许多组织尚未投资 PAM 解决方案,因为它们可能成本
虽然信任在访问管理中发挥重要作用,但并非所有类型的信任都同等重要。 谈及访问管理,我们需要密切关注两类信任:隐式信任和显示信任。
我们来看一下访问管理中的这些信任类型以及它们之间的区别。
什么是隐式信任?
隐式信任是基于以下假设:系统内的每个人都值得信任,除非事实证明他们并非如此。 有了隐式信任模型,只要提供有效凭证,组织内发生的所有授权尝试都将获批。 受信任的个人在何时何地或使用任何何种设备访问这些资源并不重要,因为在隐式信任模型下,他们有权随时在有需要的情况下访问这些资源。
什么是显示信任?
显示信任基于持续授权授予资源访问权限。 个人必须验证其身份并提供访问这些资源的需求,而不是允许任何人在任何给定的时间、在任何设备上访问资源。 借助显示信任模型,个人的设备、位置和活动只有得到批准,才能获得访问权限。 如果个人获得访问权限,其活动就会受到监控,以确保资源不会遭到滥用。
访问管理:隐式信任和显示信任之间的主要区别
现在您已了解隐式信任和显示信任的运作原理,以下是它们的一些主要区别。
Implicit Trust | Explicit Trust |
---|---|
Every device is approved by default | Every device is explicitly approved |
Location is not considered for authentication | Access from specific locations is explicitly approved |
All actions are approved based on permissions | All actions are explicitly approved in real time, regardless of role |
Best when used for low-risk resources | Best when used for high-risk resources |
Common for in-person work environments | Best for hybrid and distributed workforces |
设备审批
在设备审批方面,隐式信任默认批准每台设备。 另一方面,显示信任要求每台设备的使用都得到明确批准。
位置审批
使用隐式信任模型授予访问权限时,从不验证位置。 然而,使用显示信任模型时,从特定位置访问资源必须始终获得明确批准。
行动审批
许多组织根据每个员工的角色为其设置权限,允许他们执行某些操作。 隐式信任意味着,只要个人在组织内的权限中包含这些操作,所有这些操作都将得到批准。 显示信任模型要求用户想要执行的每个特定操作都得到实时明确批准。 个人在组织内的角色设置并不重要。
用例
隐式信任和显示信任在组织内的访问管理中都发挥重要作用,然而两者各适用于特定用例。 隐式信任为组织内的个人提供方便,因为它允许大家以最小的摩擦访问资源;然而,这也造成了安全风险。 这意味着,隐式信任模型应仅适用于低风险资源。 另一方面,显示信任应适用于含有敏感数据的高风险资源,以及对关键系统的访问,以确保这些资源未管理不当或被滥用。
显示信任如何帮助组织采用零信任安全
零信任是一个消除隐式信任的安全框架,要求对所有人和设备进行持续、明确的审批。 在零信任安全框架下,由于持续审批需求,网络犯罪分子或其他未经授权的个人在组织网络中横向移动的能力变得更加困难。 这不仅减少了组织的攻击面,还降低了数据泄漏和外泄的风险。
任何计划采用零信任安全性的组织都需要首先在其访问管理策略中实施显示信任。
KeeperPAM™ 帮助组织实施显示信任
若无适当的工具,组织可能很难实施显示信任,但 KeeperPAM 确保了其安全性和简便性。 KeeperPAM 是新一代权限访问管理 (PAM) 解决方案,它将 Keeper Enterprise Password Manager (EPM)、Keeper Secrets Manager (KSM) 和Keeper Connection Manager (KCM) 整合到一个统一平台内。 KeeperPAM 有助于轻松实施显示信任,同时实施零信任和零知识安全性和合规性。
如需详细了解 KeeperPAM 如何帮助组织在其访问管理策略中实施显示信任,请立即申请演示。