Swissbit iShield FIDO2零信任安全密鑰保護資料安全

對於網絡安全，傳統的信任網絡方法很常見。基本上，這意味著在安全的內部網絡和不安全的互聯網之間進行區分。防火牆和VPN確保了明確的分界。在實踐中，這意味著用戶可以在組織內部的電腦之間自由導航。這不僅在內部攻擊者獲得未經授權的資源訪問時成為問題。另一個重大風險是，一旦攻擊者從外部進入網絡，他們通常可以在網絡中不被注意地移動。

零信任方法摒棄了在定義的企業邊界內存在可信網絡的概念，而是以數據本身為出發點。通過不斷監控誰在訪問哪些數據，這種以數據為中心的方法確保了數據的安全。常見的零信任概念包括確定數據的敏感性、評估風險、建立訪問規則並執行它們。軟體定義邊界(Software Defined Perimeters)是實現這一目標的方法之一。網絡訪問和連接是根據知情原則建立的。任何想要訪問網絡應用程序或資源的人必須首先對特定用途進行身份驗證，然後才能在不看到網絡任何部分的情況下訪問和使用它。換句話說，訪問管理從網絡邊界移動到了資源或應用程序。

毫無疑問，這樣的安全架構需要付出一定的努力。首先，需要保護的內容必須被定義。這包括敏感和機密數據以及應用程序和物聯網設備和服務。要決定如何保護交易，必須首先評估數據流，然後解決有關網絡設計和維護的任何問題。在這種情況下，身份和訪問管理(IAM)變得越來越重要，所有用戶必須根據一套授權要求對每個系統進行單獨認證。一旦建立了通過最高級別的不信任來實現安全的IT環境，還必須實施安全認證解決方案。

一個密碼是不夠的！密碼存在許多問題。它們容易受到網絡釣魚和社會工程攻擊，如果它們缺乏複雜性，甚至可以被猜測或測試。因此，身份驗證應始終考慮多個因素。除了秘密元素，即密碼，還應至少有第二個因素，例如生物特徵或防偽對象。對於後者，現在有非常實用的解決方案提供額外的加密功能——例如Swissbit的iShield FIDO2安全密鑰。產品名稱中最重要的部分是FIDO，意為快速在線身份驗證。FIDO聯盟於2013年由一群國際公司成立，目標是開發開放且免許可的行業認證標準。該聯盟通過WebAuthN標準(以前的U2F，即通用第二因素)成功實現了這一目標，該標準用於規範兩因素認證的硬件和軟件。用於密碼認證的通信協議由客戶端到認證器協議(CTAP)標準定義。當前的FIDO2標準用於認證Windows 10和Android等產品。例如，在零信任方法的背景下，企業軟件的訪問可以使用基於硬件的安全令牌進行保護，例如材料管理、人力資源、財務和業務管理、銷售管理、生成計劃和控制或供應鏈管理領域的企業軟件。這些都是以ERP、PPS、CRM、CMS等簡短名稱表示的主要系統。

本質上，FIDO安全密鑰由安全晶片、加密模組、NFC和USB接口組成。應用非常簡單。要註冊密鑰，用戶需要通過指紋讀取器、安全輸入的PIN或其他預定方法解鎖FIDO設備。設備然後生成一個新的公鑰和私鑰對。密鑰對將設備連接到應用程序和用戶帳戶。在線服務接收公鑰並將其與用戶帳戶關聯。私鑰或本地認證過程的其他細節(如生物特徵信息)永遠不會離開本地設備。當用戶登錄時，FIDO伺服器向設備發送請求，設備返回簽名的請求。

整個過程使用FIDO標準：用於認證設備和應用程序之間通信的客戶端到認證器協議(CTAP)，以及用於通過網絡瀏覽器直接使用公鑰方法進行身份驗證的標準編程接口WebAuthN。許多平台如Windows 10/11已經原生支持WebAuthN，並且它可用於包括Firefox、Chrome/Chromium、Safari和Microsoft Edge在內的網絡瀏覽器。

在實施數據中心零信任安全策略時涉及許多單獨的身份驗證過程。使用基於FIDO標準的解決方案可以更容易和更快速地處理安全的軟件。儘管使用一次性密碼的方法可能會被破壞，但在兩因素認證中使用硬件安全元素符合最高的安全標準。