零信任體系化能力建設(shè)（1）：身份可信與訪問管理

隨著網(wǎng)絡(luò)威脅日益復(fù)雜和企業(yè)信息安全風(fēng)險(xiǎn)的增加，實(shí)施零信任架構(gòu)已成為保護(hù)企業(yè)關(guān)鍵資產(chǎn)和數(shù)據(jù)的有效策略。本系列論文研究了不同廠商、組織所提出的零信任成熟度模型，以及零信任供應(yīng)商的解決方案，從身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用與工作負(fù)載、數(shù)據(jù)等不同領(lǐng)域分析零信任能力建設(shè)的內(nèi)容、方法和趨勢(shì)，討論零信任的安全能力組成和最佳實(shí)踐，幫助企業(yè)規(guī)劃、構(gòu)建和實(shí)施零信任戰(zhàn)略。
以身份基石、構(gòu)建并實(shí)施零信任是大多數(shù)廠商和解決方案的共識(shí)，究其原因主要有兩個(gè)，其一是企業(yè)組織需要通過身份來管理權(quán)限、實(shí)施授權(quán)，并控制訪問，其二是與身份相關(guān)的攻擊手段越來越多地被用于實(shí)施網(wǎng)絡(luò)攻擊。本文主要從與身份相關(guān)的安全建設(shè)入手，討論了零信任安全中身份庫、認(rèn)證、授權(quán)和訪問控制等問題。

關(guān)鍵字：零信任；成熟度模型；身份安全；訪問授權(quán)

一、零信任身份安全

根據(jù)身份定義安全聯(lián)盟IDSA《2023年數(shù)字身份安全趨勢(shì)》的調(diào)查結(jié)果，隨著數(shù)字身份的激增，針對(duì)身份的攻擊事件也在增加，其中最常見的手段是釣魚攻擊（占62%），其他與身份相關(guān)的安全事件包括暴力破解攻擊（占31%）、社交工程密碼攻擊（占30%）、特權(quán)身份入侵（占28%）、憑證盜用（占28%）等。

在NIST零信任參考架構(gòu)中，身份是指描述用戶或?qū)嶓w（包括非人實(shí)體，如設(shè)備、應(yīng)用程序或服務(wù)）的一個(gè)或一組屬性。零信任的實(shí)施以身份為中心，確保正確的人（或?qū)嶓w）在正確的上下文中，以正確的權(quán)限級(jí)別訪問正確的資源，并且持續(xù)評(píng)估訪問權(quán)限。

在實(shí)際的零信任實(shí)踐中，不同企業(yè)業(yè)務(wù)和架構(gòu)的差異，導(dǎo)致“身份”的范圍和組成（與業(yè)務(wù)和資源訪問場(chǎng)景密切相關(guān)）具有明顯的差異，為了推動(dòng)零信任身份能力的成熟度演進(jìn)，組織需要結(jié)合自身的需要和現(xiàn)狀，從身份治理的頂層規(guī)劃出發(fā)，梳理、建設(shè)并持續(xù)發(fā)展相關(guān)能力。圖1給出了在“身份”能力域中，組織所應(yīng)考慮和關(guān)注的身份能力范圍和組成。

圖1 零信任“身份”安全能力的組成

二、身份安全的關(guān)鍵能力

在企業(yè)網(wǎng)絡(luò)安全建設(shè)中，僅僅保護(hù)終端設(shè)備、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)，并不能有效防御基于身份和憑證的攻擊威脅，為了能夠解決類似賬戶劫持的身份攻擊問題，組織必須建設(shè)并實(shí)施以身份為中心的安全措施，以保障業(yè)務(wù)和數(shù)據(jù)安全。因此，組織在身份安全能力建設(shè)中，應(yīng)重點(diǎn)關(guān)注身份、憑據(jù)和訪問管理等方面的能力建設(shè)，以確保達(dá)成以下目標(biāo)：

?通過驗(yàn)證和認(rèn)證請(qǐng)求訪問的人員、進(jìn)程或設(shè)備，確保其被正確授權(quán)；
?理解并實(shí)現(xiàn)正確的請(qǐng)求上下文；
?確定訪問環(huán)境的風(fēng)險(xiǎn)，結(jié)合最小權(quán)限的執(zhí)行，為組織提供了最高的安全姿態(tài)。

