淺談零信任身份認(rèn)證在企業(yè)的發(fā)展

李江鑫 劉廷峰 張曉韜

摘? 要：身份認(rèn)證是企業(yè)信息化、數(shù)字化發(fā)展中的重要基礎(chǔ)能力，而大、云、物、移、智、鏈等技術(shù)的發(fā)展引發(fā)企業(yè)變革，同時(shí)對(duì)傳統(tǒng)身份認(rèn)證提出新的挑戰(zhàn)。對(duì)于企業(yè)而言，云端架構(gòu)使得企業(yè)面臨更大的風(fēng)險(xiǎn)，一旦儲(chǔ)存的數(shù)據(jù)泄露或遭到攻擊，將對(duì)企業(yè)造成難以估量的損失。該文結(jié)合傳統(tǒng)身份認(rèn)證技術(shù)的發(fā)展與企業(yè)面臨的形勢，嘗試提出基于零信任身份認(rèn)證在企業(yè)應(yīng)用落地的一種思路與方法。

關(guān)鍵詞：身份認(rèn)證? 零信任? 安全? 權(quán)限

中圖分類號(hào)：TP393.08? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3791（2021）05（a）-0028-04

Abstract： Identity authentication is an important basic capability in the development of enterprise informatization and digitalization. The development of big data，cloud computing， internet of things，mobile internet，artificial intelligence， blockchain and other technologies has triggered enterprise reforms， and at the same time poses new challenges to traditional identity authentication. Especially for enterprises， more and more business applications begin to rely on the cloud to build， making the data resources stored on the cloud platform become increasingly large. Once the stored data is leaked or attacked， it will cause immeasurable losses to the enterprise. This paper combines the development of traditional identity authentication technology with the forms faced by enterprises， and tries to put forward an idea and method based on the application of zero-trust identity authentication in enterprises.

Key Words： Identity authentication; Zero trust; Security; Authority

隨著大、云、物、移、智、鏈（大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、人工智能、區(qū)塊鏈）等技術(shù)的飛速發(fā)展，企業(yè)迎來了變革的新機(jī)遇，也面臨著新的難題。對(duì)于企業(yè)而言，云端架構(gòu)使得企業(yè)面臨更大的風(fēng)險(xiǎn)，一旦儲(chǔ)存的數(shù)據(jù)泄露或遭到攻擊，將對(duì)企業(yè)造成難以估量的損失。據(jù)統(tǒng)計(jì)，80%的數(shù)據(jù)泄露都與賬號(hào)密碼被盜用有關(guān)，因此企業(yè)員工身份賬號(hào)的安全已成為企業(yè)信息安全的第一道關(guān)口，而傳統(tǒng)的身份認(rèn)證體系已經(jīng)難以滿足日新月異的網(wǎng)絡(luò)發(fā)展，更難以確保訪問者身份的安全性，因此，構(gòu)建新型身份安全理念，優(yōu)化身份安全驗(yàn)證體系勢在必行。在此種環(huán)境下，零信任概念應(yīng)運(yùn)而生，在零信任網(wǎng)絡(luò)結(jié)構(gòu)下，任何人、事、物想要進(jìn)入訪問網(wǎng)絡(luò)，都需要經(jīng)過全面嚴(yán)密的身份認(rèn)證，構(gòu)建網(wǎng)絡(luò)安全的第一道屏障。

1? 企業(yè)身份認(rèn)證現(xiàn)狀

1.1 傳統(tǒng)身份認(rèn)證技術(shù)

傳統(tǒng)的身份認(rèn)證方法可以分為3種：基于信息秘密的身份認(rèn)證、基于信任物體的身份認(rèn)證、基于生物特征的身份認(rèn)證。為了提升身份認(rèn)證安全性，通常會(huì)將上面的方法挑選2種或以上混合使用，即所謂的雙因素或多因素認(rèn)證。從企業(yè)全生命周期身份管理及訪問控制過程來看，身份認(rèn)證在國內(nèi)企業(yè)的應(yīng)用實(shí)際上涵蓋了以下技術(shù)。

