零信任体系化能力建设（1）：身份可信与访问管理

随着网络威胁日益复杂和企业信息安全风险的增加，实施零信任架构已成为保护企业关键资产和数据的有效策略。本系列论文研究了不同厂商、组织所提出的零信任成熟度模型，以及零信任供应商的解决方案，从身份、设备、网络、应用与工作负载、数据等不同领域分析零信任能力建设的内容、方法和趋势，讨论零信任的安全能力组成和最佳实践，帮助企业规划、构建和实施零信任战略。
以身份基石、构建并实施零信任是大多数厂商和解决方案的共识，究其原因主要有两个，其一是企业组织需要通过身份来管理权限、实施授权，并控制访问，其二是与身份相关的攻击手段越来越多地被用于实施网络攻击。本文主要从与身份相关的安全建设入手，讨论了零信任安全中身份库、认证、授权和访问控制等问题。

关键字：零信任；成熟度模型；身份安全；访问授权

一、零信任身份安全

根据身份定义安全联盟IDSA《2023年数字身份安全趋势》的调查结果，随着数字身份的激增，针对身份的攻击事件也在增加，其中最常见的手段是钓鱼攻击（占62%），其他与身份相关的安全事件包括暴力破解攻击（占31%）、社交工程密码攻击（占30%）、特权身份入侵（占28%）、凭证盗用（占28%）等。

在NIST零信任参考架构中，身份是指描述用户或实体（包括非人实体，如设备、应用程序或服务）的一个或一组属性。零信任的实施以身份为中心，确保正确的人（或实体）在正确的上下文中，以正确的权限级别访问正确的资源，并且持续评估访问权限。

在实际的零信任实践中，不同企业业务和架构的差异，导致“身份”的范围和组成（与业务和资源访问场景密切相关）具有明显的差异，为了推动零信任身份能力的成熟度演进，组织需要结合自身的需要和现状，从身份治理的顶层规划出发，梳理、建设并持续发展相关能力。图1给出了在“身份”能力域中，组织所应考虑和关注的身份能力范围和组成。

图1 零信任“身份”安全能力的组成

二、身份安全的关键能力

在企业网络安全建设中，仅仅保护终端设备、基础设施和网络，并不能有效防御基于身份和凭证的攻击威胁，为了能够解决类似账户劫持的身份攻击问题，组织必须建设并实施以身份为中心的安全措施，以保障业务和数据安全。因此，组织在身份安全能力建设中，应重点关注身份、凭据和访问管理等方面的能力建设，以确保达成以下目标：

通过验证和认证请求访问的人员、进程或设备，确保其被正确授权；
理解并实现正确的请求上下文；
确定访问环境的风险，结合最小权限的执行，为组织提供了最高的安全姿态。

1．身份库多方整合
身份管理需要为当前所有用户（包括人员和非人实体）建立准确的身份清单，其内容包含身份治理实践所需的各种身份属性。
在大多数早期的企业系统和应用中，每个系统都有自己的身份数据存储（并进行独立授权），这些数据可能分散在各个部门、业务系统和应用程序之间。企业也可能使用多个独立的身份库来管理不同类型的身份信息（例如员工身份、客户身份和合作伙伴身份），并由不同的团队或部门管理，导致身份数据的冗余和不一致。

这些分散、异构和独立的身份库为企业实施零信任带来了挑战。例如，如果HR系统在更新员工信息后，没有将其及时同步到访问管理系统，将会导致身份数据的不一致，进而影响用户授权和访问安全。

为了改善企业的身份库现状，组织在建设身份安全能力时，需要将身份数据集中到一个统一的身份管理系统中，并确保身份数据在不同系统和应用间的及时同步和集成，以改善身份管理的效率、安全性和一致性。

2．认证与凭据管理
凭据管理是指管理和保护用户（包括NPE）的身份验证凭据，如用户名、密码、证书、令牌等，确保凭据的安全性、可靠性和合规性。
凭据管理包括凭据的颁发、使用和撤销。一旦身份管理系统为用户建立了身份，就必须为其颁发安全的凭据，以向系统证明其所声称的身份。通常，由于实体在组织中可能担任不同的角色或职责，每个身份可以与多个凭据相关联，特别是对于高权限用户，一般需要为其特权角色和非特权角色创建并使用不同的凭据。

通常，认证因素可分为所知、所持和所有内容3类，多因素认证（MFA）采用其中的至少两种进行身份认证。NIST的SP 800-63B按认证保证级别（AAL）将认证强度划分为3个等级，包括AAL1~AAL3。对具有关键资源访问权限的人员用户，建议使用强认证方法，这些认证方法在用户设备和服务器之间建立了持续的身份认证连接，以便提供抗钓鱼能力。

非人实体的认证应通过基于硬件的机制进行保护。理想情况下，NPE实体身份通过公钥证书来表征，无论该实体是物理设备、进程还是其他逻辑实体，其私钥受所属实体的严格控制。不支持公钥认证的实体可以使用随机生成、且满足长度要求的口令字（Password），这些口令字根据需要存储在受硬件保护的口令库或隔离环境中。

另外，还需要关注密码敏捷的问题。当系统采用的密码技术过时或安全强度降低时，企业必须能够通过快速撤销过时或受损的机制，并使用安全方法部署新的凭据。

3．访问与授权管理
访问与授权管理负责建立、维护访问授权策略和鉴权机制，以确保只有经过身份验证和授权的用户才能够访问受保护资源。不同的访问控制框架因采用不同的实现机制和安全模型，能够在不同层级上提供访问决策，但更精细的访问规则代表着较高的成熟度。

