0、零信任簡介

　　零信任架構(gòu)是一種系統(tǒng)設(shè)計方法，其中消除了對網(wǎng)絡(luò)的固有信任。

　　相反，假設(shè)網(wǎng)絡(luò)是敵對的，并且每個訪問請求都根據(jù)訪問策略進(jìn)行驗證。

　　對請求可信度的置信度是通過構(gòu)建上下文來實現(xiàn)的，而上下文又依賴于強身份驗證、授權(quán)、設(shè)備運行狀況和所訪問數(shù)據(jù)的價值。

　　如果不確定零信任是否是滿足正確網(wǎng)絡(luò)架構(gòu)需求，或者如果不熟悉零信任，從現(xiàn)在開始了解應(yīng)該是一個不錯的起點。

　　關(guān)鍵概念

　　網(wǎng)絡(luò)充滿敵意

　　網(wǎng)絡(luò)應(yīng)被視為受到威脅，因此具有敵意，意味著需要從網(wǎng)絡(luò)中刪除（固有）信任。

　　在零信任架構(gòu)中，固有信任從網(wǎng)絡(luò)中移除。因為連接到網(wǎng)絡(luò)，不意味著應(yīng)該能夠訪問網(wǎng)絡(luò)上的所有內(nèi)容。每個訪問數(shù)據(jù)或服務(wù)的請求都應(yīng)根據(jù)訪問策略進(jìn)行身份驗證和授權(quán)。如果連接不滿足訪問策略，連接將被丟棄。

　　在漏洞中，攻擊者在網(wǎng)絡(luò)上站穩(wěn)腳跟，然后橫向移動攻擊是很常見的。因為網(wǎng)絡(luò)上的所有內(nèi)容和每個人都可以訪問網(wǎng)絡(luò)的其余部分。在零信任架構(gòu)中，網(wǎng)絡(luò)被視為敵對網(wǎng)絡(luò)，因此每個數(shù)據(jù)或服務(wù)訪問請求都會根據(jù)訪問策略不斷進(jìn)行驗證。與傳統(tǒng)的圍墻花園相比，將改進(jìn)對攻擊者橫向移動嘗試的監(jiān)控和檢測。

　　但請記住：零信任不會完全消除威脅。

　　動態(tài)獲得信心

　　如果從網(wǎng)絡(luò)中刪除信任，必須獲得對用戶、設(shè)備和服務(wù)的信心。與其在用戶、設(shè)備或服務(wù)連接到網(wǎng)絡(luò)時拍攝快照并允許產(chǎn)生的權(quán)限持續(xù)存在，更應(yīng)該繼續(xù)評估這些連接的可信度。

　　對于訪問服務(wù)的用戶，必須先建立對用戶身份和行為以及設(shè)備健康的信任，然后他們才能訪問服務(wù)。對于相互交互的服務(wù)，例如使用 API 進(jìn)行數(shù)據(jù)交換，這是通過確保正確的服務(wù)相互通信并獲得對托管的服務(wù)的健康狀況的信任來實現(xiàn)的。

　　信任連接所需的信心取決于所訪問數(shù)據(jù)的價值或所請求操作的影響。

　　例如，訪問敏感的個人數(shù)據(jù)可能需要一個訪問策略，根據(jù)定義的配置策略（如加密、補丁級別和正在啟用安全啟動。

　　另一方面，組織中的任何人都可以訪問低價值數(shù)據(jù)，例如午餐菜單，無論他們的身份驗證強度或設(shè)備健康狀況如何。

　　術(shù)語

　　在討論零信任架構(gòu)時，需要了解一些通用的術(shù)語。以下是零信任原則中使用的一些術(shù)語。

　　這些術(shù)語與其他來源緊密結(jié)合，在討論零信任技術(shù)時提供幫助。

　　訪問策略- 訪問請求被信任和授權(quán)的要求。

　　配置策略- 描述設(shè)備和服務(wù)配置選項的策略。

　　信號- 一條信息，如設(shè)備運行狀況或位置，可用于獲得對資產(chǎn)可信度的信心。會經(jīng)常使用許多信號來決定是否授予對資源的訪問權(quán)限。

