零信任體系化能力建設(shè)（1）：身份可信與訪問管理

隨著網(wǎng)絡(luò)威脅日益復(fù)雜和企業(yè)信息安全風(fēng)險的增加，實施零信任架構(gòu)已成為保護(hù)企業(yè)關(guān)鍵資產(chǎn)和數(shù)據(jù)的有效策略。本系列論文研究了不同廠商、組織所提出的零信任成熟度模型，以及零信任供應(yīng)商的解決方案，從身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用與工作負(fù)載、數(shù)據(jù)等不同領(lǐng)域分析零信任能力建設(shè)的內(nèi)容、方法和趨勢，討論零信任的安全能力組成和最佳實踐，幫助企業(yè)規(guī)劃、構(gòu)建和實施零信任戰(zhàn)略。
以身份基石、構(gòu)建并實施零信任是大多數(shù)廠商和解決方案的共識，究其原因主要有兩個，其一是企業(yè)組織需要通過身份來管理權(quán)限、實施授權(quán)，并控制訪問，其二是與身份相關(guān)的攻擊手段越來越多地被用于實施網(wǎng)絡(luò)攻擊。本文主要從與身份相關(guān)的安全建設(shè)入手，討論了零信任安全中身份庫、認(rèn)證、授權(quán)和訪問控制等問題。

關(guān)鍵字：零信任；成熟度模型；身份安全；訪問授權(quán)

一、零信任身份安全

根據(jù)身份定義安全聯(lián)盟IDSA《2023年數(shù)字身份安全趨勢》的調(diào)查結(jié)果，隨著數(shù)字身份的激增，針對身份的攻擊事件也在增加，其中最常見的手段是釣魚攻擊（占62%），其他與身份相關(guān)的安全事件包括暴力破解攻擊（占31%）、社交工程密碼攻擊（占30%）、特權(quán)身份入侵（占28%）、憑證盜用（占28%）等。

在NIST零信任參考架構(gòu)中，身份是指描述用戶或?qū)嶓w（包括非人實體，如設(shè)備、應(yīng)用程序或服務(wù)）的一個或一組屬性。零信任的實施以身份為中心，確保正確的人（或?qū)嶓w）在正確的上下文中，以正確的權(quán)限級別訪問正確的資源，并且持續(xù)評估訪問權(quán)限。

在實際的零信任實踐中，不同企業(yè)業(yè)務(wù)和架構(gòu)的差異，導(dǎo)致“身份”的范圍和組成（與業(yè)務(wù)和資源訪問場景密切相關(guān)）具有明顯的差異，為了推動零信任身份能力的成熟度演進(jìn)，組織需要結(jié)合自身的需要和現(xiàn)狀，從身份治理的頂層規(guī)劃出發(fā)，梳理、建設(shè)并持續(xù)發(fā)展相關(guān)能力。圖1給出了在“身份”能力域中，組織所應(yīng)考慮和關(guān)注的身份能力范圍和組成。

圖1 零信任“身份”安全能力的組成

二、身份安全的關(guān)鍵能力

在企業(yè)網(wǎng)絡(luò)安全建設(shè)中，僅僅保護(hù)終端設(shè)備、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)，并不能有效防御基于身份和憑證的攻擊威脅，為了能夠解決類似賬戶劫持的身份攻擊問題，組織必須建設(shè)并實施以身份為中心的安全措施，以保障業(yè)務(wù)和數(shù)據(jù)安全。因此，組織在身份安全能力建設(shè)中，應(yīng)重點關(guān)注身份、憑據(jù)和訪問管理等方面的能力建設(shè)，以確保達(dá)成以下目標(biāo)：

?通過驗證和認(rèn)證請求訪問的人員、進(jìn)程或設(shè)備，確保其被正確授權(quán)；
?理解并實現(xiàn)正確的請求上下文；
?確定訪問環(huán)境的風(fēng)險，結(jié)合最小權(quán)限的執(zhí)行，為組織提供了最高的安全姿態(tài)。

