在之前的文章《寻找GDPR与云之间的和谐》中探讨了两者之间的关系云中的GPDR和应用程序。信任通常是任何良好关系的基础和基础，但是当涉及到保护组织时，有时最好采用“零信任”心态。

如今，零信任（Zero Trust）经常听到一个技术流行语，但其背后的思考过程是什么？根据定义，零信任是一种安全模型，其基于维护严格访问控制并且默认情况下不信任任何人的原则，即使这意味着已经在您的网络范围之内。

为了更好地理解概念的起源，我们需要从头开始。从历史上看，IT企业一直是一个封闭的环境。换句话说，用户正在现场或通过专用网络或VPN访问公司数据。由于可以通过物理或逻辑访问点验证人员本身的身份，因此可以通过多种方式降低风险。快进30年，我们处于高度分布式的网络环境中。企业拥有各种各样的资源，这些资源可能分布在全球各地，它们既可以远程运行，也可以通过无数不同的设备（例如智能手机，平板电脑或个人计算机）工作。最重要的是，Gartner将SaaS定位为云市场的最大细分市场，预计2019年收入将超过850亿美元。随着提高业务效率的压力，许多组织正在将其应用程序迁移到云中。这种过渡给IT部门带来了许多问题。对于安全团队来说，控制所有用户以及在任何给定工作日对他们所需资源的不同访问级别都变得更加复杂。

想象一下在这个时代，员工的典型工作日。您到达工作地点并检查您的O365电子邮件帐户。也许您登录到Salesforce并瞥了一眼提醒，然后检查HR门户以查看上次薪水的详细信息，然后将一些项目文档上载到Confluence，最后使用Cytric预订即将到来的商务旅行的航班。这只是标准员工每天可能使用的应用程序的一小部分。研究表明，用户平均有27他们每天都在登录不同的云应用程序！随之而来的挑战是，如果所有这些应用程序都在云中，则您需要记住每个用户名和密码。这会导致密码疲劳，由于密码重置而导致业务效率低下，最常见的是，用户将为多个应用程序复制相同的登录名和密码，从而使它们更容易受到攻击。实际上，有49％的企业认为云应用程序是网络攻击的最大目标。此外，69％的违规事件来自身份盗用，这就是为什么强烈考虑零信任至关重要的原因。

考虑到用户通过绕过任何网络控制来访问其所有最敏感的资源。资源（例如Salesforce）的登录页面已完全公开。如前所述，如果用户正在复制其登录凭据，则恶意用户进入组织的其他应用程序的机会会增加。新闻中经常有很多关于身份盗用是如何工作的实例。合规性和可见性也是因素。对谁在访问什么应用程序以及何时访问哪个应用程序以及与SIEM系统集成的能力进行监督和可见性是保持许多组织合规性的关键。

进一步向前迈进，想象一下如何管理访问权限的层次很多。也许您是一位IT管理员，需要访问组织中的所有应用程序以对其进行监视，或者您是一位可以访问许多个人员工数据的HR专业人员，或者是一位财务或法律方面的人员，可以访问组织的财务或合同敏感信息。当然，C-Suite行政用户将需要与标准员工不同的访问权限。那么，如何为每个用户的唯一个人资料设置不同的访问控制？

这就是访问管理的用处。关键在于能够通过确定谁，何时以及如何访问用户来在应用程序级别应用安全性。为了确定这一点，组织需要评估三个主要步骤。首先，要通过定义敏感数据的位置来评估风险，请清点当前正在使用的所有云应用程序，定义谁应该访问什么，然后为每个应用程序定义适当的身份验证方法。二是管理风险。如前所述，您需要考虑组织中身份和配置文件的不同类型，访问的资源类型以及上下文。例如，是否正在从移动设备访问该应用，个人平板电脑或公司发行的计算机？用户是从站点上批准的网络登录，还是从具有公共网络的本地咖啡店登录？用户是在地理位置上位于预期的登录位置还是在无法识别的国家/地区？这些都是帮助您更好地管理和减轻风险并设置适当访问策略的问题。第三，最后是通过能够检测异常安全事件，根据需要监视和调整策略以及在必要时阻止，允许或请求加强身份验证来控制风险。如果我们回到现实生活中的例子，您可以想象IT管理员现在通过智能卡登录到管理控制台，并且每次都需要使用它。然后设置访问策略，以便一堆标准用户可以从透明的上下文身份验证登录他们的O365帐户（如果他们是从办公室网络登录的，则可以按OTP进行登录）（如果从网络外部登录）。甚至更加安全，C-Suite用户使用基于证书的身份验证登录更敏感的应用程序。

最终，访问管理的目标是支持零信任心态，并共同努力防止漏洞，安全地启用云转换并在此过程中简化合规性。通过设置考虑角色和上下文的策略，并在正确的时间，每个应用程序，每个用户应用正确的安全级别，您可以更加轻松地知道所有应用程序（无论如何交付）以及用户，无论它们在哪里，都在访问点受到保护。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• PCI DSS 4.0 合规性已迫在眉睫

• 为什么BYOE（自带加密）正在席卷公有云

• 大量数据泄露意味着现在是时候以数据为中心的安全了

• Thales和Redhat如何在 5G 世界中保护 Kubernetes 数据

• 支付型硬件安全模块在防止数据泄露中的作用