　　策略引擎- 獲取信號并將其與訪問策略進(jìn)行比較以確定訪問決策的組件。

　　策略執(zhí)行點- 使用策略引擎來調(diào)解用戶或設(shè)備對服務(wù)或數(shù)據(jù)的請求，以確定是否可以授權(quán)請求。

　　設(shè)備運行狀況- 設(shè)備符合配置策略并且處于良好狀態(tài)的置信度。例如，安裝了最新的補丁，或者啟用了安全啟動等功能。

　　1、零信任原則：了解架構(gòu)，包括用戶、設(shè)備、服務(wù)和數(shù)據(jù)

　　在零信任網(wǎng)絡(luò)模型中，了解用戶、設(shè)備、服務(wù)和數(shù)據(jù)比以往任何時候都重要。

　　介紹

　　為了從零信任中獲益，需要了解架構(gòu)的每個組件，包括用戶、設(shè)備以及他們正在訪問的服務(wù)和數(shù)據(jù)。

　　正確理解資產(chǎn)很可能涉及資產(chǎn)發(fā)現(xiàn)階段，這是零信任之旅的第一步。在某些環(huán)境中，這可能具有挑戰(zhàn)性，并且可能涉及使用自動化工具來發(fā)現(xiàn)網(wǎng)絡(luò)上的資產(chǎn)。在其他情況下，可能能夠通過遵循非技術(shù)程序（例如查詢采購記錄）來確定您的資產(chǎn)。

　　了解環(huán)境中存儲了哪些數(shù)據(jù)、其位置和敏感性也很重要。了解數(shù)據(jù)及其相關(guān)敏感性將有助于制定有效且適當(dāng)?shù)脑L問策略，有助于實現(xiàn)使用策略來授權(quán)請求。

　　過渡到零信任

　　無論是從具有許多預(yù)先存在的服務(wù)的已建立系統(tǒng)過渡到零信任架構(gòu)，還是開始全新的架構(gòu)部署，資產(chǎn)發(fā)現(xiàn)都同樣重要。

　　如果在不考慮現(xiàn)有服務(wù)的情況下實施零信任架構(gòu)，它們可能面臨更高的風(fēng)險。這些服務(wù)可能不是為敵對的、不受信任的網(wǎng)絡(luò)設(shè)計的，因此將無法保護(hù)自己免受攻擊。

　　進(jìn)行風(fēng)險評估

　　一旦了解了架構(gòu)，就可以更好地確定新目標(biāo)架構(gòu)的風(fēng)險并確保它們得到緩解。

　　在資產(chǎn)發(fā)現(xiàn)階段之后開始進(jìn)行風(fēng)險評估是明智的 ，包括對零信任方法進(jìn)行威脅建模。此評估可用于幫助了解正在考慮的零信任組件是否會減輕 - 防范 - 所有風(fēng)險。

　　風(fēng)險緩解的程度可能取決于資產(chǎn)的重要性和風(fēng)險偏好。因此，必須評估資產(chǎn)的重要性并為其提供適當(dāng)?shù)谋Ｗo(hù)措施。

　　如果使用零信任方法無法緩解所有風(fēng)險，則需要保留當(dāng)前網(wǎng)絡(luò)架構(gòu)中的現(xiàn)有安全控制。

　　2、零信任原則：了解用戶、服務(wù)和設(shè)備身份

　　在零信任網(wǎng)絡(luò)中做出訪問決策時，用戶、服務(wù)和設(shè)備身份是一個非常重要的因素。

　　介紹

　　身份可以代表用戶（人）、服務(wù)（軟件過程）或設(shè)備。在零信任架構(gòu)中，每個都應(yīng)該是唯一可識別的。這是決定是否應(yīng)授予某人或某物訪問數(shù)據(jù)或服務(wù)的權(quán)限的最重要因素之一。