1．身份庫多方整合
身份管理需要為當(dāng)前所有用戶（包括人員和非人實體）建立準(zhǔn)確的身份清單，其內(nèi)容包含身份治理實踐所需的各種身份屬性。
在大多數(shù)早期的企業(yè)系統(tǒng)和應(yīng)用中，每個系統(tǒng)都有自己的身份數(shù)據(jù)存儲（并進(jìn)行獨立授權(quán)），這些數(shù)據(jù)可能分散在各個部門、業(yè)務(wù)系統(tǒng)和應(yīng)用程序之間。企業(yè)也可能使用多個獨立的身份庫來管理不同類型的身份信息（例如員工身份、客戶身份和合作伙伴身份），并由不同的團(tuán)隊或部門管理，導(dǎo)致身份數(shù)據(jù)的冗余和不一致。

這些分散、異構(gòu)和獨立的身份庫為企業(yè)實施零信任帶來了挑戰(zhàn)。例如，如果HR系統(tǒng)在更新員工信息后，沒有將其及時同步到訪問管理系統(tǒng)，將會導(dǎo)致身份數(shù)據(jù)的不一致，進(jìn)而影響用戶授權(quán)和訪問安全。

為了改善企業(yè)的身份庫現(xiàn)狀，組織在建設(shè)身份安全能力時，需要將身份數(shù)據(jù)集中到一個統(tǒng)一的身份管理系統(tǒng)中，并確保身份數(shù)據(jù)在不同系統(tǒng)和應(yīng)用間的及時同步和集成，以改善身份管理的效率、安全性和一致性。

2．認(rèn)證與憑據(jù)管理
憑據(jù)管理是指管理和保護(hù)用戶（包括NPE）的身份驗證憑據(jù)，如用戶名、密碼、證書、令牌等，確保憑據(jù)的安全性、可靠性和合規(guī)性。
憑據(jù)管理包括憑據(jù)的頒發(fā)、使用和撤銷。一旦身份管理系統(tǒng)為用戶建立了身份，就必須為其頒發(fā)安全的憑據(jù)，以向系統(tǒng)證明其所聲稱的身份。通常，由于實體在組織中可能擔(dān)任不同的角色或職責(zé)，每個身份可以與多個憑據(jù)相關(guān)聯(lián)，特別是對于高權(quán)限用戶，一般需要為其特權(quán)角色和非特權(quán)角色創(chuàng)建并使用不同的憑據(jù)。

通常，認(rèn)證因素可分為所知、所持和所有內(nèi)容3類，多因素認(rèn)證（MFA）采用其中的至少兩種進(jìn)行身份認(rèn)證。NIST的SP 800-63B按認(rèn)證保證級別（AAL）將認(rèn)證強度劃分為3個等級，包括AAL1~AAL3。對具有關(guān)鍵資源訪問權(quán)限的人員用戶，建議使用強認(rèn)證方法，這些認(rèn)證方法在用戶設(shè)備和服務(wù)器之間建立了持續(xù)的身份認(rèn)證連接，以便提供抗釣魚能力。

非人實體的認(rèn)證應(yīng)通過基于硬件的機制進(jìn)行保護(hù)。理想情況下，NPE實體身份通過公鑰證書來表征，無論該實體是物理設(shè)備、進(jìn)程還是其他邏輯實體，其私鑰受所屬實體的嚴(yán)格控制。不支持公鑰認(rèn)證的實體可以使用隨機生成、且滿足長度要求的口令字（Password），這些口令字根據(jù)需要存儲在受硬件保護(hù)的口令庫或隔離環(huán)境中。

另外，還需要關(guān)注密碼敏捷的問題。當(dāng)系統(tǒng)采用的密碼技術(shù)過時或安全強度降低時，企業(yè)必須能夠通過快速撤銷過時或受損的機制，并使用安全方法部署新的憑據(jù)。

3．訪問與授權(quán)管理
訪問與授權(quán)管理負(fù)責(zé)建立、維護(hù)訪問授權(quán)策略和鑒權(quán)機制，以確保只有經(jīng)過身份驗證和授權(quán)的用戶才能夠訪問受保護(hù)資源。不同的訪問控制框架因采用不同的實現(xiàn)機制和安全模型，能夠在不同層級上提供訪問決策，但更精細(xì)的訪問規(guī)則代表著較高的成熟度。

