0、零信任簡(jiǎn)介

　　零信任架構(gòu)是一種系統(tǒng)設(shè)計(jì)方法，其中消除了對(duì)網(wǎng)絡(luò)的固有信任。

　　相反，假設(shè)網(wǎng)絡(luò)是敵對(duì)的，并且每個(gè)訪問請(qǐng)求都根據(jù)訪問策略進(jìn)行驗(yàn)證。

　　對(duì)請(qǐng)求可信度的置信度是通過構(gòu)建上下文來實(shí)現(xiàn)的，而上下文又依賴于強(qiáng)身份驗(yàn)證、授權(quán)、設(shè)備運(yùn)行狀況和所訪問數(shù)據(jù)的價(jià)值。

　　如果不確定零信任是否是滿足正確網(wǎng)絡(luò)架構(gòu)需求，或者如果不熟悉零信任，從現(xiàn)在開始了解應(yīng)該是一個(gè)不錯(cuò)的起點(diǎn)。

　　關(guān)鍵概念

　　網(wǎng)絡(luò)充滿敵意

　　網(wǎng)絡(luò)應(yīng)被視為受到威脅，因此具有敵意，意味著需要從網(wǎng)絡(luò)中刪除（固有）信任。

　　在零信任架構(gòu)中，固有信任從網(wǎng)絡(luò)中移除。因?yàn)檫B接到網(wǎng)絡(luò)，不意味著應(yīng)該能夠訪問網(wǎng)絡(luò)上的所有內(nèi)容。每個(gè)訪問數(shù)據(jù)或服務(wù)的請(qǐng)求都應(yīng)根據(jù)訪問策略進(jìn)行身份驗(yàn)證和授權(quán)。如果連接不滿足訪問策略，連接將被丟棄。

　　在漏洞中，攻擊者在網(wǎng)絡(luò)上站穩(wěn)腳跟，然后橫向移動(dòng)攻擊是很常見的。因?yàn)榫W(wǎng)絡(luò)上的所有內(nèi)容和每個(gè)人都可以訪問網(wǎng)絡(luò)的其余部分。在零信任架構(gòu)中，網(wǎng)絡(luò)被視為敵對(duì)網(wǎng)絡(luò)，因此每個(gè)數(shù)據(jù)或服務(wù)訪問請(qǐng)求都會(huì)根據(jù)訪問策略不斷進(jìn)行驗(yàn)證。與傳統(tǒng)的圍墻花園相比，將改進(jìn)對(duì)攻擊者橫向移動(dòng)嘗試的監(jiān)控和檢測(cè)。

　　但請(qǐng)記?。毫阈湃尾粫?huì)完全消除威脅。

　　動(dòng)態(tài)獲得信心

　　如果從網(wǎng)絡(luò)中刪除信任，必須獲得對(duì)用戶、設(shè)備和服務(wù)的信心。與其在用戶、設(shè)備或服務(wù)連接到網(wǎng)絡(luò)時(shí)拍攝快照并允許產(chǎn)生的權(quán)限持續(xù)存在，更應(yīng)該繼續(xù)評(píng)估這些連接的可信度。

　　對(duì)于訪問服務(wù)的用戶，必須先建立對(duì)用戶身份和行為以及設(shè)備健康的信任，然后他們才能訪問服務(wù)。對(duì)于相互交互的服務(wù)，例如使用 API 進(jìn)行數(shù)據(jù)交換，這是通過確保正確的服務(wù)相互通信并獲得對(duì)托管的服務(wù)的健康狀況的信任來實(shí)現(xiàn)的。

　　信任連接所需的信心取決于所訪問數(shù)據(jù)的價(jià)值或所請(qǐng)求操作的影響。

　　例如，訪問敏感的個(gè)人數(shù)據(jù)可能需要一個(gè)訪問策略，根據(jù)定義的配置策略（如加密、補(bǔ)丁級(jí)別和正在啟用安全啟動(dòng)。

　　另一方面，組織中的任何人都可以訪問低價(jià)值數(shù)據(jù)，例如午餐菜單，無論他們的身份驗(yàn)證強(qiáng)度或設(shè)備健康狀況如何。

