面向IAM的零信任原则与指南

©2024云安全联盟大中华区版权所有1 @2024云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载.储存.展示.查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人.信息获取.非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标.版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2024云安全联盟大中华区版权所有2 ©2024云安全联盟大中华区版权所有3 致谢 报告中文版支持单位 上海派拉软件股份有限公司成立于2008年，是国内最早从事身份安全研发的原厂商，致力于为企业和机构提供以“数字身份”为核心的数字化能力底座与安全基石，覆盖身份安全、应用安全、数据安全，在上海、北京、广州、武汉、成都、长春、深圳、济南、厦门、合肥、杭州、西安等地设有研发中心和服务机构，拥有600+行业专家和资深团队，服务能力遍布全国。派拉软件已成功为全球范围内的金融、制造、医疗、教育、零售、政府、地产、科研院所等多行业2000余家企业和机构提供极致体验的“全域数字身份统一安全管控”专业服务，覆盖五百强客户300余家。 派拉软件是CSA会员单位，支持该报告内容的翻译，但不影响CSA研究内容的开发权和编辑权。 主要贡献专家： 茆正华徐安哲王育恒王磊 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予改正！联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号 ©2024云安全联盟大中华区版权所有4 英文版本编写专家 主要作者： HaniRaouda JonathanFlack KevinDillaway PaulSimmonds RohiniSulatycki ShrutiKulkarni ClementBetacorne IrshadJavid JohnYeoh PaulSimmonds 审校者：AnnaPasupathyCSA全球员工： ErikJohnson RyanGifford StephenLumpe ©2024云安全联盟大中华区版权所有5 目录 摘要7 目标受众7 零信任的背景和推动因素7 零信任实施方法论9 范围10 引言10 身份识别的实体和属性11 身份验证与确认12 决策因子14 基于策略的授权18 处理失败的策略决策18 业务价值19 总结20 参考文献21 基础参考文献22 ©2024云安全联盟大中华区版权所有6 摘要 身份及身份相关的属性，以及其他零信任（ZT）标识（零信任中关于身份的其他属性）是零信任架构的关键原则之一。零信任方法旨在通过基于风险的访问控制来减少网络攻击和数据泄露的几率。也就是说，在授予对资源（数据、系统）的访问权限之前，必须进行身份验证和授权。 为了满足这一要求，重要的是要通过零信任的视角来审视现存和新的身份、访问管理和云解决方案。 零信任是一个技术无关的指导性框架，将访问控制措施更加靠近受保护资产 （保护面）。从身份、访问管理的角度来看，它提供了基于风险的决策授权能力，而不是仅基于单一访问控制方法的二元信任来进行授权访问。 目标受众 主要：零信任（ZT）实施和架构的技术经理次要：CISO/ISO/信息安全、IAM供应商 零信任的背景和推动因素 多年来，有各种论文谈论信任作为人类和社会现象，其中一些使用了“零信任”这个术语。2001年，开源安全测试方法手册（OSSTMM）开始解决信息技术中的信任问题，并在其第三版（2007年）中将“信任”标记为漏洞，并专门撰写了一整章来讨论这个主题。 SunMicrosystems在1990年代引入了“ChewyCenter”①（智能糖果或M＆M糖果模型②）的概念。在2005-2007年期间，JerichoForum(visioningpaperandJerichoForum®Commandments)和OpenGroup为零信任做了一些基础工作，讨论了 ©2024云安全联盟大中华区版权所有7 传统网络边界安全模型的失败以及去边界化的必要性，这是OpenGroup零信任安全准则的灵感来源。 零信任网络（ZTN）概念是在21世纪初由美国国防部（DoD）提出的，当时正在定义全球信息网（GIG）网络运营黑核网络路由技术和路由寻址架构，这是DoD的网络中心服务战略的一部分。随着时间的推移演变为ZTN架构（ZTNA）和软件定义的边界（SDP）框架，并被DoD、CSA和NIST所采纳和进一步推广。 在经过两年的研究，ForresterResearch的JohnKindervag于2010年正式将这些概念整合成我们现在所知道的零信任实践领域。John的工作独特之处在于他正 式确定了成功实施这些架构所需的组件，并提供了一种可理解的实施零信任的方法，包括利用Kipling方法开发有效的零信任策略，以及启用扩展授权控制，例如基于 上下文的访问控制。 2019年左右，美国国防部（DoD）在与国家安全局（NSA）进行情报磋商后开始拥抱零信任，美国国防部认为当时的安全方法不再有效，且需要调整其安全战略，以更好地抵御日益复杂的网络攻击。 2020年8月，NIST发布了SP800-207零信任架构。2021年5月，美国总统拜登签署行政命令（EO）14028，特别提到了零信任安全实践，要求联邦机构加强网络安全，为政府采用零信任提供了第一个重要的法规。虽然全球都对零信任的兴趣在最近几年不断增加，由于受到美国政府法规的影响，美国目前在零信任应用和相关指导方面处于领先地位。 无论是来自NIST、DoD、CISA还是像CSA、ForresterResearch或英国NCSC这样的组织的专家贡献，其中相关的指导原则都基于相同的基本原则（最初在JohnKindervag的基础研究中描述），其中许多是已经确立为信息安全概念（例如“最小特权”，“拒绝所有，例外允许”）。 ©2024云安全联盟大中华区版权所有8 关于零信任的一个关键要点是它不是预设架构或单一产品。零信任是一种策略和一系列指导原则，用于指导架构和采购决策。这使组织能够根据其特定的业务需求、资产、风险和优先事项从内部向外设计。 零信任实施方法论 美国国家安全电信咨询委员会（NSTAC）将零信任实施描述为一个5个步骤的过程。这五个步骤包括： ●定义保护范围 ●映射事务处理流 ●构建零信任架构 ●制定零信任策略 ●监控和维护网络 图1零信任实施步骤 https:/blogs.nvidia.com/blog/2022/06/07/what-is-zero-trust/ 要进行零信任架构的战略规划和实施，定义组织的保护范围是重要的一环。 ©2024云安全联盟大中华区版权所有9 范围 本文的范围包括以不受技术限制的方式，透过零信任的视角来审视身份和访问管理，因此不会详细说明任何工程解决方案。 本文阐述了在“授予访问权限之前进行身份验证和授权”的过程中，使用身份属性和其他标识的必要性。 本文泛指“实体”，既包括个人也包括非个人。从身份和访问控制管理的角度来看，这两种实体都具有身份属性和标识，这些属性和标识提供了更高级别的上下文风险感知。 引言 认证是一个实体（如人、动物、物体、设备、网络、应用程序、数据库、进程、服务等）向另一个实体证明自己是其所声称的身份的过程。NIST将认证定义为“验证用户、进程或设备的身份，通常作为允许访问信息系统资源的前置条件”。 为了使认证能够抵御诸如网络钓鱼的常见认证攻击，认证过程引入了额外的安全屏障，增加了攻击者成功突破认证的难度。例如，多因素认证（MFA）通过引入额外的安全认证方式来增强认证，使黑客难以成功破坏启用了MFA的认证流程。 授权通常发生在成功认证之后，它使经过认证的实体能够基于最佳实践（如基于角色的访问和最小权限原则）访问资源。NIST将授权定义为授予系统实体访问系统资源的权利或许可。 ©2024云安全联盟大中华区版权所有10 就像多因素认证增强了认证一样，零信任通过在控制授权的属性中增加上下文风险感知来增强授权。本文的其余部分将描述零信任如何实现安全性，以及通过可扩展的授权方式实施零信任所需的步骤。 身份识别的实体和属性 身份是构建零信任安全架构的一个至关重要的因素，因为它提供了属性和标识用于验证和授予资源访问权限。 在零信任模型中，一个请求不会基于位置、网络或资产所有权来而被默认是可信的，而是使用多因素来进行明确地验证。比如发出请求的实体、行为、生物特征、加密签名验证、位置、设备健康状况、操作系统健康状况等。每个因素 （理想情况下）都应具有已知的评判标准。 在评估身份属性和标识之后，根据上下文感知和风险评估作出是否允许访问的决策。这意味着可以根据请求的风险和验证的需要进行调整，验证很少是一次性事件，而是一个持续的过程。理想情况下，所有访问都应遵循最小权限原则。 通过运用零信任原则，组织可以减少攻击面，降低遭受入侵的风险，同时提升员工的生产力和灵活性。 零信任策略的一个关键原则是能够识别请求和访问的上下文，从而做出更好的基于风险的访问决策。系统不再仅依赖静态凭证或角色，而是基于动态属性评估每个请求的上下文，例如： ●用户及其所属的群组（谁Who） ●位置（在哪Where） ●设备（什么What） ●时间（何时When） ●应用程序类型（如何How） ●用户和资源的行为和风险水平 ©2024云安全联盟大中华区版权所有11 基于上下文，系统可以强制执行基于风险的细粒度访问控制策略，并应用自适应授权机制，以确保只有正确的实体在正确的时间、正确的条件下访问正确的资源。这减少了攻击面，降低了身份和凭证被盗窃的风险，并且可以提升用户的整体体验。 在任何零信任架构中的挑战在于，正确管理组织中真正具有权威性的实体和属性的数据。同样重要的是，确保组织及其拥有管理权限的系统（如云系统）能够从其权威身份来源中获取具有已知可信度的受信任身份属性和标识。 身份验证与确认 当一个组织的零信任解决方案中使用具有权威性的身份属性和标识时，那么用于管理和维护这些属性和标识的流程的可靠性变得至关重要。如果没有使用经过验证的可靠流程，那么该组织可能无法获得需要使用或依赖这些身份属性和标识的第三方权威信任。 一个良好的信任水平，首先有良好的验证和确认过程。NISTSP800-63A定义了包含3个阶段的身份验证和注册的流程，通常是一个五步或六步的过程： ●解析收集到的一些属性和标识 ●验证或确认，对收集到的身份属性和标识进行审核，以确定其是真实的、准确的、实时的和未过期的 ●验证，对收集到的身份属性和标识与将要生成的数字身份（实体）进行比 较 ●数字身份生成，将数字身份创建到权威身份源（主要是身份提供者） ●凭证生成，将数字身份与一个或多个认证器关联起来 ●数字身份注销，将数字身份从权威身份源中移除 ©2024云安全联盟大中华区版权所有12 下面是一个权威源的示例（来自NISTSP800-63A）： 图2权威源实列 在这个方案实施过程中，将基于环境中数据源、资产、应用程序和服务 （DAAS）组件进行风险控制。这意味着要求每个DAAS组件应该提供相应的验证和确认流程。 表1零信任身份和凭证管理 1 身份认证 验证身份凭证的真实性 ●验证可以是手动的、自动的，或两者的结合●定义可接受的身份证明类型（例如，驾驶执照、护照、X509数字证书、令牌等）●定义验证身份真实性所需的流程、基础设施和工具 ©2024云安全联盟大中华区版权所有13 2 身份配置 将经过验证的身份信息提供给权威身份源 （AD、IdP） ●除了用户名和密码（MFA、SSO、无密码等）之外，定义用于验证用户身份的身份属性。 ●定义对这些选定属性的限制策略 （密码长度、MFA技术、无密码等） ●定义一项尽职调查流程，以确保提供的身份不是内部或外部黑