0、零信任简介

　　零信任架构是一种系统设计方法，其中消除了对网络的固有信任。

　　相反，假设网络是敌对的，并且每个访问请求都根据访问策略进行验证。

　　对请求可信度的置信度是通过构建上下文来实现的，而上下文又依赖于强身份验证、授权、设备运行状况和所访问数据的价值。

　　如果不确定零信任是否是满足正确网络架构需求，或者如果不熟悉零信任，从现在开始了解应该是一个不错的起点。

　　关键概念

　　网络充满敌意

　　网络应被视为受到威胁，因此具有敌意，意味着需要从网络中删除（固有）信任。

　　在零信任架构中，固有信任从网络中移除。因为连接到网络，不意味着应该能够访问网络上的所有内容。每个访问数据或服务的请求都应根据访问策略进行身份验证和授权。如果连接不满足访问策略，连接将被丢弃。

　　在漏洞中，攻击者在网络上站稳脚跟，然后横向移动攻击是很常见的。因为网络上的所有内容和每个人都可以访问网络的其余部分。在零信任架构中，网络被视为敌对网络，因此每个数据或服务访问请求都会根据访问策略不断进行验证。与传统的围墙花园相比，将改进对攻击者横向移动尝试的监控和检测。

　　但请记住：零信任不会完全消除威胁。

　　动态获得信心

　　如果从网络中删除信任，必须获得对用户、设备和服务的信心。与其在用户、设备或服务连接到网络时拍摄快照并允许产生的权限持续存在，更应该继续评估这些连接的可信度。

　　对于访问服务的用户，必须先建立对用户身份和行为以及设备健康的信任，然后他们才能访问服务。对于相互交互的服务，例如使用 API 进行数据交换，这是通过确保正确的服务相互通信并获得对托管的服务的健康状况的信任来实现的。

　　信任连接所需的信心取决于所访问数据的价值或所请求操作的影响。

　　例如，访问敏感的个人数据可能需要一个访问策略，根据定义的配置策略（如加密、补丁级别和正在启用安全启动。

　　另一方面，组织中的任何人都可以访问低价值数据，例如午餐菜单，无论他们的身份验证强度或设备健康状况如何。

　　术语

　　在讨论零信任架构时，需要了解一些通用的术语。以下是零信任原则中使用的一些术语。

　　这些术语与其他来源紧密结合，在讨论零信任技术时提供帮助。

　　访问策略- 访问请求被信任和授权的要求。

　　配置策略- 描述设备和服务配置选项的策略。

　　信号- 一条信息，如设备运行状况或位置，可用于获得对资产可信度的信心。会经常使用许多信号来决定是否授予对资源的访问权限。

　　策略引擎- 获取信号并将其与访问策略进行比较以确定访问决策的组件。

　　策略执行点- 使用策略引擎来调解用户或设备对服务或数据的请求，以确定是否可以授权请求。

　　设备运行状况- 设备符合配置策略并且处于良好状态的置信度。例如，安装了最新的补丁，或者启用了安全启动等功能。

　　1、零信任原则：了解架构，包括用户、设备、服务和数据

　　在零信任网络模型中，了解用户、设备、服务和数据比以往任何时候都重要。

　　介绍

　　为了从零信任中获益，需要了解架构的每个组件，包括用户、设备以及他们正在访问的服务和数据。

　　正确理解资产很可能涉及资产发现阶段，这是零信任之旅的第一步。在某些环境中，这可能具有挑战性，并且可能涉及使用自动化工具来发现网络上的资产。在其他情况下，可能能够通过遵循非技术程序（例如查询采购记录）来确定您的资产。