1.1.1 多因子認(rèn)證技術(shù)

MFA（Muti-Factor Authentication）多因子認(rèn)證技術(shù)是身份認(rèn)證領(lǐng)域近年來最為有效、低建設(shè)成本的身份認(rèn)證技術(shù)，它是對(duì)一系列驗(yàn)證技術(shù)的組合，并具備良好的擴(kuò)展性。多因子身份認(rèn)證一般綜合運(yùn)用了數(shù)字簽名、設(shè)備指紋、時(shí)空碼、人臉識(shí)別等多項(xiàng)身份認(rèn)證技術(shù)[1]，終端用戶手持移動(dòng)設(shè)備（如手機(jī)）即可完成安全便捷的身份認(rèn)證，契合移動(dòng)業(yè)務(wù)對(duì)安全、準(zhǔn)確、靈活的用戶身份認(rèn)證的需求。

1.1.2 用戶行為分析（UBA）

通過收集用戶、設(shè)備等行為數(shù)據(jù)，分析獲得用戶和設(shè)備的行為特征，并判斷當(dāng)前認(rèn)證是否滿足已有特征，如不滿足則疊加多種認(rèn)證方式，因此也被稱為自適應(yīng)或基于風(fēng)險(xiǎn)的認(rèn)證。UBA技術(shù)檢查用戶行為模式，并自動(dòng)應(yīng)用算法和分析以檢測可能昭示潛在安全威脅的重要異常。UBA區(qū)別于專注跟蹤設(shè)備或安全事件的其他安全技術(shù)，有時(shí)候也會(huì)與實(shí)體行為分析歸到一類，被稱為UEBA。

1.1.3 基于風(fēng)險(xiǎn)的身份驗(yàn)證（RBA）

在用戶嘗試身份驗(yàn)證時(shí)，根據(jù)用戶情況動(dòng)態(tài)調(diào)整驗(yàn)證要求的身份驗(yàn)證方法。比如：如果用戶嘗試從之前未關(guān)聯(lián)過的地理位置或IP地址發(fā)起身份驗(yàn)證，可能就會(huì)面臨額外的驗(yàn)證要求。

1.1.4 人工智能應(yīng)用與身份認(rèn)證

通過大數(shù)據(jù)分析和人工智能技術(shù)，對(duì)多因素進(jìn)行人工智能行為分析，對(duì)用戶行為進(jìn)行建模和畫像，以風(fēng)控為主導(dǎo)的多因素、多維度的認(rèn)證，生物特征將會(huì)被廣泛應(yīng)用，認(rèn)證強(qiáng)度隨著場景和環(huán)境而變化。

1.2 身份認(rèn)證主流方案

1.2.1 IAM技術(shù)方案

IAM（Identity and Access Management），即“身份識(shí)別與訪問管理”，具有單點(diǎn)登錄、強(qiáng)大的認(rèn)證管理、基于策略的集中式授權(quán)和審計(jì)、動(dòng)態(tài)授權(quán)、企業(yè)可管理性等功能。IAM是國外主流的身份認(rèn)證解決方案。

1.2.2? 4A統(tǒng)一安全管理技術(shù)方案

4A包括認(rèn)證（Authentication）、授權(quán)（Authorization）、賬號(hào)（Account）、審計(jì)（Audit），中文名稱為統(tǒng)一安全管理平臺(tái)。其融合統(tǒng)一用戶賬號(hào)管理、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理和統(tǒng)一安全審計(jì)四要素后的解決方案將涵蓋單點(diǎn)登錄（SSO）等安全功能，既能夠?yàn)榭蛻籼峁┕δ芡晟频?、高安全?jí)別的4A管理，也能夠?yàn)橛脩籼峁┓纤_班斯法案要求的內(nèi)控報(bào)表。4A技術(shù)方案是過去十多年國內(nèi)企業(yè)實(shí)施身份認(rèn)證的主流選擇。

