隨著網絡威脅日益復雜和企業信息安全風險的增加，實施零信任架構已成為保護企業關鍵資產和數據的有效策略。本系列論文研究了不同廠商、組織所提出的零信任成熟度模型，以及零信任供應商的解決方案，從身份、設備、網絡、應用與工作負載、數據等不同領域分析零信任能力建設的內容、方法和趨勢，討論零信任的安全能力組成和最佳實踐，幫助企業規劃、構建和實施零信任戰略。
以身份基石、構建并實施零信任是大多數廠商和解決方案的共識，究其原因主要有兩個，其一是企業組織需要通過身份來管理權限、實施授權，并控制訪問，其二是與身份相關的攻擊手段越來越多地被用于實施網絡攻擊。本文主要從與身份相關的安全建設入手，討論了零信任安全中身份庫、認證、授權和訪問控制等問題。

關鍵字：零信任；成熟度模型；身份安全；訪問授權

一、零信任身份安全

根據身份定義安全聯盟IDSA《2023年數字身份安全趨勢》的調查結果，隨著數字身份的激增，針對身份的攻擊事件也在增加，其中最常見的手段是釣魚攻擊（占62%），其他與身份相關的安全事件包括暴力破解攻擊（占31%）、社交工程密碼攻擊（占30%）、特權身份入侵（占28%）、憑證盜用（占28%）等。

在NIST零信任參考架構中，身份是指描述用戶或實體（包括非人實體，如設備、應用程序或服務）的一個或一組屬性。零信任的實施以身份為中心，確保正確的人（或實體）在正確的上下文中，以正確的權限級別訪問正確的資源，并且持續評估訪問權限。

在實際的零信任實踐中，不同企業業務和架構的差異，導致“身份”的范圍和組成（與業務和資源訪問場景密切相關）具有明顯的差異，為了推動零信任身份能力的成熟度演進，組織需要結合自身的需要和現狀，從身份治理的頂層規劃出發，梳理、建設并持續發展相關能力。圖1給出了在“身份”能力域中，組織所應考慮和關注的身份能力范圍和組成。

圖1 零信任“身份”安全能力的組成

二、身份安全的關鍵能力

在企業網絡安全建設中，僅僅保護終端設備、基礎設施和網絡，并不能有效防御基于身份和憑證的攻擊威脅，為了能夠解決類似賬戶劫持的身份攻擊問題，組織必須建設并實施以身份為中心的安全措施，以保障業務和數據安全。因此，組織在身份安全能力建設中，應重點關注身份、憑據和訪問管理等方面的能力建設，以確保達成以下目標：

?通過驗證和認證請求訪問的人員、進程或設備，確保其被正確授權；
?理解并實現正確的請求上下文；
?確定訪問環境的風險，結合最小權限的執行，為組織提供了最高的安全姿態。

1．身份庫多方整合
身份管理需要為當前所有用戶（包括人員和非人實體）建立準確的身份清單，其內容包含身份治理實踐所需的各種身份屬性。
在大多數早期的企業系統和應用中，每個系統都有自己的身份數據存儲（并進行獨立授權），這些數據可能分散在各個部門、業務系統和應用程序之間。企業也可能使用多個獨立的身份庫來管理不同類型的身份信息（例如員工身份、客戶身份和合作伙伴身份），并由不同的團隊或部門管理，導致身份數據的冗余和不一致。

這些分散、異構和獨立的身份庫為企業實施零信任帶來了挑戰。例如，如果HR系統在更新員工信息后，沒有將其及時同步到訪問管理系統，將會導致身份數據的不一致，進而影響用戶授權和訪問安全。

為了改善企業的身份庫現狀，組織在建設身份安全能力時，需要將身份數據集中到一個統一的身份管理系統中，并確保身份數據在不同系統和應用間的及時同步和集成，以改善身份管理的效率、安全性和一致性。

