每個(gè)對(duì)數(shù)據(jù)或服務(wù)的請(qǐng)求都應(yīng)根據(jù)策略進(jìn)行授權(quán)。

　　介紹

　　零信任架構(gòu)的強(qiáng)大之處在于您定義的訪問(wèn)策略。政策還有助于促進(jìn)與來(lái)賓用戶或合作伙伴組織的數(shù)據(jù)或服務(wù)的風(fēng)險(xiǎn)管理共享。

　　使用支持持續(xù)身份驗(yàn)證和授權(quán)過(guò)程的產(chǎn)品、托管服務(wù)和協(xié)議。

　　示例 - 策略授權(quán)的訪問(wèn)

　　這是一個(gè)用戶訪問(wèn)服務(wù)或公司數(shù)據(jù)的簡(jiǎn)單理論示例，其中包含授權(quán)請(qǐng)求的策略。一個(gè)更深入的例子，擴(kuò)展了授權(quán)過(guò)程中信號(hào)的使用，可以在下面的使用多個(gè)信號(hào)做出訪問(wèn)決策中找到。

　　用戶建立與策略實(shí)施點(diǎn)的連接，這將調(diào)解他們與請(qǐng)求的服務(wù)或數(shù)據(jù)的連接。

　　該策略執(zhí)行點(diǎn)會(huì)查詢策略引擎的訪問(wèn)決定。在向執(zhí)行點(diǎn)提供訪問(wèn)決定之前，策略引擎將根據(jù)訪問(wèn)策略評(píng)估請(qǐng)求。

　　如果訪問(wèn)請(qǐng)求被策略引擎接受，策略執(zhí)行點(diǎn)就會(huì)允許該請(qǐng)求。如果它被策略引擎拒絕，則連接將被丟棄。

　　訪問(wèn)決策正在不斷地實(shí)時(shí)評(píng)估。安全狀態(tài)的變化可能需要終止連接或重新進(jìn)行身份驗(yàn)證。

如何使用策略來(lái)授權(quán)請(qǐng)求取決于部署的零信任技術(shù)。例如，使用托管云服務(wù)的零信任與本地網(wǎng)絡(luò)不同。

　　在某些方法中，使用的名稱和術(shù)語(yǔ)可能與我們上面的示例略有不同。圖片

　　持續(xù)評(píng)估

　　通過(guò)監(jiān)控來(lái)自用戶和設(shè)備的信號(hào)并對(duì)其進(jìn)行持續(xù)評(píng)估來(lái)支持持續(xù)評(píng)估。如果對(duì)其安全性的信心下降，則可能會(huì)在授權(quán)繼續(xù)訪問(wèn)服務(wù)和數(shù)據(jù)之前動(dòng)態(tài)觸發(fā)重新身份驗(yàn)證。

　　無(wú)論如何設(shè)計(jì)零信任架構(gòu)，策略引擎或任何強(qiáng)制執(zhí)行策略的組件都應(yīng)僅在滿足定義的嚴(yán)格策略時(shí)才允許連接。

　　保護(hù)策略引擎

　　必須高度信任任何執(zhí)行您的訪問(wèn)策略的產(chǎn)品或服務(wù)，這一點(diǎn)很重要。應(yīng)該確保架構(gòu)的這些基本元素在設(shè)計(jì)時(shí)考慮了零信任。如果此組件遭到破壞，攻擊者將可以控制誰(shuí)有權(quán)訪問(wèn)數(shù)據(jù)或服務(wù)。

　　重要的是，對(duì)策略引擎的訪問(wèn)僅限于與受信任的策略實(shí)施點(diǎn)或提供信號(hào)的服務(wù)（例如用戶身份服務(wù)）進(jìn)行通信。它不應(yīng)與不受信任的來(lái)源通信，例如未經(jīng)身份驗(yàn)證的最終用戶設(shè)備。

　　當(dāng)策略引擎解析信號(hào)時(shí)，源應(yīng)該來(lái)自相互認(rèn)證的可信和已知實(shí)體。輸入也應(yīng)該在解析之前進(jìn)行驗(yàn)證。這可確保策略引擎不會(huì)消耗任何惡意內(nèi)容。如果使用的策略引擎是托管服務(wù)，則安全解析信號(hào)的過(guò)程很可能是服務(wù)提供商的責(zé)任。

　　保護(hù)導(dǎo)入策略引擎的策略也很重要。限制誰(shuí)可以將策略導(dǎo)入受信任用戶以及能夠?qū)徍撕蛯彶椴呗缘哪芰κ顷P(guān)鍵。

　　使用多個(gè)信號(hào)來(lái)做出訪問(wèn)決策

　　策略決策應(yīng)考慮從歷史信息和實(shí)時(shí)連接信息中獲取的多個(gè)信號(hào)。總之，這些能夠構(gòu)建上下文，因此可以決定是否可以足夠信任訪問(wèn)請(qǐng)求以繼續(xù)。這些信號(hào)被輸入到一個(gè)策略引擎中，因此它可以做出明智的訪問(wèn)決策。