1．身份庫多方整合
身份管理需要為當(dāng)前所有用戶（包括人員和非人實(shí)體）建立準(zhǔn)確的身份清單，其內(nèi)容包含身份治理實(shí)踐所需的各種身份屬性。
在大多數(shù)早期的企業(yè)系統(tǒng)和應(yīng)用中，每個(gè)系統(tǒng)都有自己的身份數(shù)據(jù)存儲(chǔ)（并進(jìn)行獨(dú)立授權(quán)），這些數(shù)據(jù)可能分散在各個(gè)部門、業(yè)務(wù)系統(tǒng)和應(yīng)用程序之間。企業(yè)也可能使用多個(gè)獨(dú)立的身份庫來管理不同類型的身份信息（例如員工身份、客戶身份和合作伙伴身份），并由不同的團(tuán)隊(duì)或部門管理，導(dǎo)致身份數(shù)據(jù)的冗余和不一致。

這些分散、異構(gòu)和獨(dú)立的身份庫為企業(yè)實(shí)施零信任帶來了挑戰(zhàn)。例如，如果HR系統(tǒng)在更新員工信息后，沒有將其及時(shí)同步到訪問管理系統(tǒng)，將會(huì)導(dǎo)致身份數(shù)據(jù)的不一致，進(jìn)而影響用戶授權(quán)和訪問安全。

為了改善企業(yè)的身份庫現(xiàn)狀，組織在建設(shè)身份安全能力時(shí)，需要將身份數(shù)據(jù)集中到一個(gè)統(tǒng)一的身份管理系統(tǒng)中，并確保身份數(shù)據(jù)在不同系統(tǒng)和應(yīng)用間的及時(shí)同步和集成，以改善身份管理的效率、安全性和一致性。

2．認(rèn)證與憑據(jù)管理
憑據(jù)管理是指管理和保護(hù)用戶（包括NPE）的身份驗(yàn)證憑據(jù)，如用戶名、密碼、證書、令牌等，確保憑據(jù)的安全性、可靠性和合規(guī)性。
憑據(jù)管理包括憑據(jù)的頒發(fā)、使用和撤銷。一旦身份管理系統(tǒng)為用戶建立了身份，就必須為其頒發(fā)安全的憑據(jù)，以向系統(tǒng)證明其所聲稱的身份。通常，由于實(shí)體在組織中可能擔(dān)任不同的角色或職責(zé)，每個(gè)身份可以與多個(gè)憑據(jù)相關(guān)聯(lián)，特別是對(duì)于高權(quán)限用戶，一般需要為其特權(quán)角色和非特權(quán)角色創(chuàng)建并使用不同的憑據(jù)。

通常，認(rèn)證因素可分為所知、所持和所有內(nèi)容3類，多因素認(rèn)證（MFA）采用其中的至少兩種進(jìn)行身份認(rèn)證。NIST的SP 800-63B按認(rèn)證保證級(jí)別（AAL）將認(rèn)證強(qiáng)度劃分為3個(gè)等級(jí)，包括AAL1~AAL3。對(duì)具有關(guān)鍵資源訪問權(quán)限的人員用戶，建議使用強(qiáng)認(rèn)證方法，這些認(rèn)證方法在用戶設(shè)備和服務(wù)器之間建立了持續(xù)的身份認(rèn)證連接，以便提供抗釣魚能力。

非人實(shí)體的認(rèn)證應(yīng)通過基于硬件的機(jī)制進(jìn)行保護(hù)。理想情況下，NPE實(shí)體身份通過公鑰證書來表征，無論該實(shí)體是物理設(shè)備、進(jìn)程還是其他邏輯實(shí)體，其私鑰受所屬實(shí)體的嚴(yán)格控制。不支持公鑰認(rèn)證的實(shí)體可以使用隨機(jī)生成、且滿足長度要求的口令字（Password），這些口令字根據(jù)需要存儲(chǔ)在受硬件保護(hù)的口令庫或隔離環(huán)境中。

另外，還需要關(guān)注密碼敏捷的問題。當(dāng)系統(tǒng)采用的密碼技術(shù)過時(shí)或安全強(qiáng)度降低時(shí)，企業(yè)必須能夠通過快速撤銷過時(shí)或受損的機(jī)制，并使用安全方法部署新的憑據(jù)。

3．訪問與授權(quán)管理
訪問與授權(quán)管理負(fù)責(zé)建立、維護(hù)訪問授權(quán)策略和鑒權(quán)機(jī)制，以確保只有經(jīng)過身份驗(yàn)證和授權(quán)的用戶才能夠訪問受保護(hù)資源。不同的訪問控制框架因采用不同的實(shí)現(xiàn)機(jī)制和安全模型，能夠在不同層級(jí)上提供訪問決策，但更精細(xì)的訪問規(guī)則代表著較高的成熟度。

