本文分享自天翼云開發(fā)者社區(qū)《零信任的用戶行為分析: 通過綜合策略解鎖安全洞察力（一）》，作者：Icecream

    在當今日益動態(tài)和互聯(lián)的數(shù)字環(huán)境中，伴隨業(yè)務(wù)的多元化發(fā)展，傳統(tǒng)網(wǎng)絡(luò)的邊界愈發(fā)模糊，依賴“縱深防御﹢邊界防御”的網(wǎng)絡(luò)安全防御模式岌岌可危。零信任，一個假定沒有內(nèi)在信任的安全概念，已經(jīng)成為應對這些挑戰(zhàn)的一個強大框架。零信任策略的核心原則是不信任任何用戶或設(shè)備，而用戶行為分析則提供了洞察用戶行為、檢測異?；顒雍图訌姲踩胧┑氖侄?，使企業(yè)能夠獲得對用戶行為的寶貴洞察力。在這篇文章中，我們將探討零信任策略和用戶行為分析的交叉點，以及如何將它們相互結(jié)合，以實現(xiàn)更強大的安全防護。

基于上下文的高級訪問控制

       零信任策略強調(diào)將上下文信息納入訪問控制決策的考量，而用戶行為分析可以提供豐富的上下文信息，如用戶的位置、設(shè)備信息、時間等。這些上下文信息可以用來驗證用戶的身份和授權(quán)訪問請求的合法性。在傳統(tǒng)的基礎(chǔ)訪問控制之上，天翼云零信任提供高級訪問控制策略，結(jié)合了時空信息、網(wǎng)絡(luò)信息、軟件信息、系統(tǒng)信息和硬件信息等更深層次的數(shù)據(jù)，以加強對用戶訪問的控制和認證。

       時空信息，涵蓋了用戶訪問資源的時間和地點信息。結(jié)合用戶行為分析，企業(yè)可以建立時空訪問模式和行為模式，并據(jù)此識別異常行為。例如，在工作時間和合法的地點訪問敏感數(shù)據(jù)被視為正常行為，而在非工作時間或不常用地點訪問敏感數(shù)據(jù)可能被視為異常行為。通過時空信息的分析，可以動態(tài)調(diào)整訪問權(quán)限和強化安全防護。

       網(wǎng)絡(luò)信息，提供了對用戶網(wǎng)絡(luò)連接的更深入了解，包括IP地址、網(wǎng)絡(luò)連接類型和使用的協(xié)議等。通過用戶行為分析和網(wǎng)絡(luò)信息的結(jié)合，企業(yè)可以識別出潛在的異常網(wǎng)絡(luò)活動。例如，如果用戶從非授權(quán)的IP地址訪問資源或使用異常的網(wǎng)絡(luò)連接方式，系統(tǒng)可以觸發(fā)額外的驗證步驟或拒絕訪問請求。這樣的高級訪問控制機制可以有效減少潛在的安全風險。

       軟件信息，涉及用戶使用的操作系統(tǒng)、應用程序和版本等數(shù)據(jù)。通過了解用戶的軟件信息進行用戶行為分析，系統(tǒng)可以根據(jù)軟件信息進行訪問控制，只允許經(jīng)過認證和安全性驗證的軟件訪問敏感資源。這種高級訪問控制機制有助于降低因軟件漏洞導致的安全風險。

       系統(tǒng)信息，包括設(shè)備的硬件配置、操作系統(tǒng)設(shè)置和安全配置等。通過收集和分析系統(tǒng)信息，企業(yè)可以確保用戶設(shè)備具備必要的安全性能和配置。結(jié)合用戶行為分析，系統(tǒng)可以根據(jù)系統(tǒng)信息對設(shè)備進行認證和授權(quán)，僅允許滿足安全要求的設(shè)備訪問資源。這樣的高級訪問控制機制能夠有效防止設(shè)備冒充和非法設(shè)備的入侵。

       硬件信息，涵蓋了設(shè)備的唯一標識符、MAC地址、硬件特征等。通過硬件信息的收集和分析，企業(yè)可以確保用戶設(shè)備的合法性和唯一性。據(jù)此進行用戶行為分析，系統(tǒng)可以利用硬件信息進行認證和授權(quán)，只允許合法設(shè)備訪問資源。這種高級訪問控制機制有助于減少因非法設(shè)備或設(shè)備冒充而產(chǎn)生的安全風險。