　　術(shù)語

　　在討論零信任架構(gòu)時(shí)，需要了解一些通用的術(shù)語。以下是零信任原則中使用的一些術(shù)語。

　　這些術(shù)語與其他來源緊密結(jié)合，在討論零信任技術(shù)時(shí)提供幫助。

　　訪問策略- 訪問請(qǐng)求被信任和授權(quán)的要求。

　　配置策略- 描述設(shè)備和服務(wù)配置選項(xiàng)的策略。

　　信號(hào)- 一條信息，如設(shè)備運(yùn)行狀況或位置，可用于獲得對(duì)資產(chǎn)可信度的信心。會(huì)經(jīng)常使用許多信號(hào)來決定是否授予對(duì)資源的訪問權(quán)限。

　　策略引擎- 獲取信號(hào)并將其與訪問策略進(jìn)行比較以確定訪問決策的組件。

　　策略執(zhí)行點(diǎn)- 使用策略引擎來調(diào)解用戶或設(shè)備對(duì)服務(wù)或數(shù)據(jù)的請(qǐng)求，以確定是否可以授權(quán)請(qǐng)求。

　　設(shè)備運(yùn)行狀況- 設(shè)備符合配置策略并且處于良好狀態(tài)的置信度。例如，安裝了最新的補(bǔ)丁，或者啟用了安全啟動(dòng)等功能。

　　1、零信任原則：了解架構(gòu)，包括用戶、設(shè)備、服務(wù)和數(shù)據(jù)

　　在零信任網(wǎng)絡(luò)模型中，了解用戶、設(shè)備、服務(wù)和數(shù)據(jù)比以往任何時(shí)候都重要。

　　介紹

　　為了從零信任中獲益，需要了解架構(gòu)的每個(gè)組件，包括用戶、設(shè)備以及他們正在訪問的服務(wù)和數(shù)據(jù)。

　　正確理解資產(chǎn)很可能涉及資產(chǎn)發(fā)現(xiàn)階段，這是零信任之旅的第一步。在某些環(huán)境中，這可能具有挑戰(zhàn)性，并且可能涉及使用自動(dòng)化工具來發(fā)現(xiàn)網(wǎng)絡(luò)上的資產(chǎn)。在其他情況下，可能能夠通過遵循非技術(shù)程序（例如查詢采購記錄）來確定您的資產(chǎn)。

　　了解環(huán)境中存儲(chǔ)了哪些數(shù)據(jù)、其位置和敏感性也很重要。了解數(shù)據(jù)及其相關(guān)敏感性將有助于制定有效且適當(dāng)?shù)脑L問策略，有助于實(shí)現(xiàn)使用策略來授權(quán)請(qǐng)求。

　　過渡到零信任

　　無論是從具有許多預(yù)先存在的服務(wù)的已建立系統(tǒng)過渡到零信任架構(gòu)，還是開始全新的架構(gòu)部署，資產(chǎn)發(fā)現(xiàn)都同樣重要。

　　如果在不考慮現(xiàn)有服務(wù)的情況下實(shí)施零信任架構(gòu)，它們可能面臨更高的風(fēng)險(xiǎn)。這些服務(wù)可能不是為敵對(duì)的、不受信任的網(wǎng)絡(luò)設(shè)計(jì)的，因此將無法保護(hù)自己免受攻擊。

　　進(jìn)行風(fēng)險(xiǎn)評(píng)估

　　一旦了解了架構(gòu)，就可以更好地確定新目標(biāo)架構(gòu)的風(fēng)險(xiǎn)并確保它們得到緩解。

　　在資產(chǎn)發(fā)現(xiàn)階段之后開始進(jìn)行風(fēng)險(xiǎn)評(píng)估是明智的 ，包括對(duì)零信任方法進(jìn)行威脅建模。此評(píng)估可用于幫助了解正在考慮的零信任組件是否會(huì)減輕 - 防范 - 所有風(fēng)險(xiǎn)。

　　風(fēng)險(xiǎn)緩解的程度可能取決于資產(chǎn)的重要性和風(fēng)險(xiǎn)偏好。因此，必須評(píng)估資產(chǎn)的重要性并為其提供適當(dāng)?shù)谋Ｗo(hù)措施。

　　如果使用零信任方法無法緩解所有風(fēng)險(xiǎn)，則需要保留當(dāng)前網(wǎng)絡(luò)架構(gòu)中的現(xiàn)有安全控制。

　　2、零信任原則：了解用戶、服務(wù)和設(shè)備身份

　　在零信任網(wǎng)絡(luò)中做出訪問決策時(shí)，用戶、服務(wù)和設(shè)備身份是一個(gè)非常重要的因素。

　　介紹

　　身份可以代表用戶（人）、服務(wù)（軟件過程）或設(shè)備。在零信任架構(gòu)中，每個(gè)都應(yīng)該是唯一可識(shí)別的。這是決定是否應(yīng)授予某人或某物訪問數(shù)據(jù)或服務(wù)的權(quán)限的最重要因素之一。

