淺談零信任身份認(rèn)證在企業(yè)的發(fā)展

李江鑫 劉廷峰 張曉韜

摘? 要：身份認(rèn)證是企業(yè)信息化、數(shù)字化發(fā)展中的重要基礎(chǔ)能力，而大、云、物、移、智、鏈等技術(shù)的發(fā)展引發(fā)企業(yè)變革，同時對傳統(tǒng)身份認(rèn)證提出新的挑戰(zhàn)。對于企業(yè)而言，云端架構(gòu)使得企業(yè)面臨更大的風(fēng)險，一旦儲存的數(shù)據(jù)泄露或遭到攻擊，將對企業(yè)造成難以估量的損失。該文結(jié)合傳統(tǒng)身份認(rèn)證技術(shù)的發(fā)展與企業(yè)面臨的形勢，嘗試提出基于零信任身份認(rèn)證在企業(yè)應(yīng)用落地的一種思路與方法。

關(guān)鍵詞：身份認(rèn)證? 零信任? 安全? 權(quán)限

中圖分類號：TP393.08? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A文章編號：1672-3791（2021）05（a）-0028-04

Abstract： Identity authentication is an important basic capability in the development of enterprise informatization and digitalization. The development of big data，cloud computing， internet of things，mobile internet，artificial intelligence， blockchain and other technologies has triggered enterprise reforms， and at the same time poses new challenges to traditional identity authentication. Especially for enterprises， more and more business applications begin to rely on the cloud to build， making the data resources stored on the cloud platform become increasingly large. Once the stored data is leaked or attacked， it will cause immeasurable losses to the enterprise. This paper combines the development of traditional identity authentication technology with the forms faced by enterprises， and tries to put forward an idea and method based on the application of zero-trust identity authentication in enterprises.

Key Words： Identity authentication; Zero trust; Security; Authority

隨著大、云、物、移、智、鏈（大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、人工智能、區(qū)塊鏈）等技術(shù)的飛速發(fā)展，企業(yè)迎來了變革的新機(jī)遇，也面臨著新的難題。對于企業(yè)而言，云端架構(gòu)使得企業(yè)面臨更大的風(fēng)險，一旦儲存的數(shù)據(jù)泄露或遭到攻擊，將對企業(yè)造成難以估量的損失。據(jù)統(tǒng)計，80%的數(shù)據(jù)泄露都與賬號密碼被盜用有關(guān)，因此企業(yè)員工身份賬號的安全已成為企業(yè)信息安全的第一道關(guān)口，而傳統(tǒng)的身份認(rèn)證體系已經(jīng)難以滿足日新月異的網(wǎng)絡(luò)發(fā)展，更難以確保訪問者身份的安全性，因此，構(gòu)建新型身份安全理念，優(yōu)化身份安全驗證體系勢在必行。在此種環(huán)境下，零信任概念應(yīng)運而生，在零信任網(wǎng)絡(luò)結(jié)構(gòu)下，任何人、事、物想要進(jìn)入訪問網(wǎng)絡(luò)，都需要經(jīng)過全面嚴(yán)密的身份認(rèn)證，構(gòu)建網(wǎng)絡(luò)安全的第一道屏障。

1? 企業(yè)身份認(rèn)證現(xiàn)狀

1.1 傳統(tǒng)身份認(rèn)證技術(shù)

傳統(tǒng)的身份認(rèn)證方法可以分為3種：基于信息秘密的身份認(rèn)證、基于信任物體的身份認(rèn)證、基于生物特征的身份認(rèn)證。為了提升身份認(rèn)證安全性，通常會將上面的方法挑選2種或以上混合使用，即所謂的雙因素或多因素認(rèn)證。從企業(yè)全生命周期身份管理及訪問控制過程來看，身份認(rèn)證在國內(nèi)企業(yè)的應(yīng)用實際上涵蓋了以下技術(shù)。

1.1.1 多因子認(rèn)證技術(shù)

MFA（Muti-Factor Authentication）多因子認(rèn)證技術(shù)是身份認(rèn)證領(lǐng)域近年來最為有效、低建設(shè)成本的身份認(rèn)證技術(shù)，它是對一系列驗證技術(shù)的組合，并具備良好的擴(kuò)展性。多因子身份認(rèn)證一般綜合運用了數(shù)字簽名、設(shè)備指紋、時空碼、人臉識別等多項身份認(rèn)證技術(shù)[1]，終端用戶手持移動設(shè)備（如手機(jī)）即可完成安全便捷的身份認(rèn)證，契合移動業(yè)務(wù)對安全、準(zhǔn)確、靈活的用戶身份認(rèn)證的需求。