　　使用多個(gè)信號(hào)來(lái)獲得對(duì)訪問(wèn)請(qǐng)求的信心很重要，因?yàn)檫@將提供更多信息進(jìn)行分析，并提供更大的信心，即請(qǐng)求者是真實(shí)的并且他們的設(shè)備處于良好的網(wǎng)絡(luò)健康狀態(tài)。

　　高影響力的操作，例如創(chuàng)建新的管理員級(jí)別用戶，必須滿足嚴(yán)格的策略要求才能被信任。而相對(duì)較低影響的操作，例如查看在線午餐菜單，則必須滿足更寬松的政策要求。

　　示例 - 向策略引擎評(píng)估信號(hào)

　　下圖描述了策略引擎如何評(píng)估多個(gè)信號(hào)的理論示例。信號(hào)和用戶訪問(wèn)（通過(guò)策略執(zhí)行點(diǎn)）由策略引擎持續(xù)評(píng)估。

　　根據(jù)對(duì)零信任的實(shí)施和使用的信號(hào)類型，細(xì)節(jié)可能會(huì)發(fā)生變化，但此處說(shuō)明的原則應(yīng)該是相同的。

　　購(gòu)買零信任技術(shù)

　　在為零信任架構(gòu)選擇技術(shù)時(shí)，請(qǐng)?jiān)u估它們支持的信號(hào)類型以及其他相關(guān)功能，以便與策略引擎兼容。

　　策略引擎可以評(píng)估的一些示例信號(hào)是：

　　用戶的角色

　　用戶的物理位置

　　認(rèn)證因素

　　設(shè)備健康

　　一天中的時(shí)間

　　要訪問(wèn)的服務(wù)的價(jià)值

　　所要求的行動(dòng)的風(fēng)險(xiǎn)

　　基于風(fēng)險(xiǎn)的引擎

　　一些策略引擎將允許創(chuàng)建基于風(fēng)險(xiǎn)的訪問(wèn)策略，可能會(huì)提示額外的信號(hào)以獲得對(duì)連接的更多信心。

　　基于風(fēng)險(xiǎn)的策略引擎會(huì)考慮用戶和設(shè)備的置信度，動(dòng)態(tài)調(diào)整訪問(wèn)策略作為響應(yīng)。例如，假設(shè)用戶在正常工作時(shí)間之外首次嘗試訪問(wèn)高價(jià)值服務(wù)。在這種情況下，策略引擎可能會(huì)要求用戶提供用于身份驗(yàn)證的第二個(gè)因素。

　　其他注意事項(xiàng)

　　拒絕訪問(wèn)

　　當(dāng)訪問(wèn)請(qǐng)求被拒絕時(shí)，請(qǐng)考慮如何通知用戶。太多的信息可能會(huì)幫助攻擊者，太少可能會(huì)挫敗合法用戶。

　　可能會(huì)指出存在身份驗(yàn)證錯(cuò)誤，但不會(huì)通過(guò)說(shuō)“該賬戶不存在”之類的內(nèi)容來(lái)詳細(xì)說(shuō)明失敗的原因。如果沒(méi)有這些線索，攻擊者要枚舉認(rèn)證信息就困難得多。

　　打破玻璃

　　如果出現(xiàn)對(duì)數(shù)據(jù)訪問(wèn)至關(guān)重要的緊急情況，可能需要制定一個(gè)允許建立連接的流程，即使無(wú)法滿足訪問(wèn)策略也是如此。任何使用破玻璃程序的行為都應(yīng)注意共享媒體，例如群組郵箱或共享聊天頻道。這樣就可以發(fā)現(xiàn)任何濫用憑據(jù)的行為并及時(shí)采取行動(dòng)。

　　在這種情況下，需要謹(jǐn)慎管理風(fēng)險(xiǎn)以防止濫用此功能。例如，限制與緊急訪問(wèn)相關(guān)的風(fēng)險(xiǎn)，只允許從個(gè)人用戶帳戶、特定設(shè)備上、指定位置在有限的時(shí)間內(nèi)進(jìn)行此類訪問(wèn)，并且需要最低權(quán)限。

　　可用性

　　一旦定義了管理數(shù)據(jù)和服務(wù)的訪問(wèn)控制的策略，應(yīng)該評(píng)估可用性是否因錯(cuò)誤地阻止合法訪問(wèn)請(qǐng)求而受到影響。

　　首次定義策略后，首先在一小段時(shí)間內(nèi)記錄并不拒絕訪問(wèn)，以確保策略按預(yù)期運(yùn)行。在此評(píng)估期間，定期審核日志并在發(fā)生惡意嘗試訪問(wèn)數(shù)據(jù)或服務(wù)時(shí)立即采取措施非常重要。

　　可能的情況是，需要一個(gè)過(guò)渡期，傳統(tǒng)安全控制措施會(huì)主動(dòng)阻止請(qǐng)求，同時(shí)衡量新違抗策略的有效性。