　　這些唯一身份是輸入策略引擎的眾多信號之一，策略引擎使用此信息做出訪問決策。例如，在允許訪問服務(wù)或數(shù)據(jù)之前，策略引擎可以評估用戶和設(shè)備身份信號以確定兩者是否真實。

　　用戶、服務(wù)和設(shè)備分配單一身份來源的重要第一步。

　　用戶身份

　　組織應(yīng)使用明確的用戶目錄，創(chuàng)建與個人相關(guān)聯(lián)的帳戶。這可以以虛擬目錄或目錄同步的形式出現(xiàn)，以呈現(xiàn)單個用戶目錄的外觀。

　　每個身份都應(yīng)該分配給一個角色，并且應(yīng)該將其配置為“最低權(quán)限”，因此用戶只能訪問他們執(zhí)行角色所需的內(nèi)容。事實上，這些特權(quán)通常源自用戶在組織內(nèi)的工作職能。

　　無論從何處訪問，用戶有一個單一的身份和登錄來源。這將允許更好的用戶體驗，但也允許所有服務(wù)具有單一的強身份。

　　用戶身份服務(wù)應(yīng)該能夠：

　　創(chuàng)建群組

　　定義已配置為“最低權(quán)限”的角色

　　支持強大的現(xiàn)代身份驗證方法，例如多因素或無密碼身份驗證。

　　安全地為用戶提供憑據(jù)

　　啟用對服務(wù)的聯(lián)合身份驗證（例如 SAML 2.0、OAuth 2.0 或 OpenID Connect）

　　在適用的情況下管理外部服務(wù)中的用戶身份（例如 SCIM 2.0）

　　支持您的加入者、移動者和離開者流程

　　支持第三方聯(lián)合 ID（接受來自其他受信任的第三方用戶目錄的身份）

　　遷移

　　如果有一個現(xiàn)有目錄，遷移到另一個目錄需要仔細(xì)規(guī)劃。某些目錄服務(wù)允許在目錄之間導(dǎo)入、同步或聯(lián)合，這將實現(xiàn)分階段遷移，或者有效地提供共享目錄。

　　外部訪問

　　應(yīng)該考慮如何向組織外部的人員提供訪問權(quán)限。服務(wù)可以與外部身份提供者聯(lián)合，以允許訪問適當(dāng)?shù)姆?wù)和數(shù)據(jù)。例如，訪客可以查看午餐菜單，或者承包商只能訪問與其工作相關(guān)的文檔。

　　身份和身份驗證是一個需要仔細(xì)考慮的廣泛主題。

　　服務(wù)令牌

　　服務(wù)不應(yīng)該能夠代表用戶采取無限的行動。如果這樣的服務(wù)受到威脅，它將提供對系統(tǒng)中任何服務(wù)或任何數(shù)據(jù)的高特權(quán)訪問。

　　為服務(wù)提供適當(dāng)訪問權(quán)限的更好方法是將每個操作與與用戶身份相關(guān)聯(lián)的范圍和限時訪問令牌相關(guān)聯(lián)。這樣，如果同一服務(wù)受到損害，對您的服務(wù)造成的損害將僅限于原始操作的權(quán)限。

　　如果檢測到異常行為，用戶和設(shè)備評估服務(wù)或數(shù)據(jù)的信心水平將會下降。應(yīng)立即觸發(fā)補救措施，因為由于用戶或設(shè)備健康狀況的變化，令牌的可信度低于發(fā)布時的可信度。一些補救措施的示例是終止連接或觸發(fā) MFA 提示。

　　服務(wù)標(biāo)識

　　一項服務(wù)或者更準(zhǔn)確地說，提供一項服務(wù)的軟件——應(yīng)該有自己獨特的身份，并被授予正常運行所需的最低權(quán)限。這包括根據(jù)服務(wù)的身份維護(hù)連接的允許列表，將服務(wù)之間的網(wǎng)絡(luò)通信限制為所需的最小數(shù)量。

