如何在零信任中建立用戶信任
我是誰?我從哪里來?我要到哪里去?這三大人生哲學(xué)問題,歷經(jīng)千年,答案紛紜。
從唯物主義來看,“我”是客觀存在的一種物質(zhì);從唯心主義來看,“我”決定一切。
個(gè)人崇尚對(duì)所擁有物品(包括實(shí)體的、虛擬的)具有生殺予奪的無限權(quán)力。
但在數(shù)字世界,一旦與外界發(fā)生聯(lián)系,你所絕對(duì)擁有的東西便具有了一定的社會(huì)屬性。任何與網(wǎng)絡(luò)發(fā)生了關(guān)系的事物,都脫離了純粹的“專屬”。原本完完全全屬于個(gè)人的,發(fā)生了徹底的改變。準(zhǔn)確的說,原本完完全全屬于那時(shí)那地的那個(gè)你,至于未來某時(shí)、某地,現(xiàn)在時(shí)候的你并不一定擁有原來的權(quán)限。以個(gè)人照片為例,個(gè)人照片通常存儲(chǔ)于個(gè)人手機(jī)中,當(dāng)手機(jī)與云空間同步后,照片的增刪改就不再那么的絕對(duì)。
那再回到“我是誰”的問題,我究竟是誰?
翻看照片,回首往事,感慨變化之大之余,我們是不是也會(huì)有些疑問。現(xiàn)在的我究竟是不是原來的我?我究竟是誰?當(dāng)生命的時(shí)間有了多個(gè)維度,并且能夠在過去與未來自由反復(fù)時(shí),“我”也只會(huì)成為時(shí)間維度上的一個(gè)點(diǎn)。
數(shù)字世界,我們的行為更方便的被記錄下來,時(shí)間過去維度得到了無限充實(shí),現(xiàn)實(shí)中的照片記憶點(diǎn)逐漸變成視頻時(shí)間段、操作時(shí)間段。“我”的過去逐漸被完整定義。“我”的未來將由“我”的過去以及”我“的現(xiàn)在來決定。這種決定過程,幾乎能抹殺一切非線性。這意味著,打通任督二脈的事情在數(shù)字世界不可能發(fā)生,偶然發(fā)現(xiàn)九陽真經(jīng)的事情也不可能發(fā)生;當(dāng)然猛然中風(fēng)、精神失常在數(shù)字世界也不會(huì)存在。在數(shù)字世界,一切的一切都是有征兆的、有理由的、有依據(jù)的。
一、零信任
2010年,F(xiàn)orrester的首席分析師John Kindervag提出了零信任框架模型,這一模型在Google的BeyondCorp項(xiàng)目中得到應(yīng)用。Google是第一個(gè)將零信任架構(gòu)模型落地的公司。
零信任是將網(wǎng)絡(luò)防御的邊界縮小到單個(gè)資源。其核心思想是系統(tǒng)不應(yīng)自動(dòng)信任任何人,不管是內(nèi)部的還是外部的,不根據(jù)物理或網(wǎng)絡(luò)位置對(duì)用戶授予完全可信的權(quán)限。系統(tǒng)在授權(quán)前對(duì)任何試圖接入系統(tǒng)的主體進(jìn)行驗(yàn)證。其本質(zhì)是以身份為中心進(jìn)行訪問控制。
簡(jiǎn)而言之,零信任的策略就是不相信任何人。除非確認(rèn)接入者現(xiàn)在的身份,否則誰都無法接入,即便接入也無法實(shí)現(xiàn)對(duì)資源的訪問。
與傳統(tǒng)的安全策略不同,零信任框架中用戶的訪問權(quán)限不受地理位置的影響。零信任在訪問主體與客體之間構(gòu)建以身份為基石的動(dòng)態(tài)可信訪問控制體系,基于網(wǎng)絡(luò)所有參與實(shí)體的數(shù)字身份,對(duì)默認(rèn)不可信的所有訪問請(qǐng)求進(jìn)行加密、認(rèn)證和強(qiáng)制授權(quán),匯聚關(guān)聯(lián)各種數(shù)據(jù)源進(jìn)行持續(xù)信任評(píng)估,并根據(jù)信任程度動(dòng)態(tài)對(duì)權(quán)限進(jìn)行調(diào)整,最終在訪問主體和訪問客體之間建立動(dòng)態(tài)信任關(guān)系。