　　這些唯一身份是輸入策略引擎的眾多信號(hào)之一，策略引擎使用此信息做出訪問決策。例如，在允許訪問服務(wù)或數(shù)據(jù)之前，策略引擎可以評(píng)估用戶和設(shè)備身份信號(hào)以確定兩者是否真實(shí)。

　　用戶、服務(wù)和設(shè)備分配單一身份來源的重要第一步。

　　用戶身份

　　組織應(yīng)使用明確的用戶目錄，創(chuàng)建與個(gè)人相關(guān)聯(lián)的帳戶。這可以以虛擬目錄或目錄同步的形式出現(xiàn)，以呈現(xiàn)單個(gè)用戶目錄的外觀。

　　每個(gè)身份都應(yīng)該分配給一個(gè)角色，并且應(yīng)該將其配置為“最低權(quán)限”，因此用戶只能訪問他們執(zhí)行角色所需的內(nèi)容。事實(shí)上，這些特權(quán)通常源自用戶在組織內(nèi)的工作職能。

　　無論從何處訪問，用戶有一個(gè)單一的身份和登錄來源。這將允許更好的用戶體驗(yàn)，但也允許所有服務(wù)具有單一的強(qiáng)身份。

　　用戶身份服務(wù)應(yīng)該能夠：

　　創(chuàng)建群組

　　定義已配置為“最低權(quán)限”的角色

　　支持強(qiáng)大的現(xiàn)代身份驗(yàn)證方法，例如多因素或無密碼身份驗(yàn)證。

　　安全地為用戶提供憑據(jù)

　　啟用對(duì)服務(wù)的聯(lián)合身份驗(yàn)證（例如 SAML 2.0、OAuth 2.0 或 OpenID Connect）

　　在適用的情況下管理外部服務(wù)中的用戶身份（例如 SCIM 2.0）

　　支持您的加入者、移動(dòng)者和離開者流程

　　支持第三方聯(lián)合 ID（接受來自其他受信任的第三方用戶目錄的身份）

　　遷移

　　如果有一個(gè)現(xiàn)有目錄，遷移到另一個(gè)目錄需要仔細(xì)規(guī)劃。某些目錄服務(wù)允許在目錄之間導(dǎo)入、同步或聯(lián)合，這將實(shí)現(xiàn)分階段遷移，或者有效地提供共享目錄。

　　外部訪問

　　應(yīng)該考慮如何向組織外部的人員提供訪問權(quán)限。服務(wù)可以與外部身份提供者聯(lián)合，以允許訪問適當(dāng)?shù)姆?wù)和數(shù)據(jù)。例如，訪客可以查看午餐菜單，或者承包商只能訪問與其工作相關(guān)的文檔。

　　身份和身份驗(yàn)證是一個(gè)需要仔細(xì)考慮的廣泛主題。

　　服務(wù)令牌

　　服務(wù)不應(yīng)該能夠代表用戶采取無限的行動(dòng)。如果這樣的服務(wù)受到威脅，它將提供對(duì)系統(tǒng)中任何服務(wù)或任何數(shù)據(jù)的高特權(quán)訪問。

　　為服務(wù)提供適當(dāng)訪問權(quán)限的更好方法是將每個(gè)操作與與用戶身份相關(guān)聯(lián)的范圍和限時(shí)訪問令牌相關(guān)聯(lián)。這樣，如果同一服務(wù)受到損害，對(duì)您的服務(wù)造成的損害將僅限于原始操作的權(quán)限。

　　如果檢測(cè)到異常行為，用戶和設(shè)備評(píng)估服務(wù)或數(shù)據(jù)的信心水平將會(huì)下降。應(yīng)立即觸發(fā)補(bǔ)救措施，因?yàn)橛捎谟脩艋蛟O(shè)備健康狀況的變化，令牌的可信度低于發(fā)布時(shí)的可信度。一些補(bǔ)救措施的示例是終止連接或觸發(fā) MFA 提示。

　　服務(wù)標(biāo)識(shí)

　　一項(xiàng)服務(wù)或者更準(zhǔn)確地說，提供一項(xiàng)服務(wù)的軟件——應(yīng)該有自己獨(dú)特的身份，并被授予正常運(yùn)行所需的最低權(quán)限。這包括根據(jù)服務(wù)的身份維護(hù)連接的允許列表，將服務(wù)之間的網(wǎng)絡(luò)通信限制為所需的最小數(shù)量。