在設(shè)計訪問控制機制時，應(yīng)考慮粒度、可靠性、可用性以及對資源的潛在風(fēng)險等因素?；趯傩缘脑L問控制（ABAC）模型提供了滿足這些目標(biāo)所需的靈活性，能夠兼容實施不同的訪問控制策略、層次化的執(zhí)行機制，以及豐富的上下文屬性集合。

在零信任（Zero Trust）中，上下文指的是訪問請求發(fā)生時的環(huán)境和相關(guān)信息。這些上下文信息可以包括用戶身份、設(shè)備屬性、網(wǎng)絡(luò)位置、應(yīng)用、時間、行為模式等（如表1）。通過分析和綜合這些上下文信息，可以更好地評估訪問請求的風(fēng)險程度，并做出相應(yīng)的訪問決策。這種基于上下文的訪問控制可以根據(jù)實際情況對每個訪問請求進(jìn)行細(xì)粒度的評估，并采取適當(dāng)?shù)陌踩胧?，以確保安全訪問。

風(fēng)險自適應(yīng)的訪問控制框架能夠確保組織在對抗威脅時，平衡可靠性、可用性和任務(wù)性能，更適合應(yīng)對突發(fā)威脅，同時保持任務(wù)關(guān)鍵的操作運行。

實施最小權(quán)限訪問策略可以將攻擊者權(quán)限限制在有限的憑證集上，從而減少可能引起的損害，也可以限制用戶由于疏忽、意外或惡意帶來的損害。

企業(yè)環(huán)境中的特權(quán)賬戶和服務(wù)必須受到控制，因為攻擊者更傾向于對管理員憑證進(jìn)行攻擊，以獲取對高價值資產(chǎn)的訪問權(quán)限，并在網(wǎng)絡(luò)中進(jìn)行橫向移動。特權(quán)訪問管理（PAM）工具能夠提供一個集中的管理界面，根據(jù)風(fēng)險暴露和最小權(quán)限訪問原則，分配細(xì)粒度的特權(quán)權(quán)限，僅允許所需的訪問權(quán)限。

特權(quán)訪問設(shè)備是為所有管理功能和賬戶提供的指定和專用的設(shè)備，可以進(jìn)一步支持特權(quán)賬戶的使用環(huán)境隔離。特權(quán)訪問設(shè)備可以通過虛擬工作站或物理工作站實現(xiàn)。只能訪問執(zhí)行管理操作所需的基本應(yīng)用程序，不允許高風(fēng)險活動，如電子郵件或網(wǎng)絡(luò)瀏覽。

三、身份安全的最佳實踐
實施零信任是一個需要逐步演進(jìn)的過程，更重要的是，當(dāng)組織開始零信任之旅時，并不是從零開始，組織并不需要完全重新設(shè)計現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，而是可以通過逐步修改當(dāng)前基礎(chǔ)設(shè)施，并增強現(xiàn)有安全控制來逐步實現(xiàn)零信任安全架構(gòu)。

在零信任的身份能力建設(shè)方面，企業(yè)可以建立科學(xué)、合理的安全能力成熟度建設(shè)規(guī)劃，以確保實施的有效性和可持續(xù)性。

1．梳理身份能力
企業(yè)應(yīng)該評估當(dāng)前的身份能力和控制措施，包括身份驗證、訪問控制、身份管理和監(jiān)控等方面。通過了解現(xiàn)有的強項和薄弱環(huán)節(jié)，企業(yè)可以確定改進(jìn)的重點和優(yōu)先級。為有效管理身份，組織應(yīng)建立一個準(zhǔn)確的清單，記錄關(guān)鍵的身份屬性，以及特權(quán)賬戶。
需要特別注意的是，與設(shè)備身份（屬于身份領(lǐng)域，而非設(shè)備領(lǐng)域）相關(guān)的能力梳理。例如，服務(wù)器通常會訪問敏感資源，這些訪問也需要作為零信任身份能力的一部分進(jìn)行監(jiān)控。雖然這是一個重要目標(biāo)，但也確實是一個很難解決的問題，因為大多數(shù)組織都遠(yuǎn)未達(dá)到能夠掌控機器身份的地步。但如果安全團(tuán)隊無法識別訪問資源的設(shè)備，他們就無法對任何給定的訪問請求做出基于風(fēng)險的策略決策，也無法判斷這些訪問是否來自企業(yè)環(huán)境中的新興威脅。