零信任以盡可能接近于人的真實(shí)身份來定義數(shù)據(jù)訪問,定義某個(gè)人或者某個(gè)身份可以訪問的特定的數(shù)據(jù),或者定義特定的數(shù)據(jù)可以被特定的身份訪問。
零信任的用戶認(rèn)證模型是通過“我”的過去實(shí)現(xiàn)第一重認(rèn)證,允許“我”的接入,通過“我”的現(xiàn)在實(shí)現(xiàn)第二重認(rèn)證,允許“我”對(duì)資源的訪問,通過兩重認(rèn)證,來綜合決定“我”我的未來,即資源的訪問權(quán)限。
二、我的過去
我的過去通過我所擁有的、我所知道的以及我的本質(zhì)特性來定義,依據(jù)這些信息生成網(wǎng)絡(luò)世界中的數(shù)字憑證。
(1)憑證的初始化
現(xiàn)實(shí)中每個(gè)人都有身份證。在網(wǎng)絡(luò)中,身份就是用戶所對(duì)應(yīng)的數(shù)字個(gè)體標(biāo)識(shí)。數(shù)字個(gè)體標(biāo)識(shí)并非唯一,不同場(chǎng)景有不同的數(shù)字個(gè)體標(biāo)識(shí)。非正式身份標(biāo)識(shí),如昵稱等,常用于小團(tuán)體中,個(gè)體之間的信任程度相對(duì)較高,或者安全要求低,價(jià)值數(shù)字資產(chǎn)少的場(chǎng)景。存在如下問題:用戶可以創(chuàng)建虛假身份;用戶可以假冒他人身份;單個(gè)用戶可以創(chuàng)建多個(gè)身份;多個(gè)用戶可以共享同一身份。權(quán)威身份用于系統(tǒng)需要安全性更高的身份時(shí)的場(chǎng)景,相關(guān)機(jī)構(gòu)為個(gè)體創(chuàng)建權(quán)威身份憑證。
現(xiàn)實(shí)世界中,個(gè)人使用政府頒發(fā)的ID(如駕照)作為身份憑證。風(fēng)險(xiǎn)較高場(chǎng)景下,需要根據(jù)政府?dāng)?shù)據(jù)庫交叉核驗(yàn)身份憑證,進(jìn)一步增強(qiáng)安全保障。計(jì)算機(jī)系統(tǒng)也需要一個(gè)權(quán)威中心負(fù)責(zé)用戶身份管理,如同現(xiàn)實(shí)世界,授予用戶不同強(qiáng)度的身份憑證。依據(jù)風(fēng)險(xiǎn)等級(jí)的不同,可能還需要根據(jù)數(shù)據(jù)庫信息交叉核驗(yàn)。
用戶身份的認(rèn)證很重要。數(shù)字化身份的產(chǎn)生以及身份與人的初始關(guān)聯(lián)都是非常敏感的操作。對(duì)實(shí)體人的驗(yàn)證機(jī)制必須足夠強(qiáng),以防攻擊者偽裝成新員工獲取系統(tǒng)身份。當(dāng)用戶無法提供身份憑證時(shí),賬號(hào)恢復(fù)程序同樣需要足夠強(qiáng)的認(rèn)證控制來確保實(shí)體人身份的合法性。初始認(rèn)證,應(yīng)該首選政府頒發(fā)的身份憑證。通常,創(chuàng)建數(shù)字身份之前需要繁雜的人工認(rèn)證流程,信任的建立是基于一個(gè)已知的可信人員對(duì)待開通身份的人員的信息了解,這種間接的信任關(guān)系是后續(xù)人工認(rèn)證和身份創(chuàng)建的基礎(chǔ)。在零信任網(wǎng)絡(luò)中,人工認(rèn)證的可信度很高,但不是唯一的認(rèn)證機(jī)制。在創(chuàng)建數(shù)字身份之前,有許多信息可以獲取。這些信息是認(rèn)證數(shù)字身份的關(guān)鍵要素。這些信息可以是用戶使用的語言、家庭住址等等其他信息。
(2)憑證的存儲(chǔ)