　　了解环境中存储了哪些数据、其位置和敏感性也很重要。了解数据及其相关敏感性将有助于制定有效且适当的访问策略，有助于实现使用策略来授权请求。

　　过渡到零信任

　　无论是从具有许多预先存在的服务的已建立系统过渡到零信任架构，还是开始全新的架构部署，资产发现都同样重要。

　　如果在不考虑现有服务的情况下实施零信任架构，它们可能面临更高的风险。这些服务可能不是为敌对的、不受信任的网络设计的，因此将无法保护自己免受攻击。

　　进行风险评估

　　一旦了解了架构，就可以更好地确定新目标架构的风险并确保它们得到缓解。

　　在资产发现阶段之后开始进行风险评估是明智的 ，包括对零信任方法进行威胁建模。此评估可用于帮助了解正在考虑的零信任组件是否会减轻 - 防范 - 所有风险。

　　风险缓解的程度可能取决于资产的重要性和风险偏好。因此，必须评估资产的重要性并为其提供适当的保护措施。

　　如果使用零信任方法无法缓解所有风险，则需要保留当前网络架构中的现有安全控制。

　　2、零信任原则：了解用户、服务和设备身份

　　在零信任网络中做出访问决策时，用户、服务和设备身份是一个非常重要的因素。

　　介绍

　　身份可以代表用户（人）、服务（软件过程）或设备。在零信任架构中，每个都应该是唯一可识别的。这是决定是否应授予某人或某物访问数据或服务的权限的最重要因素之一。

　　这些唯一身份是输入策略引擎的众多信号之一，策略引擎使用此信息做出访问决策。例如，在允许访问服务或数据之前，策略引擎可以评估用户和设备身份信号以确定两者是否真实。

　　用户、服务和设备分配单一身份来源的重要第一步。

　　用户身份

　　组织应使用明确的用户目录，创建与个人相关联的帐户。这可以以虚拟目录或目录同步的形式出现，以呈现单个用户目录的外观。

　　每个身份都应该分配给一个角色，并且应该将其配置为“最低权限”，因此用户只能访问他们执行角色所需的内容。事实上，这些特权通常源自用户在组织内的工作职能。

　　无论从何处访问，用户有一个单一的身份和登录来源。这将允许更好的用户体验，但也允许所有服务具有单一的强身份。

　　用户身份服务应该能够：

　　创建群组

　　定义已配置为“最低权限”的角色

　　支持强大的现代身份验证方法，例如多因素或无密码身份验证。

　　安全地为用户提供凭据

　　启用对服务的联合身份验证（例如 SAML 2.0、OAuth 2.0 或 OpenID Connect）

　　在适用的情况下管理外部服务中的用户身份（例如 SCIM 2.0）

　　支持您的加入者、移动者和离开者流程

　　支持第三方联合 ID（接受来自其他受信任的第三方用户目录的身份）

　　迁移

　　如果有一个现有目录，迁移到另一个目录需要仔细规划。某些目录服务允许在目录之间导入、同步或联合，这将实现分阶段迁移，或者有效地提供共享目录。

　　外部访问

　　应该考虑如何向组织外部的人员提供访问权限。服务可以与外部身份提供者联合，以允许访问适当的服务和数据。例如，访客可以查看午餐菜单，或者承包商只能访问与其工作相关的文档。

　　身份和身份验证是一个需要仔细考虑的广泛主题。

　　服务令牌

　　服务不应该能够代表用户采取无限的行动。如果这样的服务受到威胁，它将提供对系统中任何服务或任何数据的高特权访问。

　　为服务提供适当访问权限的更好方法是将每个操作与与用户身份相关联的范围和限时访问令牌相关联。这样，如果同一服务受到损害，对您的服务造成的损害将仅限于原始操作的权限。

　　如果检测到异常行为，用户和设备评估服务或数据的信心水平将会下降。应立即触发补救措施，因为由于用户或设备健康状况的变化，令牌的可信度低于发布时的可信度。一些补救措施的示例是终止连接或触发 MFA 提示。

　　服务标识

　　一项服务或者更准确地说，提供一项服务的软件——应该有自己独特的身份，并被授予正常运行所需的最低权限。这包括根据服务的身份维护连接的允许列表，将服务之间的网络通信限制为所需的最小数量。

