在零信任網(wǎng)絡(luò)中做出訪問決策時(shí),用戶、服務(wù)和設(shè)備身份是一個(gè)非常重要的因素。
介紹
身份可以代表用戶(人)、服務(wù)(軟件過程)或設(shè)備。在零信任架構(gòu)中,每個(gè)都應(yīng)該是唯一可識(shí)別的。這是決定是否應(yīng)授予某人或某物訪問數(shù)據(jù)或服務(wù)的權(quán)限的最重要因素之一。
這些唯一身份是輸入策略引擎的眾多信號(hào)之一,策略引擎使用此信息做出訪問決策。例如,在允許訪問服務(wù)或數(shù)據(jù)之前,策略引擎可以評(píng)估用戶和設(shè)備身份信號(hào)以確定兩者是否真實(shí)。
用戶、服務(wù)和設(shè)備分配單一身份來源的重要第一步。
用戶身份
組織應(yīng)使用明確的用戶目錄,創(chuàng)建與個(gè)人相關(guān)聯(lián)的帳戶。這可以以虛擬目錄或目錄同步的形式出現(xiàn),以呈現(xiàn)單個(gè)用戶目錄的外觀。
每個(gè)身份都應(yīng)該分配給一個(gè)角色,并且應(yīng)該將其配置為“最低權(quán)限”,因此用戶只能訪問他們執(zhí)行角色所需的內(nèi)容。事實(shí)上,這些特權(quán)通常源自用戶在組織內(nèi)的工作職能。
無論從何處訪問,用戶有一個(gè)單一的身份和登錄來源。這將允許更好的用戶體驗(yàn),但也允許所有服務(wù)具有單一的強(qiáng)身份。
用戶身份服務(wù)應(yīng)該能夠:
創(chuàng)建群組
定義已配置為“最低權(quán)限”的角色
支持強(qiáng)大的現(xiàn)代身份驗(yàn)證方法,例如多因素或無密碼身份驗(yàn)證。
安全地為用戶提供憑據(jù)
啟用對(duì)服務(wù)的聯(lián)合身份驗(yàn)證(例如 SAML 2.0、OAuth 2.0 或 OpenID Connect)
在適用的情況下管理外部服務(wù)中的用戶身份(例如 SCIM 2.0)
支持您的加入者、移動(dòng)者和離開者流程
支持第三方聯(lián)合 ID(接受來自其他受信任的第三方用戶目錄的身份)
遷移
如果有一個(gè)現(xiàn)有目錄,遷移到另一個(gè)目錄需要仔細(xì)規(guī)劃。某些目錄服務(wù)允許在目錄之間導(dǎo)入、同步或聯(lián)合,這將實(shí)現(xiàn)分階段遷移,或者有效地提供共享目錄。
外部訪問
應(yīng)該考慮如何向組織外部的人員提供訪問權(quán)限。服務(wù)可以與外部身份提供者聯(lián)合,以允許訪問適當(dāng)?shù)姆?wù)和數(shù)據(jù)。例如,訪客可以查看午餐菜單,或者承包商只能訪問與其工作相關(guān)的文檔。
身份和身份驗(yàn)證是一個(gè)需要仔細(xì)考慮的廣泛主題。
服務(wù)令牌
服務(wù)不應(yīng)該能夠代表用戶采取無限的行動(dòng)。如果這樣的服務(wù)受到威脅,它將提供對(duì)系統(tǒng)中任何服務(wù)或任何數(shù)據(jù)的高特權(quán)訪問。
為服務(wù)提供適當(dāng)訪問權(quán)限的更好方法是將每個(gè)操作與與用戶身份相關(guān)聯(lián)的范圍和限時(shí)訪問令牌相關(guān)聯(lián)。這樣,如果同一服務(wù)受到損害,對(duì)您的服務(wù)造成的損害將僅限于原始操作的權(quán)限。
如果檢測(cè)到異常行為,用戶和設(shè)備評(píng)估服務(wù)或數(shù)據(jù)的信心水平將會(huì)下降。應(yīng)立即觸發(fā)補(bǔ)救措施,因?yàn)橛捎谟脩艋蛟O(shè)備健康狀況的變化,令牌的可信度低于發(fā)布時(shí)的可信度。一些補(bǔ)救措施的示例是終止連接或觸發(fā) MFA 提示。
服務(wù)標(biāo)識(shí)
一項(xiàng)服務(wù)或者更準(zhǔn)確地說,提供一項(xiàng)服務(wù)的軟件——應(yīng)該有自己獨(dú)特的身份,并被授予正常運(yùn)行所需的最低權(quán)限。這包括根據(jù)服務(wù)的身份維護(hù)連接的允許列表,將服務(wù)之間的網(wǎng)絡(luò)通信限制為所需的最小數(shù)量。
示例身份驗(yàn)證方法可能涉及每個(gè)服務(wù)的唯一證書。然后可以使用證書身份驗(yàn)證在構(gòu)成服務(wù)的軟件進(jìn)程之間形成相互的TLS(傳輸層安全)連接。
用戶對(duì)應(yīng)用程序或容器平臺(tái)的訪問應(yīng)聯(lián)合到單個(gè)用戶目錄中,并使用策略引擎根據(jù)多個(gè)信號(hào)授權(quán)訪問。如果滿足策略,策略引擎可以做出訪問決策并釋放令牌。
設(shè)備標(biāo)識(shí)
組織擁有的每臺(tái)設(shè)備都應(yīng)在單個(gè)設(shè)備目錄中唯一標(biāo)識(shí)。這可以實(shí)現(xiàn)高效的資產(chǎn)管理,并提供訪問服務(wù)和數(shù)據(jù)的設(shè)備的清晰可見性。
定義的零信任策略將使用設(shè)備的合規(guī)性和健康聲明來決定它可以訪問哪些數(shù)據(jù)以及它可以執(zhí)行的操作。需要一個(gè)強(qiáng)大的身份來確保這些聲明可以得到驗(yàn)證。
設(shè)備身份的強(qiáng)度取決于設(shè)備類型、硬件和平臺(tái):
設(shè)備身份應(yīng)在安全硬件協(xié)處理器(例如 TPM)上與設(shè)備緊密綁定,這將使您對(duì)設(shè)備身份充滿信心。應(yīng)盡可能使用密鑰證明來證明身份在安全硬件協(xié)處理器中受到保護(hù)。
與基于 TPM 的方法相比,使用基于軟件的密鑰存儲(chǔ)存儲(chǔ)在管理良好的設(shè)備上的身份對(duì)設(shè)備身份的信心較低。
相對(duì)于上述內(nèi)容,基于軟件的密鑰庫(kù)中的非托管設(shè)備上的身份對(duì)設(shè)備身份的可信度最低。
識(shí)別來自另一個(gè)組織的設(shè)備需要在兩個(gè)組織之間建立信任關(guān)系。這應(yīng)該發(fā)生在治理和技術(shù)層面。
自帶設(shè)備場(chǎng)景
當(dāng)允許來自不擁有和管理的設(shè)備的請(qǐng)求時(shí),識(shí)別可能具有挑戰(zhàn)性。BYOD 模型中的設(shè)備仍應(yīng)具有與其相關(guān)聯(lián)的身份以進(jìn)行監(jiān)控,但對(duì)該設(shè)備身份的置信度可能會(huì)降低。