用戶憑證產(chǎn)生后,通過用戶目錄記錄用戶相關(guān)信息。用戶目錄是后續(xù)所有認(rèn)證的基礎(chǔ)。包括用戶名、電話號(hào)碼、組織角色,還包括擴(kuò)展信息,如用戶地址或X.509證書公鑰。用戶信息極其敏感,一般用幾個(gè)相互隔離的數(shù)據(jù)庫代替單一數(shù)據(jù)庫來存儲(chǔ)所有用戶信息。數(shù)據(jù)庫僅能通過受限的API接口訪問,從而限制信息的暴露范圍。用戶目錄的準(zhǔn)確性對(duì)于零信任網(wǎng)絡(luò)的安全至關(guān)重要。新老用戶交替,需要及時(shí)更新用戶目錄。專業(yè)的身份源系統(tǒng)(如LDAP或本地用戶賬號(hào))可以與企業(yè)的人員信息系統(tǒng)打通,從而在企業(yè)人員變動(dòng)時(shí),及時(shí)更新相關(guān)信息。分離的身份源系統(tǒng),需要選定一個(gè)權(quán)威身份原系統(tǒng)記錄身份,其他身份源系統(tǒng)從該系統(tǒng)獲取所需的權(quán)威數(shù)據(jù)。
記錄系統(tǒng)只需要存儲(chǔ)可以識(shí)別個(gè)人身份的關(guān)鍵性信息,比如只存儲(chǔ)用戶名或其他簡(jiǎn)單的個(gè)人信息,以便用戶忘記憑證時(shí)恢復(fù)身份。
(3)身份認(rèn)證
認(rèn)證在零信任網(wǎng)絡(luò)中是強(qiáng)制行為,需要同時(shí)兼顧安全性和便捷性。當(dāng)安全性以便捷性為代價(jià),用戶很可能會(huì)想方設(shè)法削弱甚至破壞安全機(jī)制。認(rèn)證用戶是通過系統(tǒng)驗(yàn)證用戶是否為聲稱的那個(gè)人。不同等級(jí)的服務(wù)有不同等級(jí)的認(rèn)證。比如登錄音樂訂閱服務(wù)僅需要密碼,但是登錄投資賬戶不僅需要密碼,還需要額外的驗(yàn)證碼。用戶可以通過額外的認(rèn)證方式提高信任等級(jí)。如果一個(gè)用戶的信任評(píng)分低于當(dāng)前訪問請(qǐng)求的最低信任評(píng)分,此時(shí)需要進(jìn)行額外的認(rèn)證,如果通過認(rèn)證,用戶的信任等級(jí)將提升至請(qǐng)求要求的水平。認(rèn)證的目的是獲取信任,應(yīng)根據(jù)期望的信任等級(jí)設(shè)定認(rèn)證需求機(jī)制。通過設(shè)置信任評(píng)分閾值來驅(qū)動(dòng)認(rèn)證流程和需求。系統(tǒng)可以選取任意的認(rèn)證方式進(jìn)行組合以滿足信任評(píng)分要求,掌握每種認(rèn)證方式的可信度及可訪問信息的敏感度,有助于設(shè)計(jì)對(duì)攻擊更免疫的系統(tǒng),自適應(yīng)的按需認(rèn)證和授權(quán)。
傳統(tǒng)認(rèn)證模式基于邊界安全的思想,分出一個(gè)高度敏感的數(shù)據(jù)區(qū)域,對(duì)其進(jìn)行盡可能高的強(qiáng)認(rèn)證,即便用戶之前已經(jīng)做過一定的認(rèn)證并且積累了足夠的信任度。這種認(rèn)證模式下,一旦用戶取得了數(shù)據(jù)區(qū)域的授權(quán),就能不受任何限制的操作,不再有其他安全機(jī)制進(jìn)行保護(hù)。
(4)憑證的遺失
現(xiàn)實(shí)世界中,憑證可能丟失或者被盜。如果遺失了政府頒發(fā)的身份憑證,政府機(jī)構(gòu)通常需要個(gè)人提供其他相關(guān)身份信息(如出生證明或指紋),以重新頒發(fā)身份憑證。計(jì)算機(jī)系統(tǒng)處理機(jī)制類似,通過其他驗(yàn)證方式為用戶頒發(fā)身份憑證。但是驗(yàn)證方式和驗(yàn)證材料的選取不當(dāng)可能會(huì)誘發(fā)安全隱患。
三、我的現(xiàn)在
- 如何判斷操作某臺(tái)計(jì)算機(jī)的用戶一定是預(yù)期中的合法用戶?
- 如果合法用戶忘記鎖屏或者個(gè)人疏忽導(dǎo)致他人濫用怎么辦?
