面向IAM的零信任原则与指南报告

由CSA发布了《面向IAM的零信任原则与指南报告》这篇报告。以下是对该报告的部分摘录，完整内容请获取原文查看。身份及身份相关的属性，以及其他零信任（ZT）标识（零信任中关于身份的其他属性）是零信任架构的关键原则之一。

1.身份识别的实体和属性

身份是构建零信任安全架构的一个至关重要的因素，因为它提供了属性和标识用于验证和授予资源访问权限。 在零信任模型中，一个请求不会基于位置、网络或资产所有权来而被默认是可信的，而是使用多因素来进行明确地验证。比如发出请求的实体、行为、生物特征、加密签名验证、位置、设备健康状况、操作系统健康状况等。每个因素（理想情况下）都应具有已知的评判标准。 在评估身份属性和标识之后，根据上下文感知和风险评估作出是否允许访问的决策。这意味着可以根据请求的风险和验证的需要进行调整，验证很少是一次性事件，而是一个持续的过程。理想情况下，所有访问都应遵循最小权限原则。通过运用零信任原则，组织可以减少攻击面，降低遭受入侵的风险，同时提升员工的生产力和灵活性。

基于上下文，系统可以强制执行基于风险的细粒度访问控制策略，并应用自适应授权机制，以确保只有正确的实体在正确的时间、正确的条件下访问正确的资源。这减少了攻击面，降低了身份和凭证被盗窃的风险，并且可以提升用户的整体体验。 在任何零信任架构中的挑战在于，正确管理组织中真正具有权威性的实体和属性的数据。同样重要的是，确保组织及其拥有管理权限的系统（如云系统）能够从其权威身份来源中获取具有已知可信度的受信任身份属性和标识。

2.身份验证与确认

当一个组织的零信任解决方案中使用具有权威性的身份属性和标识时，那么用于管理和维护这些属性和标识的流程的可靠性变得至关重要。如果没有使用经过验证的可靠流程，那么该组织可能无法获得需要使用或依赖这些身份属性和标识的第三方权威信任。

在这个方案实施过程中，将基于环境中数据源、资产、应用程序和服务（DAAS）组件进行风险控制。这意味着要求每个 DAAS 组件应该提供相应的验证和确认流程。

3.决策因子

根据 NIST SP 800-207 所示，最基本的决策因子如下图所示。请注意，这些决策因子不需要全部来自同一实体（例如，供应商、提供者、技术栈等）。然而，每个信息源的真实性应该是（在密码学上）可验证的，它产生的决策因子必须是可靠的、可扩展的和防篡改的，并且在风险决策过程中拥有可信任程度以供决策使用。根据风险等级，可能需要更多的决策因子来提供更高级别的上下文认知判断，例如动态用户行为（例如击键模式）或特殊需求（如深度数据包检查）。请注意，下面的图表是一个信任算法。信任算法是策略执行点授予或拒绝访问的过程。信任算法的输出取决于从资源（如访问请求、资产数据库等）接收到的决策因子和输入.

这个组件很可能由第三方服务而非企业的控制。 决策规则：五个 W，有时称为五个 W 和一个 How，即5W1H，或六个W或者 Kipling 方法，可以用于通过规则引擎在授权过程中获得至少6 个维度的上下文信息。 NIST SP 800-207 描述了，用于提供基于上下文的授权方案中的核心零信任组件包括（规则引擎 → 策略引擎，策略管理，策略执行点，信任算法）。每个受保护面（例如，要使用零信任保护的单个 DAAS 组件）将分别具有上行和下行的流量。该流量可能前往公共网络、员工，或者前往另一个受保护面，比如数据库、服务器或 API。 每个进出受保护面的出站和入站数据包必须根据规则引擎进行验证，根据这些决策因子（谁、什么、何时、何地、为什么、如何）正确组合的策略。规则引擎可以接收与用户行为、设备状况、深度数据包检查结果、DLP 结果等相关的决策因子。 零信任授权流程中的规则引擎将利用其算法，在 OSI 模型的所有层次上实现上下文感知的访问控制。

记录每个受保护面、每个用例中的这些决策因子及其相应的策略代码的目标是为了让安全工程师能够便捷地为特定的受保护面，设计、实施、测试和版本管理零信任的上下文感知的访问控制。 上述图片旨在清晰的展示如何将决策因子定义便捷地转化为策略代码。这些策略代码随后可以容易地被现有的规则引擎所使用.

4.基于策略的授权

在零信任（ZT）中，我们寻求基于风险的访问控制，这包含了传统的基于角色的访问控制（RBAC）和基于属性的访问控制（ABAC）的概念，但远不止于这些概念，这些概念通常依赖于组织管理的单一可信权威身份源。无论如何，在设计零信任架构时，从零信任的角度审视现有的和新的身份和访问管理解决方案至关重要。 策略提供了授权的第一个接触点。策略基于请求者和资源之间的交互流程。在零信任解决方案上实施时，应该创建精细的策略。例如，实体A 被允许在标准时间的上午 9:00 到下午 5:00 之间，从一个已定义的设备访问资源B。策略在零信任环境中定义了明确的授权方式，并通过与DAAS 业务系统相关的决策因子进行访问控制和策略决策，这些策略接收多个来源中的决策因子，其中一个来源可能是身份提供商（IdP）。

5.业务价值

注：本节不涵盖零信任的通用业务价值。有关更多详细信息，请参阅《传达零信任的商业价值》。与零信任相关的身份业务价值如下所示：在零信任环境中，基于身份来控制对数据或系统（资源授权）的访问可以提供以下几个业务优势：

提高安全性：通过基于身份控制对资源的访问，组织可以减少未经授权访问敏感数据和资源的风险，避免最小化横向移动，从而减少系统被攻击和数据泄露的潜在风险。

提高合规性：相关法规和标准，如 HIPAA 和 GDPR，要求组织实施强大的访问控制以保护敏感资源。通过使用一系列精细的授权规则，组织可以明确地证明满足这些合规要求。

减少摩擦：通过实施基于身份的授权控制，实体可以获得更平滑和安全的访问体验，无需反复输入凭据或浏览多个控制层（网关）。

提高敏捷性：通过将业务访问需求和身份访问控制进行对应匹配，组织可以更快速、更轻松地适应业务环境的变化，比如新员工加入组织或部署新应用程序。如果实施准确，可允许来自组织外部的实体（简单直接地）访问允许的系统和数据，无需创建“虚拟”用户或实施特殊的网关或其他访问控制层。

提高生产力：通过将业务访问需求和身份访问控制进行对应匹配，用户应自动获得所需的访问权限，以便能够高效工作（仅限于此）。而无需获得IT 部门的访问资源许可。

 降低成本：通过减少未经授权的访问尝试次数，组织可以减少安全事件、数据泄露和勒索软件攻击事件的潜在和实际的相关成本。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）