2．認證與憑據管理
憑據管理是指管理和保護用戶（包括NPE）的身份驗證憑據，如用戶名、密碼、證書、令牌等，確保憑據的安全性、可靠性和合規性。
憑據管理包括憑據的頒發、使用和撤銷。一旦身份管理系統為用戶建立了身份，就必須為其頒發安全的憑據，以向系統證明其所聲稱的身份。通常，由于實體在組織中可能擔任不同的角色或職責，每個身份可以與多個憑據相關聯，特別是對于高權限用戶，一般需要為其特權角色和非特權角色創建并使用不同的憑據。

通常，認證因素可分為所知、所持和所有內容3類，多因素認證（MFA）采用其中的至少兩種進行身份認證。NIST的SP 800-63B按認證保證級別（AAL）將認證強度劃分為3個等級，包括AAL1~AAL3。對具有關鍵資源訪問權限的人員用戶，建議使用強認證方法，這些認證方法在用戶設備和服務器之間建立了持續的身份認證連接，以便提供抗釣魚能力。

非人實體的認證應通過基于硬件的機制進行保護。理想情況下，NPE實體身份通過公鑰證書來表征，無論該實體是物理設備、進程還是其他邏輯實體，其私鑰受所屬實體的嚴格控制。不支持公鑰認證的實體可以使用隨機生成、且滿足長度要求的口令字（Password），這些口令字根據需要存儲在受硬件保護的口令庫或隔離環境中。

另外，還需要關注密碼敏捷的問題。當系統采用的密碼技術過時或安全強度降低時，企業必須能夠通過快速撤銷過時或受損的機制，并使用安全方法部署新的憑據。

3．訪問與授權管理
訪問與授權管理負責建立、維護訪問授權策略和鑒權機制，以確保只有經過身份驗證和授權的用戶才能夠訪問受保護資源。不同的訪問控制框架因采用不同的實現機制和安全模型，能夠在不同層級上提供訪問決策，但更精細的訪問規則代表著較高的成熟度。

在設計訪問控制機制時，應考慮粒度、可靠性、可用性以及對資源的潛在風險等因素。基于屬性的訪問控制（ABAC）模型提供了滿足這些目標所需的靈活性，能夠兼容實施不同的訪問控制策略、層次化的執行機制，以及豐富的上下文屬性集合。

在零信任（Zero Trust）中，上下文指的是訪問請求發生時的環境和相關信息。這些上下文信息可以包括用戶身份、設備屬性、網絡位置、應用、時間、行為模式等（如表1）。通過分析和綜合這些上下文信息，可以更好地評估訪問請求的風險程度，并做出相應的訪問決策。這種基于上下文的訪問控制可以根據實際情況對每個訪問請求進行細粒度的評估，并采取適當的安全措施，以確保安全訪問。

風險自適應的訪問控制框架能夠確保組織在對抗威脅時，平衡可靠性、可用性和任務性能，更適合應對突發威脅，同時保持任務關鍵的操作運行。

實施最小權限訪問策略可以將攻擊者權限限制在有限的憑證集上，從而減少可能引起的損害，也可以限制用戶由于疏忽、意外或惡意帶來的損害。

企業環境中的特權賬戶和服務必須受到控制，因為攻擊者更傾向于對管理員憑證進行攻擊，以獲取對高價值資產的訪問權限，并在網絡中進行橫向移動。特權訪問管理（PAM）工具能夠提供一個集中的管理界面，根據風險暴露和最小權限訪問原則，分配細粒度的特權權限，僅允許所需的訪問權限。

特權訪問設備是為所有管理功能和賬戶提供的指定和專用的設備，可以進一步支持特權賬戶的使用環境隔離。特權訪問設備可以通過虛擬工作站或物理工作站實現。只能訪問執行管理操作所需的基本應用程序，不允許高風險活動，如電子郵件或網絡瀏覽。

三、身份安全的最佳實踐
實施零信任是一個需要逐步演進的過程，更重要的是，當組織開始零信任之旅時，并不是從零開始，組織并不需要完全重新設計現有的網絡架構，而是可以通過逐步修改當前基礎設施，并增強現有安全控制來逐步實現零信任安全架構。