對(duì)于保護(hù)數(shù)據(jù),正常的訪問數(shù)據(jù)行為是可以被定義和窮盡的。因此,可以限定安全訪問的行為范圍,任何限定范圍之外的行為都是不合規(guī)、不安全的。此外,通過對(duì)歷史訪問行為的學(xué)習(xí),可以對(duì)正常訪問進(jìn)行特征畫像,不符合正常訪問特征的訪問行為都是不合規(guī)的。
四、我的未來
針對(duì)對(duì)數(shù)字資產(chǎn)(包括數(shù)據(jù)、應(yīng)用等)的訪問權(quán)限,NIST提出了三個(gè)邏輯組件來動(dòng)態(tài)授權(quán)和認(rèn)證:
- 策略引擎(Plolicy Engine,PE),負(fù)責(zé)確定授權(quán)
- 策略管理員(Policy Administrator,PA),根據(jù)策略引擎的結(jié)果建立或管理通往資源的通信路徑。
- 策略執(zhí)行點(diǎn)(Policy Enforcement Point,PEP),位于請(qǐng)求主體和目標(biāo)資源之間,啟用、監(jiān)測(cè)和終止連接。
訪問主體在PEP進(jìn)行認(rèn)證和授權(quán),策略決策點(diǎn)(Policy Decision Point)對(duì)認(rèn)證后的身份執(zhí)行相應(yīng)的策略,身份認(rèn)證和授權(quán)均在訪問之前執(zhí)行。數(shù)據(jù)平面的PEP在運(yùn)行時(shí)對(duì)系統(tǒng)進(jìn)行持續(xù)監(jiān)測(cè),以確保持續(xù)的合規(guī)性和治理控制。
五、零信任的用戶信任案例
在騰訊安全發(fā)布的《零信任接近方案白皮書》中詳細(xì)描述了騰訊零信任解決方案的用戶信任的建立方式。
首先,有多種認(rèn)證方式來確保用戶可信:如企業(yè)微信掃碼、Token雙因子認(rèn)證、生物認(rèn)證等。用戶身份與企業(yè)本地身份、域身份以及自定義賬號(hào)體系靈活適配。在用戶體驗(yàn)上,通過應(yīng)用系統(tǒng)單點(diǎn)登錄(SSO),讓應(yīng)用使用更加便捷。
其次,訪問主體的信任評(píng)估持續(xù)進(jìn)行,并伴隨整個(gè)訪問過程。一旦評(píng)估異常,訪問權(quán)限動(dòng)態(tài)自動(dòng)調(diào)整,保證業(yè)務(wù)訪問的最小權(quán)限。受控終端訪問策略直接控制終端發(fā)起的應(yīng)用進(jìn)程,訪問網(wǎng)關(guān)根據(jù)訪問控制策略對(duì)訪問流量進(jìn)行二次校驗(yàn),確保人-應(yīng)用-訪問目標(biāo)合法,確保訪問主體行為合法。
用戶可信識(shí)別提供用戶全生命周期的身份管理和多因素身份認(rèn)證能力。針對(duì)用戶/用戶組制定網(wǎng)絡(luò)訪問權(quán)限策略。在設(shè)備接入前,對(duì)用戶進(jìn)行業(yè)務(wù)權(quán)限授權(quán),非授權(quán)的業(yè)務(wù)資源完全不可見,做到最小特權(quán)。在設(shè)備接入后,持續(xù)驗(yàn)證所有用戶的身份,提供包括企業(yè)微信掃碼、LDAP認(rèn)證、域認(rèn)證、Token雙因子認(rèn)證在內(nèi)的多種身份驗(yàn)證方式。通過身份可信識(shí)別能力實(shí)現(xiàn)合法的用戶使用合法的終端,使合法的應(yīng)用對(duì)保護(hù)資產(chǎn)進(jìn)行合法的訪問。
六、小結(jié)
零信任對(duì)網(wǎng)絡(luò)安全進(jìn)行了重構(gòu),無邊界的網(wǎng)絡(luò)、基于可信的身份、動(dòng)態(tài)授權(quán)、持續(xù)信任評(píng)估成為新的安全理念。在零信任網(wǎng)絡(luò)中,每個(gè)訪問主體都有自己的身份。訪問主體的訪問權(quán)限,由數(shù)字憑證和主體行為動(dòng)態(tài)確定。換句話說,現(xiàn)在的我才是真的我。
