假设网络是敌对的,验证和授权所有访问数据或服务的连接。
介绍
多因素
MFA是零信任架构的要求。
这并不意味着用户体验一定很差。在现代设备和平台上,可以通过良好的用户体验实现强大的MFA。例如,仅当用户和设备的信心下降时才触发 MFA。某些身份验证应用程序会在受信任的设备上提供推送通知,因此用户无需为键入代码或查找硬件令牌而烦恼。
值得注意的是,并非所有身份验证因素对用户都是可见的,其中一个因素可能是使用内置 FIDO2 (线上快速身份验证服务)平台身份验证器的加密支持的无密码登录。
可用性
重要的是,强身份验证不会妨碍服务的可用性。例如,仅当请求具有较高影响时才提示其他身份验证因素,例如请求敏感数据或特权操作,包括创建新用户。应考虑 SSO,以减少 MFA 的摩擦。
应考虑采用基于风险的方法来减轻额外身份验证因素造成的更大影响。在上面的示例中,如果用户的置信水平足够高,则可以避免其他因素。
无密码身份验证(例如 FIDO2)是一种理想的解决方案,因为它提供了强大的安全性和出色的用户体验。考虑实施无密码身份验证,以在用户所有服务中获得强大、一致和积极的用户体验。
服务到服务
服务之间的请求也需要进行身份验证。通常是使用 API 令牌、OAuth 2.0 或公钥基础设施 (PKI)等框架来实现的。
使用相互身份验证,因此用户可以确信通信的两个服务都是真实的。这是构建允许列表时的关键,以根据身份授权服务之间的连接。
做对用户有真实价值的网络安全服务
本文始发于微信公众号(祺印说信安):零信任原则:无处不在的认证和授权
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论