1.2.3 身份即服務(wù)（IDaaS）

基于云的IDaaS為位于企業(yè)內(nèi)部及云端的系統(tǒng)提供身份及訪問管理功能。IDaaS是隨著與計(jì)算興起的新興身份認(rèn)證方案，其不在局限于企業(yè)的內(nèi)控，也弱化企業(yè)內(nèi)部身份管理的強(qiáng)管控特性，根據(jù)業(yè)務(wù)需要，可能具備以下部分或者全部能力：（1）訪問鑒定;（2）訪問請(qǐng)求管理和工作流;（3）認(rèn)證;（4）強(qiáng)制鑒權(quán);（5）云目錄服務(wù);（6）移動(dòng)支撐;（7）內(nèi)部應(yīng)用集成;（8）用戶資料與密碼管理;（9）報(bào)表與分析;（10）SaaS 應(yīng)用集成;（11）社交身份集成。

2? 零信任為身份認(rèn)證指明方向

2.1 身份認(rèn)證新的挑戰(zhàn)

云計(jì)算、移動(dòng)辦公等技術(shù)的普及，使得企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)變得復(fù)雜，5G、北斗、物聯(lián)網(wǎng)技術(shù)的應(yīng)用，使得業(yè)務(wù)接入場景異常豐富。企業(yè)防護(hù)邊界日益模糊，要求所有實(shí)體訪問資源均需要認(rèn)證、授權(quán)，傳統(tǒng)的網(wǎng)絡(luò)安全模型基于邊界防護(hù)的思想已無法適應(yīng)當(dāng)前的需求。

IT設(shè)施需要確保用戶和設(shè)備可以安全連接到網(wǎng)絡(luò)（無論他們從何處連接），并且無需面對(duì)與傳統(tǒng)方法相關(guān)的復(fù)雜性。此外，企業(yè)需要主動(dòng)識(shí)別、阻止和緩解目標(biāo)威脅，例如：惡意軟件、勒索軟件、網(wǎng)絡(luò)釣魚、DNS數(shù)據(jù)泄露以及針對(duì)用戶的高級(jí)零日攻擊等。

傳統(tǒng)的訪問技術(shù)（比如VPN）依賴于過時(shí)的信任原則，導(dǎo)致用戶憑據(jù)被盜，進(jìn)而導(dǎo)致漏洞。企業(yè)需要重新考慮其訪問模式和技術(shù)以確保業(yè)務(wù)安全，同時(shí)仍然為所有用戶（包括第三方用戶）提供快速、簡單的訪問。

傳統(tǒng)企業(yè)IT基礎(chǔ)架構(gòu)十分復(fù)雜，而迅速、友好、安全的業(yè)務(wù)訪問需求使得IT設(shè)施面臨的安全威脅不斷變化，使得企業(yè)即使耗費(fèi)寶貴的資源對(duì)安全措施的調(diào)整及升級(jí)，也難以應(yīng)對(duì)復(fù)雜且不斷變化發(fā)展形勢。

2.2 零信任模型的產(chǎn)生

隨著云計(jì)算、移動(dòng)辦公等技術(shù)的普及，企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)變得復(fù)雜，傳統(tǒng)的網(wǎng)絡(luò)安全模型，無法適應(yīng)當(dāng)前的需求。零信任網(wǎng)絡(luò)是一種新的網(wǎng)絡(luò)安全模型，不區(qū)分內(nèi)外網(wǎng)，所有實(shí)體訪問資源均需要認(rèn)證、授權(quán)，更加適應(yīng)于防護(hù)邊界日益模糊的網(wǎng)絡(luò)。

零信任安全（或零信任網(wǎng)絡(luò)、零信任架構(gòu)、零信任）最早是由約翰·金德維格在2010年提出的網(wǎng)絡(luò)安全架構(gòu)概念，核心思想是企業(yè)不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人、事、物，應(yīng)在授權(quán)前對(duì)任何試圖接入企業(yè)系統(tǒng)的人、事、物進(jìn)行驗(yàn)證，其本質(zhì)是以身份為中心的動(dòng)態(tài)訪問控制。