在设计访问控制机制时，应考虑粒度、可靠性、可用性以及对资源的潜在风险等因素。基于属性的访问控制（ABAC）模型提供了满足这些目标所需的灵活性，能够兼容实施不同的访问控制策略、层次化的执行机制，以及丰富的上下文属性集合。

在零信任（Zero Trust）中，上下文指的是访问请求发生时的环境和相关信息。这些上下文信息可以包括用户身份、设备属性、网络位置、应用、时间、行为模式等（如表1）。通过分析和综合这些上下文信息，可以更好地评估访问请求的风险程度，并做出相应的访问决策。这种基于上下文的访问控制可以根据实际情况对每个访问请求进行细粒度的评估，并采取适当的安全措施，以确保安全访问。

风险自适应的访问控制框架能够确保组织在对抗威胁时，平衡可靠性、可用性和任务性能，更适合应对突发威胁，同时保持任务关键的操作运行。

实施最小权限访问策略可以将攻击者权限限制在有限的凭证集上，从而减少可能引起的损害，也可以限制用户由于疏忽、意外或恶意带来的损害。

企业环境中的特权账户和服务必须受到控制，因为攻击者更倾向于对管理员凭证进行攻击，以获取对高价值资产的访问权限，并在网络中进行横向移动。特权访问管理（PAM）工具能够提供一个集中的管理界面，根据风险暴露和最小权限访问原则，分配细粒度的特权权限，仅允许所需的访问权限。

特权访问设备是为所有管理功能和账户提供的指定和专用的设备，可以进一步支持特权账户的使用环境隔离。特权访问设备可以通过虚拟工作站或物理工作站实现。只能访问执行管理操作所需的基本应用程序，不允许高风险活动，如电子邮件或网络浏览。

三、身份安全的最佳实践
实施零信任是一个需要逐步演进的过程，更重要的是，当组织开始零信任之旅时，并不是从零开始，组织并不需要完全重新设计现有的网络架构，而是可以通过逐步修改当前基础设施，并增强现有安全控制来逐步实现零信任安全架构。

在零信任的身份能力建设方面，企业可以建立科学、合理的安全能力成熟度建设规划，以确保实施的有效性和可持续性。

1．梳理身份能力
企业应该评估当前的身份能力和控制措施，包括身份验证、访问控制、身份管理和监控等方面。通过了解现有的强项和薄弱环节，企业可以确定改进的重点和优先级。为有效管理身份，组织应建立一个准确的清单，记录关键的身份属性，以及特权账户。
需要特别注意的是，与设备身份（属于身份领域，而非设备领域）相关的能力梳理。例如，服务器通常会访问敏感资源，这些访问也需要作为零信任身份能力的一部分进行监控。虽然这是一个重要目标，但也确实是一个很难解决的问题，因为大多数组织都远未达到能够掌控机器身份的地步。但如果安全团队无法识别访问资源的设备，他们就无法对任何给定的访问请求做出基于风险的策略决策，也无法判断这些访问是否来自企业环境中的新兴威胁。

以员工身份为例，身份能力清单的主要内容应包括：
个人（特权账号）信息。包括用户的全名、联系方式和其他相关个人标识。
角色和职责。确定用户在组织中的角色，包括其职位、部门和分配的职责。
用户账户和凭证。跟踪用户账户信息，如用户名、关联的电子邮件地址和身份验证凭证（例如密码、访问令牌）。
访问权限。记录用户（账号）的授权访问权限，可访问的资源、授予的访问级别以及任何限制或限制条件。
用户生命周期事件。记录重要的用户事件，例如入职、角色变更、调动和离职。
通过维护全面的用户身份清单和相关属性，组织可以有效管理访问控制，实施最小特权原则，并降低对关键资源的未经授权访问风险。定期更新和审查该清单对确保用户身份信息的准确性和相关性，并支持有效的身份治理实践至关重要。

2．减少口令使用
为了解决这些挑战并降低与口令相关的风险，可以鼓励员工使用口令管理工具，生成并安全存储复杂口令，以便员工能够有效地管理密码而无需记住它们。其次，实施多因素认证（MFA），要求员工提供口令之外的其他验证因素（例如，指纹扫描、令牌或短信验证码），并逐渐向无密码认证和持续认证过渡。再次，进行员工教育和意识提升，定期进行培训，向员工传达使用强口令、避免口令重复的重要性，提高对弱口令风险的认识。

3．缩减特权账户
为了减少特权账户使用，可以采取一些措施。首先，实施特权账户的分离管理，将管理员的“用户”账户与“管理员”账户分离，确保他们只在必要时切换到特权账户。其次，根据工作职责的需要，只为管理员分配执行特定任务所需的权限，避免过度授权。最后，实施会话录制和审计功能，监控特权账户的操作行为，确保他们按照最小权限原则进行操作，并能够及时识别和响应潜在的安全威胁。

4．强化操作集成
为了找到适合组织的最佳AM（访问管理）解决方案，可以利用结构化方法评估各种业务场景下的使用案例和需求，帮助确定组织对AM解决方案的集成或建设需求。这个过程还应考虑需要保护和支持的数据、应用程序和资产，以及用于外部身份验证和授权的各种部署架构，确保AM解决方案与其他业务和IT解决方案之间的互操作性。

四、结语
身份能力是构建零信任体系化安全能力的关键要素。通过实施强大的身份验证和细粒度的访问控制，组织可以提高安全性，降低风险，并保护敏感数据。然而，成功实施身份能力需要综合考虑多个因素，并与其他能力和跨域能力相互配合。企业应制定全面的身份治理策略，并采取逐步实施的方法，以确保有效的零信任安全环境的建立。

审核编辑 黄宇