如何打造零信任时代的身份管理系统？

疫情期间，我们骤然发现自己添了很多“身份证明”：小区出入证，公司大厦出入证，健康宝无异常证明，运营商的 14 日出行轨迹证明……个人日常生活不再笼统，而是分裂成无数场景，在不同场景下验证不同的“身份”；换个角度，疫情安全防控本质的初始是个人身份的验证和出入授权。这对于现代企业的信息安全防控与管理而言，有何启发？

一、零信任与身份管理

零信任是一个安全概念，自 2010 年提出后，近年来逐渐由理论走向实践。它认为由于网络流量的不可信因素，使得网络环境中的人、事和物之间的连接变得脆弱，易受到外部或内部环境的攻击，因此企业不应该自动信任内部或外部的任何人/事/物，应在授权前对任何试图访问企业系统的人/事/物进行验证，严格执行访问控制。

零信任出现的一个关键背景是，传统基于网络边界构建的“防火墙”式安全防护机制短板凸显，对云计算时代的内外部恶意攻击无力应对，因而需要引导安全体系架构从「网络中心化」走向「身份中心化」。

一方面，随着企业应用开始上云，网络环境日趋复杂，企业人员流动日益频繁，传统防火墙机制在面对外部用户裸奔访问公有云服务等潜在危险时显得无力应对，网络环境中用户、设备、应用、以及 IT 资源之间的连接被暴露在高风险环境中；另一方面，企业很难对内部员工的网络环境、应用操作行为进行精准识别和判断，缺少较强的认证机制，误操作、违规操作极难被监控，尤其最近疫情期间的远程办公环境下，这类问题集中暴露，甚至引发了一些严重的安全事故。

而围绕「身份」构建的零信任安全体系，基于权限最小化原则进行设计，根据访问的风险等级进行动态身份认证和授权，可以有效减少企业内外部安全隐患。也可以说，零信任的本质就是基于身份的访问控制，即确保正确的用户可以被分配到正确的访问权限，可以在正确的情境下对正确的 IT 资源进行访问，并且用户的访问权限会被持续进行评估，最终确保访问授权的正确性和安全性。

目前零信任领域有多种流派，比如 Forrester 的 ZTX、Google 的 BeyondCorp、Gartner 提出的 CARTA，但是无论哪一种方案实现，身份管理都是其中最核心不变的安全需求。

二、零信任身份管理系统的设计原则

设计零信任框架下的身份管理系统，有两个重要的先行工作。首先，要把所有的数据资源和计算服务都当做「资源」来对待，比如小内存设备、员工自携设备等，其次，要确保任意网络之间的连接是安全可信的，来自任意网络的访问请求都应该满足相同的安全性要求，并通过加密或是认证的方式进行可信认证。

接下来再谈谈身份管理系统设计的三个原则。

1. 在建立连接基础上，再对单个企业资源进行授权访问。

在对访问请求进行授权之前需要先对访问用户的身份进行信任判断，也就是说只有提前和企业 IT 资源建立连接关系的用户所发起的访问请求才可以被允许。同时，该用户只允许访问请求的单个资源，不允许访问其他资源。

2. 资源访问授权是基于上下文属性的策略组合。

企业只有对资源、用户、以及用户和资源访问授权的对应关系有清晰的定义，才可以对其所拥有资源进行更好的保护，因此资源访问授权应结合企业商业流程需求，根据上下文属性分析得出对应的风险等级并自动唤起授权策略。上下文属性包括可以观测到的用户身份状态、发起访问请求的应用系统的状态，以及其他一些行为属性。用户身份状态一般包括其所使用的账号以及相关属性；发起访问请求的应用系统的状态包括比如软件安装版本等设备特征、所处网络位置、历史行为和安装证书等；行为属性则包括自动化的用户和设备分析，以及观测模型存在的测量偏差。

3. 严格执行动态的用户身份认证。

企业可以配备自动化的账号生命周期系统来对用户资源访问授权进行管理，并通过配备多因素认证（MFA）能力来增加安全认证防护。在用户与资源进行互动的过程中，系统会根据定义好的策略对用户行为进行持续监测和再认证，从而确保企业零信任架构在安全性、可用性、可靠性、成本效率配比方面能够达到一个平衡状态。

零信任作为一套全新的网络安全防御概念，提倡将企业内外的所有用户、设备、系统、网络等 IT 资源均纳入安全体系中，进而保护企业总体业务和核心数据资产的安全。作为零信任的核心需求——身份管理也逐渐受到国内企业的重视，但在落地实践上仍面临诸多挑战。后续我们将以 玉符IDaaS 为例，分享身份管理云平台构建过程中面临的挑战及实践要点，敬请期待！