2.3 身份認(rèn)證技術(shù)與零信任

我們認(rèn)為，零信任不是某一項(xiàng)技術(shù)或者方案，而是一種安全管理思想。零信任是為解決傳統(tǒng)基于邊界的安全防護(hù)架構(gòu)失效問題，構(gòu)筑新的動(dòng)態(tài)虛擬身份邊界。通過身份、環(huán)境、動(dòng)態(tài)權(quán)限等多個(gè)層面，緩解身份濫用、高風(fēng)險(xiǎn)終端、非授權(quán)訪問、越權(quán)訪問、數(shù)據(jù)非法流出等安全風(fēng)險(xiǎn)，建立了端到端的動(dòng)態(tài)訪問控制機(jī)制，極大收縮攻擊面，為各行業(yè)的新一代網(wǎng)絡(luò)和信息安全建設(shè)提供理論和實(shí)踐支撐。

零信任與傳統(tǒng)身份認(rèn)證技術(shù)：不是取代或者替換傳統(tǒng)的身份認(rèn)證技術(shù)，零信任模型中身份成為中心，傳統(tǒng)的多種身份認(rèn)證技術(shù)將結(jié)合新技術(shù)一起被部署在企業(yè)網(wǎng)絡(luò)當(dāng)中[2]。在零信任模型中，并不限制使用任何單一的身份驗(yàn)證技術(shù)。

3? 零信任身份認(rèn)證在企業(yè)落地

零信任安全不是一朝一夕之功，不能急于實(shí)現(xiàn)而“病急亂投醫(yī)”，要評(píng)估公司現(xiàn)有能力，采用相應(yīng)方案。據(jù)分析，目前公司已經(jīng)實(shí)現(xiàn)了零信任的很多方面，如4A平臺(tái)的IAM、MFA多因子認(rèn)證、授權(quán)管理、業(yè)務(wù)審計(jì);信息安全運(yùn)行監(jiān)測預(yù)警系統(tǒng)、IT運(yùn)營、CMDB、IP發(fā)現(xiàn)、終端安全系統(tǒng)、DLP、統(tǒng)一密碼服務(wù)平臺(tái)等，網(wǎng)絡(luò)環(huán)境也實(shí)現(xiàn)了各網(wǎng)絡(luò)區(qū)的分離。

建立零信任安全不僅僅是這些單個(gè)技術(shù)，而是應(yīng)用這些技術(shù)來施行“無法證明可信任，即無法獲得權(quán)限”的理念。零信任安全頂層設(shè)計(jì)包括安全管控區(qū)、實(shí)時(shí)檢測區(qū)、安全防護(hù)區(qū)、分析平臺(tái)區(qū)、訪問控制區(qū)，按區(qū)聚合現(xiàn)有能力快速落地零信任安全防護(hù)架構(gòu)。后續(xù)不斷完善架構(gòu)，提升各區(qū)能力和協(xié)同能力，針對(duì)性地補(bǔ)齊能力缺口，持續(xù)地進(jìn)行運(yùn)營管理，共筑零信任安全防護(hù)。

3.1 企業(yè)實(shí)施零信任身份認(rèn)證的四個(gè)階段

3.1.1 識(shí)別IT能力

據(jù)分析，目前企業(yè)經(jīng)實(shí)現(xiàn)了零信任的很多方面，如4A平臺(tái)的IAM、MFA多因子認(rèn)證、授權(quán)管理、業(yè)務(wù)審計(jì);信息安全運(yùn)行監(jiān)測預(yù)警系統(tǒng)、IT運(yùn)營、CMDB、IP發(fā)現(xiàn)、終端安全系統(tǒng)、DLP、統(tǒng)一密碼服務(wù)平臺(tái)等，網(wǎng)絡(luò)環(huán)境也實(shí)現(xiàn)了各網(wǎng)絡(luò)區(qū)的分離。

3.1.2 識(shí)別數(shù)字資產(chǎn)

