什么是零信任

零信任是一种安全思维方式，表示组织不应自动信任其边界内外的任何内容。在授予访问权限之前，必须验证任何尝试连接的实体。零信任安全策略围绕最低特权访问控制和严格的用户身份验证，因为假设不信任任何人。

若要实现这些原则，组织需要为用户部署具有自适应身份验证和严格信任策略的多重身份验证 （MFA） 解决方案。ADSelfService Plus 是一个全面的标识安全解决方案，可帮助组织通过 MFA、条件访问、无密码身份验证和可自定义的信任策略设置等高级功能实现零信任。实施零信任不仅有助于企业在身份安全方面表现出色，还可以为员工创建更简单的网络基础结构和更好的用户体验。

网络安全_零信任" height="428" src="https://i-blog.csdnimg.cn/img_convert/8cc87284bc2b9e0aa1a9a335e7ac7438.png" width="720" />

创建零信任环境

• MFA
• 企业单点登录 （SSO）
• 条件访问

MFA

MFA 使用 MFA 强化网络中的组织资源，如终结点、VPN 和 OWA 登录名，MFA 有 19 种不同的身份验证方法可供选择。使用组织中不同组或部门的不同 MFA 流微调访问权限。

自适应身份验证

自适应 MFA（也称为基于风险的 MFA）为用户提供身份验证因素，这些身份验证因素在用户每次登录时都会根据基于上下文信息计算出的风险级别进行调整。连续登录失败的次数，包括：

• 请求访问的用户的物理位置（地理位置）。
• 设备的类型。
• 星期几和一天中的时间。
• IP 地址。

向用户显示的身份验证因素基于使用上述上下文因素计算的风险级别。例如，假设用户在度假时尝试在不合时宜的时间登录其工作计算机。由于用户的地理位置和访问时间不同，因此会自动提示他们使用其他身份验证因素来证明其身份。

有时，当检查用户的登录条件且未检测到风险时，可以为用户绕过 MFA 过程。有时，如果用户的活动看起来可疑，也可以拒绝他们访问请求的资源。

企业单点登录 （SSO）

随着组织成群结队地采用云应用程序，用户必须在一天中输入更多密码才能访问这些应用程序并完成他们的工作。为了进行有效的用户标识管理，组织应采用高效且安全的方法来管理用户的密码。ADSelfService Plus 提供企业单点登录 （SSO），使用户只需一组凭据即可无缝、一键式访问所有支持 SAML、OAuth 和 OIDC 的云应用程序。使用自适应 MFA 技术保护 SSO，该技术因 OU 和组而异。支持SSO：

• 启用了 SAML 的应用程序。
• 支持 OAuth 和 OpenID Connect 的应用程序。
• 自定义应用程序。

条件访问

条件访问实现一组规则，用于分析各种风险因素（如 IP 地址、访问时间、设备和用户的地理位置），以强制实施自动访问控制决策。这些决策是根据用户风险因素实时实施的，以避免在无风险场景中实施不必要的严格安全措施。这可确保在不影响安全性的情况下增强用户体验。

可以使用条件访问应用的一些常见方案和相应的安全措施包括：

• 强制特权用户进行多重验证。
• 强制所有员工对业务关键型应用程序的异地访问 MFA。
• 阻止对高风险操作的访问，例如来自不受信任的 IP 或未知设备的密码重置请求。

使用条件 MFA 保护用户对 IT 资源（如应用程序和端点）的访问。预配置用户位置、IP 地址、访问时间和用于为不同访问场景提供不同类型的 MFA 方法的设备等条件。

实施零信任的好处

• 多个资源的安全性：使用 MFA 保护网络中的所有资源，包括访问VPN、OWA 登录、企业应用程序和计算机。
• 无密码身份验证：通过自适应身份验证使泄露的密码无能为力，启用无密码身份验证并消除所有密码管理麻烦。
• 与 IAM 工具的集成：通过与 IAM 解决方案（如 ADManager Plus 和 AD360）集成，更好地实施零信任网络访问，这些解决方案提供 UBA 驱动的变更审计和基于审批的工作流等功能。
• 增强的用户体验：确保用户在顺利简单的自适应身份验证过程的帮助下访问必要的组织资源时体验到不受阻碍的工作效率。

ADSelfService Plus 是一种身份安全解决方案，可以结束许多网络威胁，节省 IT 成本，并开启零信任安全。减轻 IT 帮助台的负担，为用户提供自助服务功能。