　　示例身份驗(yàn)證方法可能涉及每個(gè)服務(wù)的唯一證書。然后可以使用證書身份驗(yàn)證在構(gòu)成服務(wù)的軟件進(jìn)程之間形成相互的TLS（傳輸層安全）連接。

　　用戶對(duì)應(yīng)用程序或容器平臺(tái)的訪問應(yīng)聯(lián)合到單個(gè)用戶目錄中，并使用策略引擎根據(jù)多個(gè)信號(hào)授權(quán)訪問。如果滿足策略，策略引擎可以做出訪問決策并釋放令牌。

　　設(shè)備標(biāo)識(shí)

　　組織擁有的每臺(tái)設(shè)備都應(yīng)在單個(gè)設(shè)備目錄中唯一標(biāo)識(shí)。這可以實(shí)現(xiàn)高效的資產(chǎn)管理，并提供訪問服務(wù)和數(shù)據(jù)的設(shè)備的清晰可見性。

　　定義的零信任策略將使用設(shè)備的合規(guī)性和健康聲明來決定它可以訪問哪些數(shù)據(jù)以及它可以執(zhí)行的操作。需要一個(gè)強(qiáng)大的身份來確保這些聲明可以得到驗(yàn)證。

　　設(shè)備身份的強(qiáng)度取決于設(shè)備類型、硬件和平臺(tái)：

　　設(shè)備身份應(yīng)在安全硬件協(xié)處理器（例如 TPM）上與設(shè)備緊密綁定，這將使您對(duì)設(shè)備身份充滿信心。應(yīng)盡可能使用密鑰證明來證明身份在安全硬件協(xié)處理器中受到保護(hù)。

　　與基于 TPM 的方法相比，使用基于軟件的密鑰存儲(chǔ)存儲(chǔ)在管理良好的設(shè)備上的身份對(duì)設(shè)備身份的信心較低。

　　相對(duì)于上述內(nèi)容，基于軟件的密鑰庫中的非托管設(shè)備上的身份對(duì)設(shè)備身份的可信度最低。

　　識(shí)別來自另一個(gè)組織的設(shè)備需要在兩個(gè)組織之間建立信任關(guān)系。這應(yīng)該發(fā)生在治理和技術(shù)層面。

　　自帶設(shè)備場(chǎng)景

　　當(dāng)允許來自不擁有和管理的設(shè)備的請(qǐng)求時(shí)，識(shí)別可能具有挑戰(zhàn)性。BYOD 模型中的設(shè)備仍應(yīng)具有與其相關(guān)聯(lián)的身份以進(jìn)行監(jiān)控，但對(duì)該設(shè)備身份的置信度可能會(huì)降低。

　　3、零信任原則：評(píng)估用戶行為、服務(wù)和設(shè)備健康狀況

　　用戶行為以及服務(wù)或設(shè)備健康狀況是建立對(duì)系統(tǒng)安全性的信心的重要指標(biāo)。

　　介紹

　　應(yīng)該持續(xù)監(jiān)控來自用戶和設(shè)備的健康信號(hào)，以評(píng)估對(duì)其可信度的信心。衡量用戶行為和設(shè)備健康狀況有助于對(duì)他們的網(wǎng)絡(luò)衛(wèi)生以及他們沒有受到損害有信心。該信息可以輸入到策略引擎中以做出訪問決策，如原則中所述。使用策略來授權(quán)請(qǐng)求。

　　例如，可能想知道用戶嘗試從何處訪問服務(wù)并對(duì)設(shè)備的健康狀況充滿信心。然后，這些健康信號(hào)可以流入策略引擎以幫助做出訪問決策。

　　為了促進(jìn)這些評(píng)估，應(yīng)該擁有用戶、設(shè)備和服務(wù)的單一身份來源。這些應(yīng)該先于資產(chǎn)發(fā)現(xiàn)階段。

　　設(shè)備

　　需要確信訪問的服務(wù)和數(shù)據(jù)的設(shè)備是健康的。這些設(shè)備的健康狀況代表了一些最重要的信號(hào)，用于控制對(duì)數(shù)據(jù)和服務(wù)的訪問。設(shè)備運(yùn)行狀況包括遵守設(shè)備配置策略和設(shè)備狀態(tài)。

　　首先，定義配置策略，為設(shè)備實(shí)施安全基線。該NCSC的設(shè)備安全指導(dǎo)可以幫助這一點(diǎn)。使用設(shè)備管理服務(wù)，將這些策略應(yīng)用到設(shè)備并強(qiáng)制執(zhí)行。然后不斷檢查設(shè)備是否合規(guī)。

