什么是零信任？

• IAM 词汇表
• 什么是零信任？

零信任是一种基于“不默认信任任何用户或设备”原则的安全模型。它要求对所有用户与设备进行持续显式验证（无论其位于网络内部还是外部），而非假定网络内部的环境是安全的。零信任模型并不关注用户从何处登录，而是聚焦于用户的身份及其是否应有访问权限。它对系统与数据访问实施严格管控，仅为必要人员授予访问权限且限定授权时长。

零信任的核心原则

零信任基于三个核心原则：

1. 假定泄露。 假设网络中的任何用户（无论是人还是机器）都可能随时遭受入侵。

2. 显式验证。 所有人员及机器在访问贵组织的网络（包括所有系统、应用程序和数据）之前，都必须证明其声称的身份为真实身份。

3. 确保最低特权。 用户登录网络后，仅可获得执行工作所需的最低网络访问权限，不得超限。

零信任模型的工作原理

零信任默认所有连接、用户和设备均具有潜在威胁。因此，必须在每个节点持续验证访问权限。其工作原理如下：

1. 任何地方都不应有隐性信任

在零信任环境中，无论用户或设备位于企业网络内部还是外部，均不默认为可信。每个访问请求均被视为来自不受信任的开放网络。这意味着在访问任何资源之前及访问过程中，均会强制实施身份验证与授权。

2. 持续验证

用户通过身份验证后，并不意味着他们拥有不受限制的访问权限。零信任模型采用持续验证机制，要求用户在系统操作过程中反复证明其身份与设备安全状态。该机制通常通过以下方式实现：

• 多因素身份验证 (MFA)
• 设备健康检查
• 上下文访问（例如地理位置、时段、角色）

3. 最低特权访问

用户和应用程序仅被授予执行任务所需的最低访问权限。该原则即最低特权访问原则，可减少攻击面，并在系统遭到入侵时限制损害范围。基于角色的访问控制 (RBAC) 和基于属性的策略会动态执行这些规则。

4. 微分段

与单一扁平开放式网络不同，零信任将网络划分为多个小区域，每个区域均具备独立的访问控制机制。这一过程被称为微分段，确保即使一个分段遭到入侵，网络犯罪分子也无法横向移动至其他分段。

5. 可见性和数据分析

零信任还依赖于全面的监控和日志记录。每个访问请求和操作都会被记录并分析，以检测异常、发现威胁并确保合规性。

零信任模型的优势

零信任模型具备广泛的优势，因此正在成为现代组织的首选安全模型。

• 为 IT 和安全团队提供更高的可见性： 零信任使管理员能完全洞察数据环境中用户、系统与设备的全貌。他们可以清晰掌握网络连接者的身份、位置及访问内容。
• 支持用户的灵活安全访问： 由于零信任使人员、应用和服务能够安全地进行通信，即使是跨不同的网络，从而让用户获得更大的自由度和灵活性。即使是使用自己的设备，他们也可以从家中或其他远程位置安全地进行连接。
• 增强攻击防护： 零信任通过持续身份验证和设备验证来降低数据泄露的风险。RBAC 和 特权访问管理 (PAM) 可在发生入侵时最大限度地降低特权升级风险。
• 轻松实现合规，减少审计问题： 零信任通过实施严格的访问控制和分割敏感数据，支持监管合规。RBAC 和网络分段/微分段助力合规建设，并减少合规性审计期间可能发现的问题

如何实施零信任

实施零信任安全策略的最大挑战之一在于缺乏通用的实施标准。许多组织采用 NIST 特别出版物 800-207中规定的七步流程：

1. 识别用户

这包含人类用户和非人类身份，例如服务帐户。NIST 指出，包括 IT 管理员和开发人员在内的特权用户需要特别审查，因为这些用户可能可以不受限制地访问数字资源。在零信任框架中，即使是特权帐户也应该是最低特权，并且必须监视和记录帐户活动。

2. 识别和管理连接到网络的所有资产。

识别和管理连接到组织网络的所有资产是成功实施零信任的关键。这包括：

• 笔记本电脑、移动设备、物联网设备和其他硬件组件。
• 数字工件，例如应用和数字证书。
• 非组织所有但可以连接到其网络基础设施或访问网络资源的设备。

NIST 承认可能无法进行全面的资产盘点，因此组织还应确保他们能够“快速识别、分类和评估企业拥有的基础设施新发现的资产”。

除了对资产进行编目之外，此步骤还包括配置管理和监视，因为观察资产当前状态的能力是零信任身份验证过程的一部分。

3. 识别关键流程，评估其风险并识别零信任“候选者”

识别、分级和评估组织业务流程和数据流的风险，包括它们对组织使命的重要性。这将有助于了解哪些流程是零信任部署较好的初始候选流程。NIST 建议从依赖基于云资源和/或由远程工作人员使用的流程开始，因为这将带来最直接的安全改进。

4. 为“候选者”制定零信任策略

这是第 3 步的延续。识别要迁移至零信任的资产或工作流程，然后识别资产或工作流程使用或影响的所有上游和下游资源。这有助于最终确定初始的零信任迁移“候选者”，并确保其所应用的最低特权和其他策略在不妨碍工作流程的情况下实现最大的安全性。

5. 识别并选择工具集/解决方案

市场上有许多兼容零信任的解决方案，但并非所有解决方案都适合您的特定数据环境和业务需求。NIST 建议在选择零信任工具时考虑以下要点：

• 解决方案是否要求在客户端资产上安装组件？ 这可能会限制业务流程。

• 在本地存在业务流程资源的情况下，解决方案是否有效？ 某些解决方案假定请求的资源位于云端（称为南北流量），而不是企业边界内（东西流量）。这在混合云环境中将造成问题，其中执行关键功能的遗留业务线应用可能需在本地运行，因为将它们迁移到云端不可行。

• 解决方案是否提供记录交互以进行分析的方法？ 零信任访问决策在很大程度上取决于流程相关数据的收集和使用。

• 解决方案是否为不同的应用、服务和协议提供广泛的支持？ 某些解决方案可能支持广泛的协议（SSH、Web 等）和传输（IPv4 和 IPv6），但其他解决方案可能仅适用于 Web 或电子邮件。

• 解决方案是否需要对现有工作流程进行更改？ 某些解决方案可能需要额外的步骤来执行给定的工作流程，这可能要求组织对工作流程进行更改。

6. 开始初始部署和监视

NIST 建议企业首先考虑在“监视模式”下实施零信任，以便 IT 和安全团队能够确保策略和流程有效且可行。此外，一旦确定了基线用户和网络活动，安全团队将能够更好地识别未来的异常行为。

7. 扩展您的零信任体系结构

在零信任架构的初始部署完成后，接下来是迁移下一批候选者。此步骤是持续的：每当组织的数据环境或工作流程发生变化时，必须重新评估零信任体系结构并进行相应的调整。