白皮书 工作日政府云和零信任 Workday如何支持美国联邦零信任计划 目录 多因素认证(MFA)6 将联邦企业应用程序迁移到超大规模的基于云的SaaS模型,可让您利用一流的基础架构、应用程序和操作实践。它还可以使您更接近实现联邦授权的零信任目标。 Worday政府云提供U.S.联邦机构在具有FedRAMP中等授权的环境中运行的世界一流的财务管理和人力资本管理云应用程序组合。WordayGovermetClod使组织能够有效,安全地管理其苛刻的员工,财务和任务流程,同时帮助满足新的零信任架构(ZTA)战略要求。 本白皮书概述了零信任,并概述了Workday如何支持零信任计划。 背景。 2022年1月26日的白宫备忘录M-22-09提出了一项ZTA战略,要求所有联邦机构在 2024财年结束前达到特定的网络安全标准和目标。作为回应,各机构应强烈考虑采用超大规模、基于云的SaaS解决方案 因为他们致力于保护IT系统免受日益复杂和持续的威胁。这些解决方案使机构能够及时、经济高效和可持续地实现ZTA战略目标,因为SaaS产品利用了最先进的IT基础设施;实施敏捷, 先进的多租户技术解决方案;并提供卓越的运营。 什么是零信任? 零信任是一种安全模型,旨在解决威胁行为者利用来访问、更改或禁用IT系统的许多风险。对于许多传统IT系统,一旦特权用户在系统边界内,他们就会在网络中受到隐式信任,并且可以相对开放地访问各种系统、资源和数据。 受信任或特权用户通常被授予对资源的广泛权限,而与他们的访问需求无关。在许多情况下,这种过度特权访问是由于身份和访问管理工具内的系统架构或治理限制的约束 。威胁行为者和对手通过利用被盗凭证在整个系统中横向移动以搜索有价值的数字资产、建立长期网络存在和/或中断或禁用系统操作来容易地利用这些系统。 随着面向互联网的直接访问企业网络已经开放,以支持远程工作,传统系统中的机会可以利用 受信任用户的被盗凭证急剧增加。此外,复杂的攻击者继续采用有效的策略,技术和程序来保持未被发现。 “ 渐进的改善不会给我们带来我们需要的安全;相反,联邦政府需要做出大胆的改变和重大投资,以捍卫支撑美国生活方式的重要机构。 拜登总统 行政命令14028 各机构应积极考虑采用超大规模、基于云的SaaS解决方案,以保护IT系统免受日益复杂和持续的威胁。 零信任模型的一个核心原则是,不应该向用户或系统提供基于已建立的网络访问(例如,进入门)或接近(例如,信任他们来自哪里)的敏感IT资源的隐式访问(例如,默认情况下不应该信任他们)。 此外,ZeroTrust加强了将每个用户暴露于敏感 数据通过粒度方法实现“最小特权”,这是授予用户或实体所需访问权限的原则。零信任 促进默认情况下拒绝对敏感资源的访问,并要求明确定义访问权限-特别是仅在需要时才启用。大规模管理对资源的精细访问要求任务所有者和IT经理彻底了解他们的数据、用户 、任务流程、资产和访问模式。 实现任务敏捷性以支持核心业务价值主张,同时应用敏感数据的安全可见性不是简单的任务。 应用零信任粒度访问控制模型意味着在授予访问权限之前分别对每个资源访问请求进行身份验证和授权。零信任方法引入了中央策略执行点的概念,可以在其中评估和执行离散的用户上下文特征(例如谁,什么,何时,何地和为什么)。此外,每个访问请求 (成功或不成功)应被监视,记录和评估异常行为。 推荐的零信任设计方法是将每个资源请求视为已由系统中的攻击者发起。 系统内的恶意活动可能会受到严格限制横向服务器到服务器移动以及要求对每个资源请求进行身份验证和授权的严重阻碍。 如果用于管理策略控制的工具不是上下文感知的、灵活的、自适应的和可管理的,那么操作具有对控制的粒度访问的系统可能是具有挑战性的。 系统用户面临的常规挑战是如何在不共享未经授权的数据的情况下创建和共享报告。诸如Worday之类的精心设计的平台支持可以在个人用户访问权限下开发、共享和运行的报表定义。