1.1.2 用戶行為分析（UBA）

通過收集用戶、設(shè)備等行為數(shù)據(jù)，分析獲得用戶和設(shè)備的行為特征，并判斷當(dāng)前認(rèn)證是否滿足已有特征，如不滿足則疊加多種認(rèn)證方式，因此也被稱為自適應(yīng)或基于風(fēng)險的認(rèn)證。UBA技術(shù)檢查用戶行為模式，并自動應(yīng)用算法和分析以檢測可能昭示潛在安全威脅的重要異常。UBA區(qū)別于專注跟蹤設(shè)備或安全事件的其他安全技術(shù)，有時候也會與實體行為分析歸到一類，被稱為UEBA。

1.1.3 基于風(fēng)險的身份驗證（RBA）

在用戶嘗試身份驗證時，根據(jù)用戶情況動態(tài)調(diào)整驗證要求的身份驗證方法。比如：如果用戶嘗試從之前未關(guān)聯(lián)過的地理位置或IP地址發(fā)起身份驗證，可能就會面臨額外的驗證要求。

1.1.4 人工智能應(yīng)用與身份認(rèn)證

通過大數(shù)據(jù)分析和人工智能技術(shù)，對多因素進(jìn)行人工智能行為分析，對用戶行為進(jìn)行建模和畫像，以風(fēng)控為主導(dǎo)的多因素、多維度的認(rèn)證，生物特征將會被廣泛應(yīng)用，認(rèn)證強(qiáng)度隨著場景和環(huán)境而變化。

1.2 身份認(rèn)證主流方案

1.2.1 IAM技術(shù)方案

IAM（Identity and Access Management），即“身份識別與訪問管理”，具有單點登錄、強(qiáng)大的認(rèn)證管理、基于策略的集中式授權(quán)和審計、動態(tài)授權(quán)、企業(yè)可管理性等功能。IAM是國外主流的身份認(rèn)證解決方案。

1.2.2? 4A統(tǒng)一安全管理技術(shù)方案

4A包括認(rèn)證（Authentication）、授權(quán)（Authorization）、賬號（Account）、審計（Audit），中文名稱為統(tǒng)一安全管理平臺。其融合統(tǒng)一用戶賬號管理、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理和統(tǒng)一安全審計四要素后的解決方案將涵蓋單點登錄（SSO）等安全功能，既能夠為客戶提供功能完善的、高安全級別的4A管理，也能夠為用戶提供符合薩班斯法案要求的內(nèi)控報表。4A技術(shù)方案是過去十多年國內(nèi)企業(yè)實施身份認(rèn)證的主流選擇。

1.2.3 身份即服務(wù)（IDaaS）

基于云的IDaaS為位于企業(yè)內(nèi)部及云端的系統(tǒng)提供身份及訪問管理功能。IDaaS是隨著與計算興起的新興身份認(rèn)證方案，其不在局限于企業(yè)的內(nèi)控，也弱化企業(yè)內(nèi)部身份管理的強(qiáng)管控特性，根據(jù)業(yè)務(wù)需要，可能具備以下部分或者全部能力：（1）訪問鑒定;（2）訪問請求管理和工作流;（3）認(rèn)證;（4）強(qiáng)制鑒權(quán);（5）云目錄服務(wù);（6）移動支撐;（7）內(nèi)部應(yīng)用集成;（8）用戶資料與密碼管理;（9）報表與分析;（10）SaaS 應(yīng)用集成;（11）社交身份集成。

2? 零信任為身份認(rèn)證指明方向

2.1 身份認(rèn)證新的挑戰(zhàn)

云計算、移動辦公等技術(shù)的普及，使得企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)變得復(fù)雜，5G、北斗、物聯(lián)網(wǎng)技術(shù)的應(yīng)用，使得業(yè)務(wù)接入場景異常豐富。企業(yè)防護(hù)邊界日益模糊，要求所有實體訪問資源均需要認(rèn)證、授權(quán)，傳統(tǒng)的網(wǎng)絡(luò)安全模型基于邊界防護(hù)的思想已無法適應(yīng)當(dāng)前的需求。

