為兩個過程為其完整實現至關重要的過程提供動力來完成零信任：運行時授權執行和粒度高水平。當用戶嘗試訪問應用程序中的網絡，應用程序或資產時，這將啟動關註一系列關鍵屬性的評估和批准過程，包括：用戶級別屬性，例如他們當前的認證級別，角色和責任，以及它們是否可以訪問機密和個人身份信息（PII）（PII）等；資產屬性，例如數據分類，位置分配和任何相關的元數據；用戶從內部系統或外部系統進行身份驗證的位置；使用的身份驗證因子的數量，即具有單個，兩個因素或多因素身份驗證；用戶對用戶進行身份驗證的一周中的一天和一天的時間；以及其他外部屬性，例如係統的風險水平等。

策略引擎評估了這些和所有其他相關屬性，並在運行時訪問時做出決定。此外，每次嘗試訪問時，都會實時做出新決定。該決定是由最高水平的可能驅動的，可以評估已更新為該特定時間點的所有屬性以及實時上下文和環境，而不是由應用程序預定的基於基於的屬性。

在這個時代，不良行為者採用的策略和技術正在變得越來越具有挑戰性，以解決舊的安全解決方案，零信任是一種降低安全漏洞的風險和損害的成熟和強大的方法。但是，如果組織的安全負責人對其零信任框架的完整性充分充分信心，那麼他們有責任確保他們正在解決三個零信託訪問控制級別中的每個級別中的每個級別 - 訪問網絡，應用程序和內部應用程序內申請資產具有動態授權。