以員工身份為例，身份能力清單的主要內(nèi)容應(yīng)包括：
?個人（特權(quán)賬號）信息。包括用戶的全名、聯(lián)系方式和其他相關(guān)個人標(biāo)識。
?角色和職責(zé)。確定用戶在組織中的角色，包括其職位、部門和分配的職責(zé)。
?用戶賬戶和憑證。跟蹤用戶賬戶信息，如用戶名、關(guān)聯(lián)的電子郵件地址和身份驗證憑證（例如密碼、訪問令牌）。
?訪問權(quán)限。記錄用戶（賬號）的授權(quán)訪問權(quán)限，可訪問的資源、授予的訪問級別以及任何限制或限制條件。
?用戶生命周期事件。記錄重要的用戶事件，例如入職、角色變更、調(diào)動和離職。
通過維護(hù)全面的用戶身份清單和相關(guān)屬性，組織可以有效管理訪問控制，實施最小特權(quán)原則，并降低對關(guān)鍵資源的未經(jīng)授權(quán)訪問風(fēng)險。定期更新和審查該清單對確保用戶身份信息的準(zhǔn)確性和相關(guān)性，并支持有效的身份治理實踐至關(guān)重要。

2．減少口令使用
為了解決這些挑戰(zhàn)并降低與口令相關(guān)的風(fēng)險，可以鼓勵員工使用口令管理工具，生成并安全存儲復(fù)雜口令，以便員工能夠有效地管理密碼而無需記住它們。其次，實施多因素認(rèn)證（MFA），要求員工提供口令之外的其他驗證因素（例如，指紋掃描、令牌或短信驗證碼），并逐漸向無密碼認(rèn)證和持續(xù)認(rèn)證過渡。再次，進(jìn)行員工教育和意識提升，定期進(jìn)行培訓(xùn)，向員工傳達(dá)使用強口令、避免口令重復(fù)的重要性，提高對弱口令風(fēng)險的認(rèn)識。

3．縮減特權(quán)賬戶
為了減少特權(quán)賬戶使用，可以采取一些措施。首先，實施特權(quán)賬戶的分離管理，將管理員的“用戶”賬戶與“管理員”賬戶分離，確保他們只在必要時切換到特權(quán)賬戶。其次，根據(jù)工作職責(zé)的需要，只為管理員分配執(zhí)行特定任務(wù)所需的權(quán)限，避免過度授權(quán)。最后，實施會話錄制和審計功能，監(jiān)控特權(quán)賬戶的操作行為，確保他們按照最小權(quán)限原則進(jìn)行操作，并能夠及時識別和響應(yīng)潛在的安全威脅。

4．強化操作集成
為了找到適合組織的最佳AM（訪問管理）解決方案，可以利用結(jié)構(gòu)化方法評估各種業(yè)務(wù)場景下的使用案例和需求，幫助確定組織對AM解決方案的集成或建設(shè)需求。這個過程還應(yīng)考慮需要保護(hù)和支持的數(shù)據(jù)、應(yīng)用程序和資產(chǎn)，以及用于外部身份驗證和授權(quán)的各種部署架構(gòu)，確保AM解決方案與其他業(yè)務(wù)和IT解決方案之間的互操作性。

四、結(jié)語
身份能力是構(gòu)建零信任體系化安全能力的關(guān)鍵要素。通過實施強大的身份驗證和細(xì)粒度的訪問控制，組織可以提高安全性，降低風(fēng)險，并保護(hù)敏感數(shù)據(jù)。然而，成功實施身份能力需要綜合考慮多個因素，并與其他能力和跨域能力相互配合。企業(yè)應(yīng)制定全面的身份治理策略，并采取逐步實施的方法，以確保有效的零信任安全環(huán)境的建立。

審核編輯 黃宇