零信任体系化能力建设：身份可信与访问管理.docxVIP

零信任体系化能力建设：身份可信与访问管理

目录

TOC\o1-5\h\z刖§1

\oCurrentDocument??零信任身份安全1

\oCurrentDocument??身份安全的关键能力2

\oCurrentDocument??身份库多方整合3

\oCurrentDocument??认证与凭据管理3

????访问与授权管理4

\oCurrentDocument????身份安全的最佳实践10

\oCurrentDocument????梳理身份能力10

\oCurrentDocument????减少口令使用11

??????缩减特权账户11

??????强化操作集成11

\oCurrentDocument????结语12

以身份基石、构建并实施零信任是大多数厂商和解决方案的共识，究其原因主要有两个，其一是企业组织需要通过身份来管理权限、实施授权，并控制访问，其二是与身份相关的攻击手段越来越多地被用于实施网络攻击。本文主要从与身份相关的安全建设入手，讨论了零信任安全中身份库、认证、授权和访问控制等问题。

关键字：零信任；成熟度模型；身份安全；访问授权

零信任身份安全

根据身份定义安全联盟IDSA《2023年数字身份安全趋势》的调查结果，随着数字身份的激增，针对身份的攻击事件也在增加，其中最常见的手段是钓鱼攻击（占62%）,其他与身份相关的安全事件包括暴力破解攻击（占31%）、社交工程密码攻击（占30%）、特权身份入侵（占28%）、凭证盗用（占28%）等。

在NIST零信任参考架构中，身份是指描述用户或实体（包括非人实体，如员凭证进行攻击，以获取对高价值资产的访问权限，并在网络中进行横向移动。特权访问管理（PAM）工具能够提供一个集中的管理界面，根据风险暴露和最小权限访问原则，分配细粒度的特权权限，仅允许所需的访问权限。

特权访问设备是为所有管理功能和账户提供的指定和专用的设备，可以进一步支持特权账户的使用环境隔离。特权访问设备可以通过虚拟工作站或物理工作站实现。只能访问执行管理操作所需的基本应用程序，不允许高风险活动,如电子邮件或网络浏览。

??.身份安全的最佳实践

实施零信任是一个需要逐步演进的过程，更重要的是，当组织开始零信任之旅时，并不是从零开始，组织并不需要完全重新设计现有的网络架构，而是可以通过逐步修改当前基础设施，并增强现有安全控制来逐步实现零信任安全架构。

在零信任的身份能力建设方面，企业可以建立科学、合理的安全能力成熟度建设规划，以确保实施的有效性和可持续性。

??.1.梳理身份能力

企业应该评估当前的身份能力和控制措施，包括身份验证、访问控制、身份管理和监控等方面。通过了解现有的强项和薄弱环节，企业可以确定改进的重点和优先级。为有效管理身份，组织应建立一个准确的清单，记录关键的身份属性，以及特权账户。

需要特别注意的是，与设备身份（属于身份领域，而非设备领域）相关的能力梳理。例如，服务器通常会访问敏感资源，这些访问也需要作为零信任身份能力的一部分进行监控。虽然这是一个重要目标，但也确实是一个很难解决的问题，因为大多数组织都远未达到能够掌控机器身份的地步。但如果安全团队无法识别访问资源的设备，他们就无法对任何给定的访问请求做出基于风险的策略决策，也无法判断这些访问是否来自企业环境中的新兴威胁。

以员工身份为例，身份能力清单的主要内容应包括：

?个人（特权账号）信息。包括用户的全名、联系方式和其他相关个人标识。

?角色和职责。确定用户在组织中的角色，包括其职位、部门和分配的职责。

?用户账户和凭证。跟踪用户账户信息，如用户名、关联的电子邮件地址和身份验证凭证（例如密码、访问令牌）。

?访问权限。记录用户（账号）的授权访问权限，可访问的资源、授予的访问级别以及任何限制或限制条件。

?用户生命周期事件。记录重要的用户事件，例如入职、角色变更、调动和离职。

通过维护全面的用户身份清单和相关属性，组织可以有效管理访问控制，实施最小特权原则，并降低对关键资源的未经授权访问风险。定期更新和审查该清单对确保用户身份信息的准确性和相关性，并支持有效的身份治理实践至关重要。

??.2.减少口令使用

为了解决这些挑战并降低与口令相关的风险，可以鼓励员工使用口令管理工具，生成并安全存储复杂口令，以便员工能够有效地管理密码而无需记住它们。其次，实施多因素认证（MFA）,要求员工提供口令之外的其他验证因素（例如，指纹扫描、令牌或短信验证码），并逐渐向无密码认证和持续认证过渡。再次，进行员工教育和意识提升，定期进行培训，向员工传达使用强口令、避免口令重复的重要性，提