　　示例身份驗證方法可能涉及每個服務(wù)的唯一證書。然后可以使用證書身份驗證在構(gòu)成服務(wù)的軟件進(jìn)程之間形成相互的TLS（傳輸層安全）連接。

　　用戶對應(yīng)用程序或容器平臺的訪問應(yīng)聯(lián)合到單個用戶目錄中，并使用策略引擎根據(jù)多個信號授權(quán)訪問。如果滿足策略，策略引擎可以做出訪問決策并釋放令牌。

　　設(shè)備標(biāo)識

　　組織擁有的每臺設(shè)備都應(yīng)在單個設(shè)備目錄中唯一標(biāo)識。這可以實現(xiàn)高效的資產(chǎn)管理，并提供訪問服務(wù)和數(shù)據(jù)的設(shè)備的清晰可見性。

　　定義的零信任策略將使用設(shè)備的合規(guī)性和健康聲明來決定它可以訪問哪些數(shù)據(jù)以及它可以執(zhí)行的操作。需要一個強大的身份來確保這些聲明可以得到驗證。

　　設(shè)備身份的強度取決于設(shè)備類型、硬件和平臺：

　　設(shè)備身份應(yīng)在安全硬件協(xié)處理器（例如 TPM）上與設(shè)備緊密綁定，這將使您對設(shè)備身份充滿信心。應(yīng)盡可能使用密鑰證明來證明身份在安全硬件協(xié)處理器中受到保護(hù)。

　　與基于 TPM 的方法相比，使用基于軟件的密鑰存儲存儲在管理良好的設(shè)備上的身份對設(shè)備身份的信心較低。

　　相對于上述內(nèi)容，基于軟件的密鑰庫中的非托管設(shè)備上的身份對設(shè)備身份的可信度最低。

　　識別來自另一個組織的設(shè)備需要在兩個組織之間建立信任關(guān)系。這應(yīng)該發(fā)生在治理和技術(shù)層面。

　　自帶設(shè)備場景

　　當(dāng)允許來自不擁有和管理的設(shè)備的請求時，識別可能具有挑戰(zhàn)性。BYOD 模型中的設(shè)備仍應(yīng)具有與其相關(guān)聯(lián)的身份以進(jìn)行監(jiān)控，但對該設(shè)備身份的置信度可能會降低。

　　3、零信任原則：評估用戶行為、服務(wù)和設(shè)備健康狀況

　　用戶行為以及服務(wù)或設(shè)備健康狀況是建立對系統(tǒng)安全性的信心的重要指標(biāo)。

　　介紹

　　應(yīng)該持續(xù)監(jiān)控來自用戶和設(shè)備的健康信號，以評估對其可信度的信心。衡量用戶行為和設(shè)備健康狀況有助于對他們的網(wǎng)絡(luò)衛(wèi)生以及他們沒有受到損害有信心。該信息可以輸入到策略引擎中以做出訪問決策，如原則中所述。使用策略來授權(quán)請求。

　　例如，可能想知道用戶嘗試從何處訪問服務(wù)并對設(shè)備的健康狀況充滿信心。然后，這些健康信號可以流入策略引擎以幫助做出訪問決策。

　　為了促進(jìn)這些評估，應(yīng)該擁有用戶、設(shè)備和服務(wù)的單一身份來源。這些應(yīng)該先于資產(chǎn)發(fā)現(xiàn)階段。

　　設(shè)備

　　需要確信訪問的服務(wù)和數(shù)據(jù)的設(shè)備是健康的。這些設(shè)備的健康狀況代表了一些最重要的信號，用于控制對數(shù)據(jù)和服務(wù)的訪問。設(shè)備運行狀況包括遵守設(shè)備配置策略和設(shè)備狀態(tài)。

　　首先，定義配置策略，為設(shè)備實施安全基線。該NCSC的設(shè)備安全指導(dǎo)可以幫助這一點。使用設(shè)備管理服務(wù)，將這些策略應(yīng)用到設(shè)備并強制執(zhí)行。然后不斷檢查設(shè)備是否合規(guī)。