現(xiàn)在，大多數(shù)企業(yè)都尚未開始實(shí)施基于零信任身份認(rèn)證，通常都會(huì)停留在以下階段：（1）具有靜態(tài)規(guī)則和一些本地身份的SSO;（2）采用有限的技術(shù)實(shí)現(xiàn)設(shè)備合規(guī)性、云環(huán)境和登錄信息的驗(yàn)證;（3）相對(duì)薄弱的網(wǎng)絡(luò)基礎(chǔ)設(shè)施導(dǎo)致身份安全風(fēng)險(xiǎn)加劇。

3.1.3 快速發(fā)展階段

在這個(gè)階段，組織已經(jīng)開始了他們的零信任之旅，并在一些關(guān)鍵領(lǐng)域取得了進(jìn)展，混合身份和經(jīng)過優(yōu)化的訪問策略限制了對(duì)數(shù)據(jù)、應(yīng)用程序和網(wǎng)絡(luò)的訪問。設(shè)備已注冊(cè)并符合IT安全策略，網(wǎng)絡(luò)正在被分割，云威脅保護(hù)已經(jīng)到位。

3.1.4 最佳階段

處于最佳階段的組織已經(jīng)在安全性方面做出了很大的改進(jìn)，具有實(shí)時(shí)分析功能的云身份可以動(dòng)態(tài)地限制對(duì)應(yīng)用程序、工作負(fù)載、網(wǎng)絡(luò)和數(shù)據(jù)的訪問。數(shù)據(jù)訪問決策由云安全策略引擎管理，共享通過加密和跟蹤得到保護(hù)。信任已經(jīng)從網(wǎng)絡(luò)中完全移除，微云周邊、微分割、加密都到位，實(shí)現(xiàn)了自動(dòng)威脅檢測和響應(yīng)。

3.2 最小權(quán)限動(dòng)態(tài)訪問控制是零信任的本質(zhì)

在企業(yè)信息化、數(shù)字化轉(zhuǎn)型進(jìn)程中，理解“最小化權(quán)限”[3]應(yīng)用訪問模式對(duì)企業(yè)數(shù)字資產(chǎn)安全管理至關(guān)重要。從傳統(tǒng)的RBAC、ABAC、ACL等模式更進(jìn)一步，零信任數(shù)字身份技術(shù)的落地遵循“先認(rèn)證設(shè)備和用戶，后訪問業(yè)務(wù)”的安全邏輯，旨在打造適用于云計(jì)算、大數(shù)據(jù)、移動(dòng)計(jì)算等新場景，為用戶訪問應(yīng)用、應(yīng)用和服務(wù)之間的API調(diào)用等各場景提供縱深動(dòng)態(tài)可信訪問控制，方案包括四大關(guān)鍵特性：以身份為中心、業(yè)務(wù)安全訪問、持續(xù)信任評(píng)估、動(dòng)態(tài)訪問控制（見圖1）。

3.2.1 以身份為中心

以身份為中心而非以網(wǎng)絡(luò)為中心構(gòu)建訪問控制體系，需要為網(wǎng)絡(luò)中的人和設(shè)備賦予數(shù)字身份，將身份化的人和設(shè)備進(jìn)行組合構(gòu)建訪問主體，并為訪問主體設(shè)定其所需的最小權(quán)限。

3.2.2 業(yè)務(wù)安全訪問

所有業(yè)務(wù)默認(rèn)隱藏，根據(jù)授權(quán)結(jié)果進(jìn)行最小限度的開放;所有的業(yè)務(wù)訪問請(qǐng)求都應(yīng)該進(jìn)行全流量加密和強(qiáng)制授權(quán)。

3.2.3 持續(xù)信任評(píng)估

信任評(píng)估是零信任架構(gòu)從零開始構(gòu)建信任的核心實(shí)踐，通過信任評(píng)估引擎，實(shí)現(xiàn)基于身份的信任評(píng)估能力，同時(shí)需要對(duì)訪問的上下文環(huán)境進(jìn)行風(fēng)險(xiǎn)判定，對(duì)訪問請(qǐng)求進(jìn)行異常行為識(shí)別并對(duì)信任評(píng)估結(jié)果進(jìn)行調(diào)整[4]。