　　示例身份验证方法可能涉及每个服务的唯一证书。然后可以使用证书身份验证在构成服务的软件进程之间形成相互的TLS（传输层安全）连接。

　　用户对应用程序或容器平台的访问应联合到单个用户目录中，并使用策略引擎根据多个信号授权访问。如果满足策略，策略引擎可以做出访问决策并释放令牌。

　　设备标识

　　组织拥有的每台设备都应在单个设备目录中唯一标识。这可以实现高效的资产管理，并提供访问服务和数据的设备的清晰可见性。

　　定义的零信任策略将使用设备的合规性和健康声明来决定它可以访问哪些数据以及它可以执行的操作。需要一个强大的身份来确保这些声明可以得到验证。

　　设备身份的强度取决于设备类型、硬件和平台：

　　设备身份应在安全硬件协处理器（例如 TPM）上与设备紧密绑定，这将使您对设备身份充满信心。应尽可能使用密钥证明来证明身份在安全硬件协处理器中受到保护。

　　与基于 TPM 的方法相比，使用基于软件的密钥存储存储在管理良好的设备上的身份对设备身份的信心较低。

　　相对于上述内容，基于软件的密钥库中的非托管设备上的身份对设备身份的可信度最低。

　　识别来自另一个组织的设备需要在两个组织之间建立信任关系。这应该发生在治理和技术层面。

　　自带设备场景

　　当允许来自不拥有和管理的设备的请求时，识别可能具有挑战性。BYOD 模型中的设备仍应具有与其相关联的身份以进行监控，但对该设备身份的置信度可能会降低。

　　3、零信任原则：评估用户行为、服务和设备健康状况

　　用户行为以及服务或设备健康状况是建立对系统安全性的信心的重要指标。

　　介绍

　　应该持续监控来自用户和设备的健康信号，以评估对其可信度的信心。衡量用户行为和设备健康状况有助于对他们的网络卫生以及他们没有受到损害有信心。该信息可以输入到策略引擎中以做出访问决策，如原则中所述。使用策略来授权请求。

　　例如，可能想知道用户尝试从何处访问服务并对设备的健康状况充满信心。然后，这些健康信号可以流入策略引擎以帮助做出访问决策。

　　为了促进这些评估，应该拥有用户、设备和服务的单一身份来源。这些应该先于资产发现阶段。

　　设备

　　需要确信访问的服务和数据的设备是健康的。这些设备的健康状况代表了一些最重要的信号，用于控制对数据和服务的访问。设备运行状况包括遵守设备配置策略和设备状态。

　　首先，定义配置策略，为设备实施安全基线。该NCSC的设备安全指导可以帮助这一点。使用设备管理服务，将这些策略应用到设备并强制执行。然后不断检查设备是否合规。

　　可以从平台上的安全功能状态确定设备健康状况。例如，是否启用了安全启动？是否安装了最新的操作系统更新？是否启用了基于虚拟化的安全或系统完整性保护？

　　更进一步，确定设备固件、启动过程、端点安全套件和操作系统内核的潜在健康状况是有助于确定整体设备健康状况的强信号。证明是实现这一目标的一种方式，它获取设备状态的快照，并声明硬件和操作系统的不同组件。某些端点安全套件可以提供有助于确定设备是否值得信赖的信号。

　　如果设备意外低于所需标准，应该确保为合法用户提供明确且清晰的路径，使他们的设备恢复良好的网络健康。如果设备错过了一些日常维护，合法用户可能会被阻止访问服务或数据。

　　例如，如果设备已离线一段时间且未收到操作系统补丁，则应为用户提供更新其设备的能力和所需的支持，因此它可以被视为合规。

　　服务

　　不仅在最终用户设备访问它们时，而且在服务与其他服务交谈时，还应考虑服务健康状况。零信任基础设施，例如策略引擎和策略执行点，也应该在这里被视为服务。

　　服务应配置为使用其本机安全功能满足我们的零信任原则。例如，通过强制执行强身份验证机制并禁用不支持现代身份验证的旧协议。

　　服务必须与最新的软件补丁保持同步。还应该能够确定服务的版本和补丁级别。应尽早应用修复漏洞的补丁。

　　需要监控的服务的健康状况。状态的意外变化可能表示未经授权的更改或恶意活动。一些示例信号可能是，确保服务补丁是最新的并根据配置策略进行配置 - 例如，容器未以特权用户身份运行。组成服务的代码来源应该被验证为来自可信来源，即代码交付管道。

　　用户

　　应仔细考虑用户访问服务和数据的行为。可以使用监控来定义什么是正常的用户活动。

　　应该定义检查用户连接健康状况的策略。例如，用户从不同的地理区域连接到他们通常所在的地方，或者在半夜进行活动，可能是意料之外的。

　　通过请求另一个身份验证因素，可以请求进一步的信号，以提高用户操作的完整性。

　　基础设施

　　了解可以作为 IaaS（基础设施即服务）托管在数据中心或云中的基础设施的健康状况也将是有利的。

　　这种与健康相关的信息可能来自监控网络流量或来自基础设施日志记录的信息。

　　例如，这可以帮助您发现网络上的恶意设备、向恶意域发出信号的未经授权的数据流，或者可能表明系统中存在恶意软件的意外进程启动。