IT設(shè)施需要確保用戶和設(shè)備可以安全連接到網(wǎng)絡(luò)（無論他們從何處連接），并且無需面對與傳統(tǒng)方法相關(guān)的復(fù)雜性。此外，企業(yè)需要主動識別、阻止和緩解目標(biāo)威脅，例如：惡意軟件、勒索軟件、網(wǎng)絡(luò)釣魚、DNS數(shù)據(jù)泄露以及針對用戶的高級零日攻擊等。

傳統(tǒng)的訪問技術(shù)（比如VPN）依賴于過時的信任原則，導(dǎo)致用戶憑據(jù)被盜，進(jìn)而導(dǎo)致漏洞。企業(yè)需要重新考慮其訪問模式和技術(shù)以確保業(yè)務(wù)安全，同時仍然為所有用戶（包括第三方用戶）提供快速、簡單的訪問。

傳統(tǒng)企業(yè)IT基礎(chǔ)架構(gòu)十分復(fù)雜，而迅速、友好、安全的業(yè)務(wù)訪問需求使得IT設(shè)施面臨的安全威脅不斷變化，使得企業(yè)即使耗費寶貴的資源對安全措施的調(diào)整及升級，也難以應(yīng)對復(fù)雜且不斷變化發(fā)展形勢。

2.2 零信任模型的產(chǎn)生

隨著云計算、移動辦公等技術(shù)的普及，企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)變得復(fù)雜，傳統(tǒng)的網(wǎng)絡(luò)安全模型，無法適應(yīng)當(dāng)前的需求。零信任網(wǎng)絡(luò)是一種新的網(wǎng)絡(luò)安全模型，不區(qū)分內(nèi)外網(wǎng)，所有實體訪問資源均需要認(rèn)證、授權(quán)，更加適應(yīng)于防護(hù)邊界日益模糊的網(wǎng)絡(luò)。

零信任安全（或零信任網(wǎng)絡(luò)、零信任架構(gòu)、零信任）最早是由約翰·金德維格在2010年提出的網(wǎng)絡(luò)安全架構(gòu)概念，核心思想是企業(yè)不應(yīng)自動信任內(nèi)部或外部的任何人、事、物，應(yīng)在授權(quán)前對任何試圖接入企業(yè)系統(tǒng)的人、事、物進(jìn)行驗證，其本質(zhì)是以身份為中心的動態(tài)訪問控制。

2.3 身份認(rèn)證技術(shù)與零信任

我們認(rèn)為，零信任不是某一項技術(shù)或者方案，而是一種安全管理思想。零信任是為解決傳統(tǒng)基于邊界的安全防護(hù)架構(gòu)失效問題，構(gòu)筑新的動態(tài)虛擬身份邊界。通過身份、環(huán)境、動態(tài)權(quán)限等多個層面，緩解身份濫用、高風(fēng)險終端、非授權(quán)訪問、越權(quán)訪問、數(shù)據(jù)非法流出等安全風(fēng)險，建立了端到端的動態(tài)訪問控制機(jī)制，極大收縮攻擊面，為各行業(yè)的新一代網(wǎng)絡(luò)和信息安全建設(shè)提供理論和實踐支撐。

零信任與傳統(tǒng)身份認(rèn)證技術(shù)：不是取代或者替換傳統(tǒng)的身份認(rèn)證技術(shù)，零信任模型中身份成為中心，傳統(tǒng)的多種身份認(rèn)證技術(shù)將結(jié)合新技術(shù)一起被部署在企業(yè)網(wǎng)絡(luò)當(dāng)中[2]。在零信任模型中，并不限制使用任何單一的身份驗證技術(shù)。

3? 零信任身份認(rèn)證在企業(yè)落地

零信任安全不是一朝一夕之功，不能急于實現(xiàn)而“病急亂投醫(yī)”，要評估公司現(xiàn)有能力，采用相應(yīng)方案。據(jù)分析，目前公司已經(jīng)實現(xiàn)了零信任的很多方面，如4A平臺的IAM、MFA多因子認(rèn)證、授權(quán)管理、業(yè)務(wù)審計;信息安全運行監(jiān)測預(yù)警系統(tǒng)、IT運營、CMDB、IP發(fā)現(xiàn)、終端安全系統(tǒng)、DLP、統(tǒng)一密碼服務(wù)平臺等，網(wǎng)絡(luò)環(huán)境也實現(xiàn)了各網(wǎng)絡(luò)區(qū)的分離。