在零信任的身份能力建設方面，企業可以建立科學、合理的安全能力成熟度建設規劃，以確保實施的有效性和可持續性。

1．梳理身份能力
企業應該評估當前的身份能力和控制措施，包括身份驗證、訪問控制、身份管理和監控等方面。通過了解現有的強項和薄弱環節，企業可以確定改進的重點和優先級。為有效管理身份，組織應建立一個準確的清單，記錄關鍵的身份屬性，以及特權賬戶。
需要特別注意的是，與設備身份（屬于身份領域，而非設備領域）相關的能力梳理。例如，服務器通常會訪問敏感資源，這些訪問也需要作為零信任身份能力的一部分進行監控。雖然這是一個重要目標，但也確實是一個很難解決的問題，因為大多數組織都遠未達到能夠掌控機器身份的地步。但如果安全團隊無法識別訪問資源的設備，他們就無法對任何給定的訪問請求做出基于風險的策略決策，也無法判斷這些訪問是否來自企業環境中的新興威脅。

以員工身份為例，身份能力清單的主要內容應包括：
?個人（特權賬號）信息。包括用戶的全名、聯系方式和其他相關個人標識。
?角色和職責。確定用戶在組織中的角色，包括其職位、部門和分配的職責。
?用戶賬戶和憑證。跟蹤用戶賬戶信息，如用戶名、關聯的電子郵件地址和身份驗證憑證（例如密碼、訪問令牌）。
?訪問權限。記錄用戶（賬號）的授權訪問權限，可訪問的資源、授予的訪問級別以及任何限制或限制條件。
?用戶生命周期事件。記錄重要的用戶事件，例如入職、角色變更、調動和離職。
通過維護全面的用戶身份清單和相關屬性，組織可以有效管理訪問控制，實施最小特權原則，并降低對關鍵資源的未經授權訪問風險。定期更新和審查該清單對確保用戶身份信息的準確性和相關性，并支持有效的身份治理實踐至關重要。

2．減少口令使用
為了解決這些挑戰并降低與口令相關的風險，可以鼓勵員工使用口令管理工具，生成并安全存儲復雜口令，以便員工能夠有效地管理密碼而無需記住它們。其次，實施多因素認證（MFA），要求員工提供口令之外的其他驗證因素（例如，指紋掃描、令牌或短信驗證碼），并逐漸向無密碼認證和持續認證過渡。再次，進行員工教育和意識提升，定期進行培訓，向員工傳達使用強口令、避免口令重復的重要性，提高對弱口令風險的認識。

3．縮減特權賬戶
為了減少特權賬戶使用，可以采取一些措施。首先，實施特權賬戶的分離管理，將管理員的“用戶”賬戶與“管理員”賬戶分離，確保他們只在必要時切換到特權賬戶。其次，根據工作職責的需要，只為管理員分配執行特定任務所需的權限，避免過度授權。最后，實施會話錄制和審計功能，監控特權賬戶的操作行為，確保他們按照最小權限原則進行操作，并能夠及時識別和響應潛在的安全威脅。

4．強化操作集成
為了找到適合組織的最佳AM（訪問管理）解決方案，可以利用結構化方法評估各種業務場景下的使用案例和需求，幫助確定組織對AM解決方案的集成或建設需求。這個過程還應考慮需要保護和支持的數據、應用程序和資產，以及用于外部身份驗證和授權的各種部署架構，確保AM解決方案與其他業務和IT解決方案之間的互操作性。

四、結語
身份能力是構建零信任體系化安全能力的關鍵要素。通過實施強大的身份驗證和細粒度的訪問控制，組織可以提高安全性，降低風險，并保護敏感數據。然而，成功實施身份能力需要綜合考慮多個因素，并與其他能力和跨域能力相互配合。企業應制定全面的身份治理策略，并采取逐步實施的方法，以確保有效的零信任安全環境的建立。

審核編輯 黃宇