通过实施特定于用户的数据访问策略,生成的报告仅包括该用户的授权数据。这意味着单个报表定义可以由多个用户使用,而不会损害敏感数据-无需创建组织、团队或用户特定的报表来保护数据。虽然这看起来相对简单,但它是支持零信任的大规模粒度数据访问控制的强大推动者。 实现零信任目标的挑战。 任务所有者的任务是更快地提供更好的数据见解,同时锁定他们的数据。曾经在单个应用程序中被安全保护的数据现在正在被提取出来,以支持数据仓库或人工智能工具中的高级分析。预测数据的去向和保护方式变得越来越困难。 实现任务敏捷性以支持核心业务价值主张,同时应用敏感数据的安全可见性不是简单的任务。 Workday提供了一个可扩展的解决方案,可在通用安全模型中保护数据的同时实现任务生产力。Workday是作为云交付的SaaS产品从头开始构建的。许多零信任核心原则构建在Workday的架构、运营和维护中。 多租户SaaS。 作为SaaS交付的超大规模、基于云的多租户Web服务,如Workday,可以成为大型企业零信任原则的关键促成者。在SaaSWeb服务模型中,所有用户与服务的交互都被设计为源自托管网络边界之外。用户发起 通过Web浏览器或Internet上的移动应用程序进行安全,经过身份验证,授权和加密的服务交互。每个用户请求都是不可信的,除非在授权请求之前对用户进行身份验证,否则不会采取任何操作。 设计用于从系统边界外部进行Web访问。 基于云的SaaS产品(如Workday)不需要虚拟专用网络(VPN)连接。每个基于Web的应用程序编程接口(API)调用都在传输过程中进行加密,并在与可水平扩展的微服务交互之前进行单独身份验证和授权。 网关服务通过狭窄定义的应用程序接口处理API调用。策略实施引擎允许对数据用户上下文、数据访问和用户权限进行精细控制。始终在线的监视工具提供记录、审核和评估用户行为所需的可见性和自动化。 由一流的专用团队和资源管理的应用程序和基础架构。 Worday等基于云的多租户SaaS服务提供商利用专门的大型团队,专注于开发和提供高性能、可靠、耐用、安全且具有成本效益的解决方案。服务于庞大的客户群使SaaS提供商能够投资于满足世界上一些最复杂的组织需求所需的人员、资源和工具。例如,目前超过50%的财富500强公司使用Worday。 Workday政府云托管在AmazonWebServices(AWS)上– 超大规模云交付的领导者。AWS目前拥有一些当今运行中最敏感和性能最高的系统,包括公共部门和商业部门。AWS在设施、网络、存储和软件方面投入巨资。底层AWS架构可提供无与伦比的性能、可用性、持久性、可见性和大规模自动化。AWS云服务建立在零信任模型之上。利用AWS提供的同类最佳超大规模云基础设施服务是实现Worday零信任的关键推动者。 Workday从头开始构建为云交付的SaaS产品。许多零信任核心原则构建在Workday的架构、运营和持续中。 利用AWS提供的同类最佳超大规模云基础设施服务是实现Workday零信任的关键推动者。 多因素身份验证。 多因素身份验证(MFA)是零信任安全性的核心原则。MFA意味着需要多个证据来验证用户。WorkdayEnterpriseManagementCloud应用程序提供多种启用MFA的选项,包括: •作为组织的单点登录(SSO)解决方案执行的委托身份验证的一部分 •将DuoSecurity与任何身份验证方法(如用户名和密码、SAML或OpenIDConnect身份验证)一起使用 •使用第三方身份验证器应用程序,该应用程序利用基于时间的一次性密码(TOTP)算法以及任何身份验证方法(例如,用户名和密码、SAML或OpenIDConnect身份验证) 应用程序和数据治理。 单一数据和安全模型可保护数据并提供任务敏捷性。 Workday设计了其数据处理方法,以结合大量消费者互联网应用程序的性能技术。