　　可以從平臺上的安全功能狀態(tài)確定設(shè)備健康狀況。例如，是否啟用了安全啟動？是否安裝了最新的操作系統(tǒng)更新？是否啟用了基于虛擬化的安全或系統(tǒng)完整性保護(hù)？

　　更進(jìn)一步，確定設(shè)備固件、啟動過程、端點安全套件和操作系統(tǒng)內(nèi)核的潛在健康狀況是有助于確定整體設(shè)備健康狀況的強信號。證明是實現(xiàn)這一目標(biāo)的一種方式，它獲取設(shè)備狀態(tài)的快照，并聲明硬件和操作系統(tǒng)的不同組件。某些端點安全套件可以提供有助于確定設(shè)備是否值得信賴的信號。

　　如果設(shè)備意外低于所需標(biāo)準(zhǔn)，應(yīng)該確保為合法用戶提供明確且清晰的路徑，使他們的設(shè)備恢復(fù)良好的網(wǎng)絡(luò)健康。如果設(shè)備錯過了一些日常維護(hù)，合法用戶可能會被阻止訪問服務(wù)或數(shù)據(jù)。

　　例如，如果設(shè)備已離線一段時間且未收到操作系統(tǒng)補丁，則應(yīng)為用戶提供更新其設(shè)備的能力和所需的支持，因此它可以被視為合規(guī)。

　　服務(wù)

　　不僅在最終用戶設(shè)備訪問它們時，而且在服務(wù)與其他服務(wù)交談時，還應(yīng)考慮服務(wù)健康狀況。零信任基礎(chǔ)設(shè)施，例如策略引擎和策略執(zhí)行點，也應(yīng)該在這里被視為服務(wù)。

　　服務(wù)應(yīng)配置為使用其本機安全功能滿足我們的零信任原則。例如，通過強制執(zhí)行強身份驗證機制并禁用不支持現(xiàn)代身份驗證的舊協(xié)議。

　　服務(wù)必須與最新的軟件補丁保持同步。還應(yīng)該能夠確定服務(wù)的版本和補丁級別。應(yīng)盡早應(yīng)用修復(fù)漏洞的補丁。

　　需要監(jiān)控的服務(wù)的健康狀況。狀態(tài)的意外變化可能表示未經(jīng)授權(quán)的更改或惡意活動。一些示例信號可能是，確保服務(wù)補丁是最新的并根據(jù)配置策略進(jìn)行配置 - 例如，容器未以特權(quán)用戶身份運行。組成服務(wù)的代碼來源應(yīng)該被驗證為來自可信來源，即代碼交付管道。

　　用戶

　　應(yīng)仔細(xì)考慮用戶訪問服務(wù)和數(shù)據(jù)的行為。可以使用監(jiān)控來定義什么是正常的用戶活動。

　　應(yīng)該定義檢查用戶連接健康狀況的策略。例如，用戶從不同的地理區(qū)域連接到他們通常所在的地方，或者在半夜進(jìn)行活動，可能是意料之外的。

　　通過請求另一個身份驗證因素，可以請求進(jìn)一步的信號，以提高用戶操作的完整性。

　　基礎(chǔ)設(shè)施

　　了解可以作為 IaaS（基礎(chǔ)設(shè)施即服務(wù)）托管在數(shù)據(jù)中心或云中的基礎(chǔ)設(shè)施的健康狀況也將是有利的。

　　這種與健康相關(guān)的信息可能來自監(jiān)控網(wǎng)絡(luò)流量或來自基礎(chǔ)設(shè)施日志記錄的信息。

　　例如，這可以幫助您發(fā)現(xiàn)網(wǎng)絡(luò)上的惡意設(shè)備、向惡意域發(fā)出信號的未經(jīng)授權(quán)的數(shù)據(jù)流，或者可能表明系統(tǒng)中存在惡意軟件的意外進(jìn)程啟動。