建立零信任安全不僅僅是這些單個技術(shù)，而是應(yīng)用這些技術(shù)來施行“無法證明可信任，即無法獲得權(quán)限”的理念。零信任安全頂層設(shè)計包括安全管控區(qū)、實時檢測區(qū)、安全防護(hù)區(qū)、分析平臺區(qū)、訪問控制區(qū)，按區(qū)聚合現(xiàn)有能力快速落地零信任安全防護(hù)架構(gòu)。后續(xù)不斷完善架構(gòu)，提升各區(qū)能力和協(xié)同能力，針對性地補(bǔ)齊能力缺口，持續(xù)地進(jìn)行運營管理，共筑零信任安全防護(hù)。

3.1 企業(yè)實施零信任身份認(rèn)證的四個階段

3.1.1 識別IT能力

據(jù)分析，目前企業(yè)經(jīng)實現(xiàn)了零信任的很多方面，如4A平臺的IAM、MFA多因子認(rèn)證、授權(quán)管理、業(yè)務(wù)審計;信息安全運行監(jiān)測預(yù)警系統(tǒng)、IT運營、CMDB、IP發(fā)現(xiàn)、終端安全系統(tǒng)、DLP、統(tǒng)一密碼服務(wù)平臺等，網(wǎng)絡(luò)環(huán)境也實現(xiàn)了各網(wǎng)絡(luò)區(qū)的分離。

3.1.2 識別數(shù)字資產(chǎn)

現(xiàn)在，大多數(shù)企業(yè)都尚未開始實施基于零信任身份認(rèn)證，通常都會停留在以下階段：（1）具有靜態(tài)規(guī)則和一些本地身份的SSO;（2）采用有限的技術(shù)實現(xiàn)設(shè)備合規(guī)性、云環(huán)境和登錄信息的驗證;（3）相對薄弱的網(wǎng)絡(luò)基礎(chǔ)設(shè)施導(dǎo)致身份安全風(fēng)險加劇。

3.1.3 快速發(fā)展階段

在這個階段，組織已經(jīng)開始了他們的零信任之旅，并在一些關(guān)鍵領(lǐng)域取得了進(jìn)展，混合身份和經(jīng)過優(yōu)化的訪問策略限制了對數(shù)據(jù)、應(yīng)用程序和網(wǎng)絡(luò)的訪問。設(shè)備已注冊并符合IT安全策略，網(wǎng)絡(luò)正在被分割，云威脅保護(hù)已經(jīng)到位。

3.1.4 最佳階段

處于最佳階段的組織已經(jīng)在安全性方面做出了很大的改進(jìn)，具有實時分析功能的云身份可以動態(tài)地限制對應(yīng)用程序、工作負(fù)載、網(wǎng)絡(luò)和數(shù)據(jù)的訪問。數(shù)據(jù)訪問決策由云安全策略引擎管理，共享通過加密和跟蹤得到保護(hù)。信任已經(jīng)從網(wǎng)絡(luò)中完全移除，微云周邊、微分割、加密都到位，實現(xiàn)了自動威脅檢測和響應(yīng)。

3.2 最小權(quán)限動態(tài)訪問控制是零信任的本質(zhì)

在企業(yè)信息化、數(shù)字化轉(zhuǎn)型進(jìn)程中，理解“最小化權(quán)限”[3]應(yīng)用訪問模式對企業(yè)數(shù)字資產(chǎn)安全管理至關(guān)重要。從傳統(tǒng)的RBAC、ABAC、ACL等模式更進(jìn)一步，零信任數(shù)字身份技術(shù)的落地遵循“先認(rèn)證設(shè)備和用戶，后訪問業(yè)務(wù)”的安全邏輯，旨在打造適用于云計算、大數(shù)據(jù)、移動計算等新場景，為用戶訪問應(yīng)用、應(yīng)用和服務(wù)之間的API調(diào)用等各場景提供縱深動態(tài)可信訪問控制，方案包括四大關(guān)鍵特性：以身份為中心、業(yè)務(wù)安全訪問、持續(xù)信任評估、動態(tài)訪問控制（見圖1）。

3.2.1 以身份為中心

以身份為中心而非以網(wǎng)絡(luò)為中心構(gòu)建訪問控制體系，需要為網(wǎng)絡(luò)中的人和設(shè)備賦予數(shù)字身份，將身份化的人和設(shè)備進(jìn)行組合構(gòu)建訪問主體，并為訪問主體設(shè)定其所需的最小權(quán)限。