在設(shè)計(jì)訪問控制機(jī)制時(shí)，應(yīng)考慮粒度、可靠性、可用性以及對(duì)資源的潛在風(fēng)險(xiǎn)等因素?；趯傩缘脑L問控制（ABAC）模型提供了滿足這些目標(biāo)所需的靈活性，能夠兼容實(shí)施不同的訪問控制策略、層次化的執(zhí)行機(jī)制，以及豐富的上下文屬性集合。

在零信任（Zero Trust）中，上下文指的是訪問請(qǐng)求發(fā)生時(shí)的環(huán)境和相關(guān)信息。這些上下文信息可以包括用戶身份、設(shè)備屬性、網(wǎng)絡(luò)位置、應(yīng)用、時(shí)間、行為模式等（如表1）。通過分析和綜合這些上下文信息，可以更好地評(píng)估訪問請(qǐng)求的風(fēng)險(xiǎn)程度，并做出相應(yīng)的訪問決策。這種基于上下文的訪問控制可以根據(jù)實(shí)際情況對(duì)每個(gè)訪問請(qǐng)求進(jìn)行細(xì)粒度的評(píng)估，并采取適當(dāng)?shù)陌踩胧?，以確保安全訪問。

風(fēng)險(xiǎn)自適應(yīng)的訪問控制框架能夠確保組織在對(duì)抗威脅時(shí)，平衡可靠性、可用性和任務(wù)性能，更適合應(yīng)對(duì)突發(fā)威脅，同時(shí)保持任務(wù)關(guān)鍵的操作運(yùn)行。

實(shí)施最小權(quán)限訪問策略可以將攻擊者權(quán)限限制在有限的憑證集上，從而減少可能引起的損害，也可以限制用戶由于疏忽、意外或惡意帶來的損害。

企業(yè)環(huán)境中的特權(quán)賬戶和服務(wù)必須受到控制，因?yàn)楣粽吒鼉A向于對(duì)管理員憑證進(jìn)行攻擊，以獲取對(duì)高價(jià)值資產(chǎn)的訪問權(quán)限，并在網(wǎng)絡(luò)中進(jìn)行橫向移動(dòng)。特權(quán)訪問管理（PAM）工具能夠提供一個(gè)集中的管理界面，根據(jù)風(fēng)險(xiǎn)暴露和最小權(quán)限訪問原則，分配細(xì)粒度的特權(quán)權(quán)限，僅允許所需的訪問權(quán)限。

特權(quán)訪問設(shè)備是為所有管理功能和賬戶提供的指定和專用的設(shè)備，可以進(jìn)一步支持特權(quán)賬戶的使用環(huán)境隔離。特權(quán)訪問設(shè)備可以通過虛擬工作站或物理工作站實(shí)現(xiàn)。只能訪問執(zhí)行管理操作所需的基本應(yīng)用程序，不允許高風(fēng)險(xiǎn)活動(dòng)，如電子郵件或網(wǎng)絡(luò)瀏覽。

三、身份安全的最佳實(shí)踐
實(shí)施零信任是一個(gè)需要逐步演進(jìn)的過程，更重要的是，當(dāng)組織開始零信任之旅時(shí)，并不是從零開始，組織并不需要完全重新設(shè)計(jì)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，而是可以通過逐步修改當(dāng)前基礎(chǔ)設(shè)施，并增強(qiáng)現(xiàn)有安全控制來逐步實(shí)現(xiàn)零信任安全架構(gòu)。

在零信任的身份能力建設(shè)方面，企業(yè)可以建立科學(xué)、合理的安全能力成熟度建設(shè)規(guī)劃，以確保實(shí)施的有效性和可持續(xù)性。

1．梳理身份能力
企業(yè)應(yīng)該評(píng)估當(dāng)前的身份能力和控制措施，包括身份驗(yàn)證、訪問控制、身份管理和監(jiān)控等方面。通過了解現(xiàn)有的強(qiáng)項(xiàng)和薄弱環(huán)節(jié)，企業(yè)可以確定改進(jìn)的重點(diǎn)和優(yōu)先級(jí)。為有效管理身份，組織應(yīng)建立一個(gè)準(zhǔn)確的清單，記錄關(guān)鍵的身份屬性，以及特權(quán)賬戶。
需要特別注意的是，與設(shè)備身份（屬于身份領(lǐng)域，而非設(shè)備領(lǐng)域）相關(guān)的能力梳理。例如，服務(wù)器通常會(huì)訪問敏感資源，這些訪問也需要作為零信任身份能力的一部分進(jìn)行監(jiān)控。雖然這是一個(gè)重要目標(biāo)，但也確實(shí)是一個(gè)很難解決的問題，因?yàn)榇蠖鄶?shù)組織都遠(yuǎn)未達(dá)到能夠掌控機(jī)器身份的地步。但如果安全團(tuán)隊(duì)無法識(shí)別訪問資源的設(shè)備，他們就無法對(duì)任何給定的訪問請(qǐng)求做出基于風(fēng)險(xiǎn)的策略決策，也無法判斷這些訪問是否來自企業(yè)環(huán)境中的新興威脅。