Workday使用内存中对象数据模型进行应用程序数据处理。出于恢复和可用性的目的,通过持久性数据存储来补充此内存中数据模型。 使用内存中数据模型意味着应用程序不依赖于对静态关系数据库表的查询。删除紧密绑定的关系数据库集成提供了更可预测的应用程序 性能和更好的应用程序设计灵活性。它也是Workday数据安全模型的关键推动者。 传统的企业应用程序依赖于关系数据库来处理每个事务和报告。高速高级分析所需的索引和关系数据库连接通常会使事务性能陷入停滞。这种挑战通常会导致业务用户将数据导出到单独的系统进行分析。这种单独的数据处理会产生复杂性并导致数据不一致。单独的系统也可能导致明显不同的访问策略执行制度。此外,依靠关系数据库进行审核会增加性能和可伸缩性挑战。 Workday中的内存数据模型将应用程序与传统的关系数据库性能和审计挑战隔离开来。高性能交易、报告和审计在工作日内和平共处。Worday中的实时策略实施在事务处理、报告和分析方面是相同的。工作日审计和记录每笔交易,甚至记录用户查看数据时。这些审计数据为组织提供了了解其系统中正在发生的事情所需的可见性。有效审计是关键的零信任原则。 熟练的攻击者可以利用数据库访问来提取或更改大量的结构化数据。 Workday采用了不同的方法。从数据安全的角度来看,只有通过Workday应用程序数据和安全模型才能直接访问Workday中的结构化数据。通过使用内存中的数据模型,Workday消除了绕过策略实施并直接从关系数据库提取大量结构化数据的能力。 了解您的数据、用户和任务流程。 数据保护并不容易。首先,您必须对所有数据进行分类和标记-这不是一项小任务。接下来,您将所有用户分配给仅反映他们完成工作所需的特定数据访问和操作的组,并且不超过需要-也不简单。然后,您必须考虑员工启用或访问的所有业务流程和数据。在人员、数据和业务流程相交的地方,您必须确保在需要时访问和操作可用,同时确保数据不可用。 不适当地暴露,因此人们不会引入错误或创建问题。使用Workday,您可以映射出所有数据、用户和业务流程连接,以便可以灵活和大规模地配置、管理和维护精细访问控制-考虑到定期更改。 由于该过程并不简单,而且大多数系统都不是为管理细粒度访问控制而设计的,因此许多组织默认允许对数据和处理步骤的访问比他们所希望的要广泛得多。这些挑战只会随着数据集、用户群和流程复杂性的增加而升级。此外,需要将数据导出到其他系统进行特殊处理(如分析、报告和人工智能),这使得将零信任原则完全纳入当前系统变得越来越困难。 在了解与企业财务和人力资本管理相关的数据,用户和业务流程时,Workday为您做了很多繁重的工作。Workday的最大优势之一是构成Workday基础的对象数据模型和相应的应用程序安全模型。 Workday开发了数据和安全模型,使客户能够大规模管理全面的数据和业务流程安全性 无需附加产品或编码。Workday将此方法称为“可配置安全性”。 在了解与企业财务和人力资本管理相关的数据,用户和业务流程时,Workday为您做了很多繁重的工作。 Workday中与劳动力相关的数据保护。 传统环境中的用户配置通常依赖于可能存在数天、数周甚至数月的陈旧数据。当用户更改角色、位置或团队时,或者当用户离开或退休时,机构可能会使用手动且可能容易出错的方法来更新用户授权。 Workday在做出授权决策时对用户的员工状态进行实时评估。作为人力资源数据的记录系统,Workday知道每个员工的雇用日期,晋升日期和休假日期,以及每个员工的相关职位,位置和组织 这些数据(如职位、角色、工作地点、组织和地址)由我们的可配置安全性利用,以确保策略实施基于角色、基于组织和基于属性的访问控制(分别为RBAC、OBAC和ABAC)。 这种基于劳动力数据特征的访问控制的实时实施似乎是对该数据的明显使用;然而,大多数系统