假設(shè)網(wǎng)絡(luò)是敵對的,驗證和授權(quán)所有訪問數(shù)據(jù)或服務(wù)的連接。
介紹
構(gòu)建具有強大身份驗證方法的系統(tǒng)并構(gòu)建應(yīng)用程序以接受來自策略引擎的訪問決策。
在評估與訪問請求相關(guān)的風(fēng)險時,身份驗證和授權(quán)決策應(yīng)考慮多種信號,例如設(shè)備健康狀況、設(shè)備位置、用戶身份和狀態(tài)。
多因素
MFA是零信任架構(gòu)的要求。
這并不意味著用戶體驗一定很差。在現(xiàn)代設(shè)備和平臺上,可以通過良好的用戶體驗實現(xiàn)強大的MFA。例如,僅當(dāng)用戶和設(shè)備的信心下降時才觸發(fā) MFA。某些身份驗證應(yīng)用程序會在受信任的設(shè)備上提供推送通知,因此用戶無需為鍵入代碼或查找硬件令牌而煩惱。
值得注意的是,并非所有身份驗證因素對用戶都是可見的,其中一個因素可能是使用內(nèi)置 FIDO2 (線上快速身份驗證服務(wù))平臺身份驗證器的加密支持的無密碼登錄。
可用性
重要的是,強身份驗證不會妨礙服務(wù)的可用性。例如,僅當(dāng)請求具有較高影響時才提示其他身份驗證因素,例如請求敏感數(shù)據(jù)或特權(quán)操作,包括創(chuàng)建新用戶。應(yīng)考慮 SSO,以減少 MFA 的摩擦。
應(yīng)考慮采用基于風(fēng)險的方法來減輕額外身份驗證因素造成的更大影響。在上面的示例中,如果用戶的置信水平足夠高,則可以避免其他因素。
無密碼身份驗證(例如 FIDO2)是一種理想的解決方案,因為它提供了強大的安全性和出色的用戶體驗??紤]實施無密碼身份驗證,以在用戶所有服務(wù)中獲得強大、一致和積極的用戶體驗。
服務(wù)到服務(wù)
服務(wù)之間的請求也需要進行身份驗證。通常是使用 API 令牌、OAuth 2.0 或公鑰基礎(chǔ)設(shè)施 (PKI)等框架來實現(xiàn)的。
使用相互身份驗證,因此用戶可以確信通信的兩個服務(wù)都是真實的。這是構(gòu)建允許列表時的關(guān)鍵,以根據(jù)身份授權(quán)服務(wù)之間的連接。