3.2.2 業(yè)務(wù)安全訪問

所有業(yè)務(wù)默認(rèn)隱藏，根據(jù)授權(quán)結(jié)果進(jìn)行最小限度的開放;所有的業(yè)務(wù)訪問請求都應(yīng)該進(jìn)行全流量加密和強(qiáng)制授權(quán)。

3.2.3 持續(xù)信任評估

信任評估是零信任架構(gòu)從零開始構(gòu)建信任的核心實踐，通過信任評估引擎，實現(xiàn)基于身份的信任評估能力，同時需要對訪問的上下文環(huán)境進(jìn)行風(fēng)險判定，對訪問請求進(jìn)行異常行為識別并對信任評估結(jié)果進(jìn)行調(diào)整[4]。

3.2.4 動態(tài)訪問控制

動態(tài)訪問控制是零信任架構(gòu)實現(xiàn)安全閉環(huán)的核心實踐。通過RBAC和ABAC的組合授權(quán)實現(xiàn)靈活地訪問控制基線，基于信任等級實現(xiàn)分級的業(yè)務(wù)訪問，同時，當(dāng)訪問上下文和環(huán)境存在風(fēng)險時，需要對訪問權(quán)限進(jìn)行實時干預(yù)[5]。

3.3 零信任身份認(rèn)證場景化落地

任何企業(yè)要實現(xiàn)最優(yōu)的零信任身份認(rèn)證的落地都需要經(jīng)歷一個較長的建設(shè)周期，但是企業(yè)完全可以基于已有的IT軟硬件基礎(chǔ)設(shè)施，針對核心數(shù)字資產(chǎn)實現(xiàn)風(fēng)險度量化場景的零信任身份認(rèn)證落地[6]，這能大大降低實踐的難度，加速零信任安全的落地（見圖2）。

3.3.1 風(fēng)險評估基本計算公式

Score=動態(tài)風(fēng)險值+基礎(chǔ)評分

動態(tài)風(fēng)險值=w×s

式中w為權(quán)值，s為風(fēng)險分值。

3.3.2 基本算法

（1）權(quán)值初始化。

均值初始化：w = 1/N

式中N為風(fēng)險總數(shù)。

（2）權(quán)值更新。

①新增風(fēng)險后，更新權(quán)值;

②因風(fēng)險導(dǎo)致安全事件等，根據(jù)策略更新各風(fēng)險權(quán)值;

③無效風(fēng)險剔除后更新風(fēng)險權(quán)值。

（3）Score分值輸出。

根據(jù)更新后的權(quán)值重新計算并輸出當(dāng)前用戶風(fēng)險評分。

4? 結(jié)語

零信任架構(gòu)是一種全新的安全架構(gòu)理念，在新IT技術(shù)應(yīng)用逐漸深化的情形下，零信任作為一種網(wǎng)絡(luò)安全架構(gòu)或者安全理念，通過對非常基礎(chǔ)但是非常有效的安全原則的強(qiáng)制性落地實施，將各種安全產(chǎn)品、安全模塊整合起來，形成一個緊密耦合的安全體系，協(xié)助用戶構(gòu)建安全的基礎(chǔ)設(shè)施，保障應(yīng)用和數(shù)據(jù)的安全，有效緩解組織外部攻擊和內(nèi)部威脅。

參考文獻(xiàn)

[1] 丁興.基于多因子行為的身份鑒別方案與應(yīng)用研究[D].貴州大學(xué)，2020.

[2] 左英男.零信任架構(gòu)：網(wǎng)絡(luò)安全新范式[J].金融電子化，2018（11）：50-51.

[3] 嚴(yán)彬元.基于RBAC權(quán)限模型搭建的高效智能權(quán)限管理系統(tǒng)[J].電子世界，2017（5）：168-169.

[4] 孫瑞.基于行為建模的智能終端用戶身份識別的關(guān)鍵技術(shù)研究與實現(xiàn)[D].南京郵電大學(xué)，2020.

[5] 蔡冉，張曉兵.零信任身份安全解決方案[J].信息技術(shù)與標(biāo)準(zhǔn)化，2019（9）：46-49.

[6] 呂虹.信息安全風(fēng)險評估關(guān)鍵技術(shù)研究與實現(xiàn)[J].通訊世界，2019，26（3）：226-227.