以員工身份為例，身份能力清單的主要內(nèi)容應(yīng)包括：
?個(gè)人（特權(quán)賬號(hào)）信息。包括用戶的全名、聯(lián)系方式和其他相關(guān)個(gè)人標(biāo)識(shí)。
?角色和職責(zé)。確定用戶在組織中的角色，包括其職位、部門和分配的職責(zé)。
?用戶賬戶和憑證。跟蹤用戶賬戶信息，如用戶名、關(guān)聯(lián)的電子郵件地址和身份驗(yàn)證憑證（例如密碼、訪問令牌）。
?訪問權(quán)限。記錄用戶（賬號(hào)）的授權(quán)訪問權(quán)限，可訪問的資源、授予的訪問級(jí)別以及任何限制或限制條件。
?用戶生命周期事件。記錄重要的用戶事件，例如入職、角色變更、調(diào)動(dòng)和離職。
通過維護(hù)全面的用戶身份清單和相關(guān)屬性，組織可以有效管理訪問控制，實(shí)施最小特權(quán)原則，并降低對(duì)關(guān)鍵資源的未經(jīng)授權(quán)訪問風(fēng)險(xiǎn)。定期更新和審查該清單對(duì)確保用戶身份信息的準(zhǔn)確性和相關(guān)性，并支持有效的身份治理實(shí)踐至關(guān)重要。

2．減少口令使用
為了解決這些挑戰(zhàn)并降低與口令相關(guān)的風(fēng)險(xiǎn)，可以鼓勵(lì)員工使用口令管理工具，生成并安全存儲(chǔ)復(fù)雜口令，以便員工能夠有效地管理密碼而無需記住它們。其次，實(shí)施多因素認(rèn)證（MFA），要求員工提供口令之外的其他驗(yàn)證因素（例如，指紋掃描、令牌或短信驗(yàn)證碼），并逐漸向無密碼認(rèn)證和持續(xù)認(rèn)證過渡。再次，進(jìn)行員工教育和意識(shí)提升，定期進(jìn)行培訓(xùn)，向員工傳達(dá)使用強(qiáng)口令、避免口令重復(fù)的重要性，提高對(duì)弱口令風(fēng)險(xiǎn)的認(rèn)識(shí)。

3．縮減特權(quán)賬戶
為了減少特權(quán)賬戶使用，可以采取一些措施。首先，實(shí)施特權(quán)賬戶的分離管理，將管理員的“用戶”賬戶與“管理員”賬戶分離，確保他們只在必要時(shí)切換到特權(quán)賬戶。其次，根據(jù)工作職責(zé)的需要，只為管理員分配執(zhí)行特定任務(wù)所需的權(quán)限，避免過度授權(quán)。最后，實(shí)施會(huì)話錄制和審計(jì)功能，監(jiān)控特權(quán)賬戶的操作行為，確保他們按照最小權(quán)限原則進(jìn)行操作，并能夠及時(shí)識(shí)別和響應(yīng)潛在的安全威脅。

4．強(qiáng)化操作集成
為了找到適合組織的最佳AM（訪問管理）解決方案，可以利用結(jié)構(gòu)化方法評(píng)估各種業(yè)務(wù)場(chǎng)景下的使用案例和需求，幫助確定組織對(duì)AM解決方案的集成或建設(shè)需求。這個(gè)過程還應(yīng)考慮需要保護(hù)和支持的數(shù)據(jù)、應(yīng)用程序和資產(chǎn)，以及用于外部身份驗(yàn)證和授權(quán)的各種部署架構(gòu)，確保AM解決方案與其他業(yè)務(wù)和IT解決方案之間的互操作性。

四、結(jié)語
身份能力是構(gòu)建零信任體系化安全能力的關(guān)鍵要素。通過實(shí)施強(qiáng)大的身份驗(yàn)證和細(xì)粒度的訪問控制，組織可以提高安全性，降低風(fēng)險(xiǎn)，并保護(hù)敏感數(shù)據(jù)。然而，成功實(shí)施身份能力需要綜合考慮多個(gè)因素，并與其他能力和跨域能力相互配合。企業(yè)應(yīng)制定全面的身份治理策略，并采取逐步實(shí)施的方法，以確保有效的零信任安全環(huán)境的建立。

審核編輯 黃宇