3.2.4 動(dòng)態(tài)訪問控制

動(dòng)態(tài)訪問控制是零信任架構(gòu)實(shí)現(xiàn)安全閉環(huán)的核心實(shí)踐。通過RBAC和ABAC的組合授權(quán)實(shí)現(xiàn)靈活地訪問控制基線，基于信任等級(jí)實(shí)現(xiàn)分級(jí)的業(yè)務(wù)訪問，同時(shí)，當(dāng)訪問上下文和環(huán)境存在風(fēng)險(xiǎn)時(shí)，需要對(duì)訪問權(quán)限進(jìn)行實(shí)時(shí)干預(yù)[5]。

3.3 零信任身份認(rèn)證場景化落地

任何企業(yè)要實(shí)現(xiàn)最優(yōu)的零信任身份認(rèn)證的落地都需要經(jīng)歷一個(gè)較長的建設(shè)周期，但是企業(yè)完全可以基于已有的IT軟硬件基礎(chǔ)設(shè)施，針對(duì)核心數(shù)字資產(chǎn)實(shí)現(xiàn)風(fēng)險(xiǎn)度量化場景的零信任身份認(rèn)證落地[6]，這能大大降低實(shí)踐的難度，加速零信任安全的落地（見圖2）。

3.3.1 風(fēng)險(xiǎn)評(píng)估基本計(jì)算公式

Score=動(dòng)態(tài)風(fēng)險(xiǎn)值+基礎(chǔ)評(píng)分

動(dòng)態(tài)風(fēng)險(xiǎn)值=w×s

式中w為權(quán)值，s為風(fēng)險(xiǎn)分值。

3.3.2 基本算法

（1）權(quán)值初始化。

均值初始化：w = 1/N

式中N為風(fēng)險(xiǎn)總數(shù)。

（2）權(quán)值更新。

①新增風(fēng)險(xiǎn)后，更新權(quán)值;

②因風(fēng)險(xiǎn)導(dǎo)致安全事件等，根據(jù)策略更新各風(fēng)險(xiǎn)權(quán)值;

③無效風(fēng)險(xiǎn)剔除后更新風(fēng)險(xiǎn)權(quán)值。

（3）Score分值輸出。

根據(jù)更新后的權(quán)值重新計(jì)算并輸出當(dāng)前用戶風(fēng)險(xiǎn)評(píng)分。

4? 結(jié)語

零信任架構(gòu)是一種全新的安全架構(gòu)理念，在新IT技術(shù)應(yīng)用逐漸深化的情形下，零信任作為一種網(wǎng)絡(luò)安全架構(gòu)或者安全理念，通過對(duì)非?；A(chǔ)但是非常有效的安全原則的強(qiáng)制性落地實(shí)施，將各種安全產(chǎn)品、安全模塊整合起來，形成一個(gè)緊密耦合的安全體系，協(xié)助用戶構(gòu)建安全的基礎(chǔ)設(shè)施，保障應(yīng)用和數(shù)據(jù)的安全，有效緩解組織外部攻擊和內(nèi)部威脅。

參考文獻(xiàn)

[1] 丁興.基于多因子行為的身份鑒別方案與應(yīng)用研究[D].貴州大學(xué)，2020.

[2] 左英男.零信任架構(gòu)：網(wǎng)絡(luò)安全新范式[J].金融電子化，2018（11）：50-51.

[3] 嚴(yán)彬元.基于RBAC權(quán)限模型搭建的高效智能權(quán)限管理系統(tǒng)[J].電子世界，2017（5）：168-169.

[4] 孫瑞.基于行為建模的智能終端用戶身份識(shí)別的關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].南京郵電大學(xué)，2020.

[5] 蔡冉，張曉兵.零信任身份安全解決方案[J].信息技術(shù)與標(biāo)準(zhǔn)化，2019（9）：46-49.

[6] 呂虹.信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[J].通訊世界，2019，26（3）：226-227.