　　可以從平臺(tái)上的安全功能狀態(tài)確定設(shè)備健康狀況。例如，是否啟用了安全啟動(dòng)？是否安裝了最新的操作系統(tǒng)更新？是否啟用了基于虛擬化的安全或系統(tǒng)完整性保護(hù)？

　　更進(jìn)一步，確定設(shè)備固件、啟動(dòng)過程、端點(diǎn)安全套件和操作系統(tǒng)內(nèi)核的潛在健康狀況是有助于確定整體設(shè)備健康狀況的強(qiáng)信號(hào)。證明是實(shí)現(xiàn)這一目標(biāo)的一種方式，它獲取設(shè)備狀態(tài)的快照，并聲明硬件和操作系統(tǒng)的不同組件。某些端點(diǎn)安全套件可以提供有助于確定設(shè)備是否值得信賴的信號(hào)。

　　如果設(shè)備意外低于所需標(biāo)準(zhǔn)，應(yīng)該確保為合法用戶提供明確且清晰的路徑，使他們的設(shè)備恢復(fù)良好的網(wǎng)絡(luò)健康。如果設(shè)備錯(cuò)過了一些日常維護(hù)，合法用戶可能會(huì)被阻止訪問服務(wù)或數(shù)據(jù)。

　　例如，如果設(shè)備已離線一段時(shí)間且未收到操作系統(tǒng)補(bǔ)丁，則應(yīng)為用戶提供更新其設(shè)備的能力和所需的支持，因此它可以被視為合規(guī)。

　　服務(wù)

　　不僅在最終用戶設(shè)備訪問它們時(shí)，而且在服務(wù)與其他服務(wù)交談時(shí)，還應(yīng)考慮服務(wù)健康狀況。零信任基礎(chǔ)設(shè)施，例如策略引擎和策略執(zhí)行點(diǎn)，也應(yīng)該在這里被視為服務(wù)。

　　服務(wù)應(yīng)配置為使用其本機(jī)安全功能滿足我們的零信任原則。例如，通過強(qiáng)制執(zhí)行強(qiáng)身份驗(yàn)證機(jī)制并禁用不支持現(xiàn)代身份驗(yàn)證的舊協(xié)議。

　　服務(wù)必須與最新的軟件補(bǔ)丁保持同步。還應(yīng)該能夠確定服務(wù)的版本和補(bǔ)丁級(jí)別。應(yīng)盡早應(yīng)用修復(fù)漏洞的補(bǔ)丁。

　　需要監(jiān)控的服務(wù)的健康狀況。狀態(tài)的意外變化可能表示未經(jīng)授權(quán)的更改或惡意活動(dòng)。一些示例信號(hào)可能是，確保服務(wù)補(bǔ)丁是最新的并根據(jù)配置策略進(jìn)行配置 - 例如，容器未以特權(quán)用戶身份運(yùn)行。組成服務(wù)的代碼來源應(yīng)該被驗(yàn)證為來自可信來源，即代碼交付管道。

　　用戶

　　應(yīng)仔細(xì)考慮用戶訪問服務(wù)和數(shù)據(jù)的行為?？梢允褂帽O(jiān)控來定義什么是正常的用戶活動(dòng)。

　　應(yīng)該定義檢查用戶連接健康狀況的策略。例如，用戶從不同的地理區(qū)域連接到他們通常所在的地方，或者在半夜進(jìn)行活動(dòng)，可能是意料之外的。

　　通過請(qǐng)求另一個(gè)身份驗(yàn)證因素，可以請(qǐng)求進(jìn)一步的信號(hào)，以提高用戶操作的完整性。

　　基礎(chǔ)設(shè)施

　　了解可以作為 IaaS（基礎(chǔ)設(shè)施即服務(wù)）托管在數(shù)據(jù)中心或云中的基礎(chǔ)設(shè)施的健康狀況也將是有利的。

　　這種與健康相關(guān)的信息可能來自監(jiān)控網(wǎng)絡(luò)流量或來自基礎(chǔ)設(shè)施日志記錄的信息。

　　例如，這可以幫助您發(fā)現(xiàn)網(wǎng)絡(luò)上的惡意設(shè)備、向惡意域發(fā)出信號(hào)的未經(jīng)授權(quán)的數(shù)據(jù)流，或者可能表明系統(tǒng)中存在惡意軟件的意外進(jìn)程啟動(dòng)。