我是谁?我从哪里来?我要去哪里?经过几千年的人生哲学问题,答案各不相同。
从唯物主义的角度来看,“我”它是一种客观存在的物质;从唯心主义的角度来看,“我”决定一切。
个人提倡对所拥有的物品(包括实体、虚拟物品)有无限的生。
但在数字世界里,一旦你与外界接触,你绝对拥有的东西就会有一定的社会属性。任何与网络有关的东西都脱离了纯粹“专属”。原本完全属于个人的,发生了彻底的变化。准确地说,你当时完全属于那个地方。至于未来,你可能没有原来的权限。以个人照片为例,个人照片通常存储在个人手机中。当手机与云空间同步时,照片的添加和删除将不再那么绝对。
那再回到“我是谁”的问题,我究竟是谁?
翻看照片,回顾过去,叹息变化很大,我们也会有一些问题。我现在是我吗?我到底是谁?当生命的时间有多个维度,并能够在过去和未来自由地重复时,“我”它只会成为时间维度的一个点。
在数字世界中,我们的行为更容易记录下来,时间的过去维度无限丰富,现实中的照片记忆点逐渐变成视频时间段和操作时间段。“我”过去逐渐被完全定义。“我”的未来将由“我”的过去以及”我“现在来决定。这个决策过程几乎可以抹去所有的非线性。这意味着数字世界不可能发生任督二脉的事情,也不可能偶然发现九阳真经的事情;当然,数字世界不会突然出现中风和精神障碍。在数字世界里,一切都是有征兆、有理由、有依据的。
一、零信任
2010年,Forrester首席分析师John Kindervag该模型提出了零信任框架模型Google的BeyondCorp应用于项目。Google是第一家实施零信任架构模型的公司。
零信任是将网络防御的边界缩小到单一资源。其核心思想是,系统不应自动信任任何人,无论是内部还是外部,都不应根据物理或网络位置向用户授予完全可信的权限。该系统在授权前验证了任何试图访问该系统的主体。其本质是以身份为中心的访问控制。
总之,零信任的策略是不相信任何人。除非确认接入者的当前身份,否则没有人能访问,即使访问也无法访问资源。
与传统的安全策略不同,零信任框架中用户的访问权限不受地理位置的影响。零信任构建基于身份的动态可信访问控制系统,基于所有参与实体的数字身份,加密、认证和强制授权所有默认不可信访问请求,收集相关数据源进行持续信任评估,根据信任程度动态调整权限,最终在访问主体和访问对象之间建立动态信任关系。
零信任定义数据访问,尽可能接近人的真实身份,定义某人或身份可以访问的特定数据,或定义特定数据可以被特定身份访问。
零信任用户认证模型是通过的“我”在过去,第一重认证是允许的“我”接入,通过“我”现在实现二次认证,允许“我”通过双重认证,全面决定资源访问“我”我的未来,即资源的访问权限。
二、我的过去
我的过去是通过我所拥有的、我所知道的和我的基本特征来定义的,并根据这些信息在网络世界中生成数字凭证。
(1)凭证的初始化
事实上,每个人都有身份证。在网络中,身份是用户对应的数字个人标志。数字个人标志并不是唯一的。不同的场景有不同的数字个人标志。非正式身份标志,如昵称,通常用于小组,个人之间的信任度相对较高,或安全要求较低,价值数字资产较少的场景。存在以下问题:用户可以创建虚假身份;用户可以伪造他人身份;单个用户可以创建多个身份;多个用户可以共享相同的身份。当系统需要更安全的身份时,权威身份用于场景,相关机构为个人创建权威身份证明。
在现实世界中,个人使用政府颁发的ID(如驾照)作为身份证明。在高风险场景下,需要根据政府数据库交叉验证身份证明,以进一步加强安全保障。计算机系统还需要一个负责用户身份管理的权威中心,就像现实世界一样,给用户不同强度的身份证明。根据不同的风险水平,也可能需要根据数据库信息进行交叉验证。
用户身份认证非常重要。数字身份的产生和身份与人之间的初始关系是非常敏感的操作。实体验证机制必须足够强大,以防止攻击者伪装成新员工以获得系统身份。当用户无法提供身份证明时,账户恢复程序还需要足够强的认证控制,以确保实体身份的合法性。初始认证应首选政府颁发的身份证明。通常,在创建数字身份之前,需要复杂的人工认证过程。信任的建立是基于已知可信人员对开放身份人员的信息理解。这种间接的信任关系是后续人工认证和身份创建的基础。在零信任网络中,人工认证具有很高的可信度,但不是唯一的认证机制。在创建数字身份之前,可以获得许多信息。这些信息是认证数字身份的关键因素。这些信息可以是用户使用的语言、家庭地址和其他信息。
(2)存储凭证
用户凭证生成后,用户相关信息通过用户目录记录。用户目录是所有后续认证的基础。包括用户名、电话号码、组织角色和扩展信息,如用户地址或X.509证书公钥。用户信息极其敏感,所有用户信息通常用几个隔离数据库代替单个数据库存储。数据库只能通过有限的数据库API界面访问限制了信息的暴露范围。用户目录的准确性对于零信任网络的安全至关重要。新老用户交替更新用户目录。专业的身份源系统(如LDAP或本地用户账户)可与企业人员信息系统连接,以便在企业人员变更时及时更新相关信息。分离的身份源系统需要选择一个权威的身份原始系统来记录身份,其他身份源系统从系统中获取所需的权威数据。
记录系统只需存储能够识别个人身份的关键信息,如只存储用户名或其他简单的个人信息,以便用户在忘记凭证时恢复身份。
(3)身份认证
认证是零信任网络中的一种强制性行为,需要考虑到安全性和便利性。当安全以方便为代价时,用户可能会试图削弱甚至破坏安全机制。认证用户是通过系统验证用户是否声称的人。不同级别的服务有不同级别的认证。例如,登录音乐订阅服务只需要密码,但登录投资账户不仅需要密码,还需要额外的验证码。用户可以通过额外的认证来提高信任水平。如果用户的信任评分低于当前访问请求的最低信任评分,则需要额外的认证。如果通过认证,用户的信任水平将提高到要求的水平。认证的目的是获得信任,认证需求机制应根据预期的信任水平进行设置。通过设置信任评分阈值来驱动认证过程和需求。该系统可以选择任何认证方法来满足信任评分的要求,掌握每种认证方法的可信度和可访问信息的敏感性,并帮助设计更多的攻击性。
根据边界安全的理念,传统的认证模式将高度敏感的数据区域划分为尽可能高的强认证,即使用户以前做过一定的认证,并积累了足够的信任。在这种认证模式下,一旦用户获得了数据区域的授权,他们就可以不受任何限制地操作,也不再有其他安全机制来保护它。
(4)遗失凭证
在现实世界中,凭证可能会丢失或被盗。如果政府颁发的身份证丢失,政府机构通常需要个人提供其他相关的身份信息(如出生证明或指纹)来重新颁发身份证。计算机系统处理机制相似,通过其他验证方法向用户颁发身份证。但验证方法和验证材料的选择不当可能会导致安全风险。
三、我的现在
- 如何判断操作计算机的用户必须是预期的合法用户?
- 如果合法用户忘记锁屏或个人疏忽导致他人滥用怎么办?
对于保护数据,可以定义和耗尽正常的访问数据行为。因此,可以限制安全访问的范围,任何限制范围以外的行为都是不合规和不安全的。此外,通过对历史访问行为的研究,可以对正常访问进行特征肖像,不符合正常访问特征的访问行为不合规。
四、我的未来
访问数字资产(包括数据、应用等)的权限,NIST动态授权和认证提出了三个逻辑组件:
- 策略引擎(Plolicy Engine,PE),负责确定授权
- 策略管理员(Policy Administrator,PA),通往资源的通信路径是根据战略引擎的结果建立或管理的。
- 策略执行点(Policy Enforcement Point,PEP),启用、监控和终止连接位于请求主体和目标资源之间。
访问主体在PEP认证和授权战略决策点(Policy Decision Point)身份认证和授权应在访问前实施相应的认证策略。数据平面PEP为保证持续的合规性和治理控制,在运行过程中对系统进行持续的监控。
五、零信任用户信任案例
在腾讯安全发布的《零信任接近方案白皮书》中,详细描述了腾讯零信任解决方案用户信任的建立。
首先,确保用户可信度的认证方法有很多,如企业微信扫码Token双因子认证、生物认证等。用户身份灵活适应企业本地身份、域身份和自定义账户系统。在用户体验方面,单点登录应用程序系统(SSO),使用起来更方便。
其次,访问主体的信任评估继续进行,并伴随着整个访问过程。一旦评估异常,访问权限将动态自动调整,以确保业务访问的最小权限。受控终端访问策略直接控制终端启动的应用过程。访问网关根据访问控制策略对访问流量进行二次验证,以确保人员-应用-合法的访问目标,确保访问主体的合法行为。
用户可信度识别为用户提供全生命周期的身份管理和多因素身份认证能力。为用户/用户组制定在线访问权限策略。在设备访问之前,授权用户的业务权限。非授权业务资源根本看不见,特权最小化。设备访问后,继续验证所有用户的身份,包括企业微信扫描代码LDAP认证、域认证、域认证Token双因身份验证方法,包括双因子认证。通过身份可信度识别能力,合法用户可以使用合法终端,合法应用可以合法访问保护资产。
六、小结
零信任重建了网络安全。基于可信身份、动态授权和持续信任评估的无边界网络已成为一种新的安全概念。在零信任网络中,每个访问者都有自己的身份。访问主体的访问权限由数字凭证和主体行为动态确定。换句话说,我现在是我。