我是谁?我从哪里来?我要去哪里?几千年来,这三个人生哲学问题得到了解答。从唯物主义的观点来看,“我”是客观存在的物质;从唯心主义的角度来看,“我”决定一切。个人主张对自己拥有的物品(包括实体的和虚拟的)拥有无限的生死权力。但在数字世界中,一旦与外界相连,你绝对拥有的东西就具有了一定的社会品质。任何与互联网有关系的东西,都是出于纯粹的“排他性”。原本完全属于个人的东西发生了彻底的变化。准确的说,原来你完全属于那个时候那个地方的你。至于以后某个时间某个地点,此时的你不一定有原来的权限。以个人照片为例。个人照片通常存储在个人手机中。手机与云端空间同步后,照片的增删改查不再那么绝对。那么回到“whoamI”这个问题,我是谁?看看照片,回顾一下过去,感受一下巨大的变化,我们是不是也有些疑惑。现在的我是原来的我吗?我是谁?当生命的时间拥有多个维度,可以在过去和未来自由重复时,“我”只会成为时间维度中的一个点。在数字世界里,我们的行为可以更方便地被记录下来,过去的时间维度被无限丰富,现实中照片的记忆点逐渐变成了视频时隙和操作时隙。“我”的过去逐渐被完全定义。“我”的未来将由“我”的过去和“我”的现在决定。这个决策过程几乎可以抹杀所有的非线性。这意味着在数字世界中不可能打通任督二脉,也不可能偶然发现九阳真经;当然,数字世界中不会存在突然中风和精神障碍。在数字世界中,一切都是有症状的、合理的和有根据的。1.零信任2010年,Forrester首席分析师JohnKindervag提出零信任框架模型,应用于谷歌的BeyondCorp项目。谷歌是第一家实施零信任架构模型的公司。零信任是关于将网络防御范围缩小到单一资源。它的核心思想是系统不应该自动信任任何人,无论是内部的还是外部的,而不是根据物理或网络位置授予用户完全的可信度。系统在授权之前对任何试图访问系统的主体进行身份验证。其本质是以身份为中心的访问控制。简而言之,零信任策略就是不信任任何人。除非确认当前访问者的身份,否则任何人都不能访问,甚至访问也无法实现对资源的访问。与传统的安全策略不同,用户在零信任框架中的访问权限不受地理位置的影响。零信任在访问主体和客体之间建立一个基于身份的动态可信的访问控制系统。基于网络中所有参与实体的数字身份,默认不信任的所有访问请求都被加密、认证和强制执行。对各种数据源进行持续的信任评估,并根据信任程度动态调整权限,最终在访问主体和访问客体之间建立动态信任关系。零信任定义了尽可能接近个人真实身份的数据访问,定义了个人或特定身份可以访问的特定数据,或者定义了特定身份可以访问的特定数据。零信任用户认证模型是通过“我”的过去实现第一次认证,让“我”访问,通过“我”的现在实现二次认证,让“我”访问资源,通过两次重认证,综合判断未来的“我”,即资源的访问权限。2.我的过去我的过去是由我所拥有的、我所知道的以及我的本质特征来定义的,网络世界中的数字证书就是基于这些信息生成的。(1)凭证初始化在现实中,每个人都有一张身份证。在网络中,身份是与用户对应的数字个体标识。数字个人ID不是唯一的,不同的场景有不同的数字个人ID。非正式身份,如昵称,常用于小团体,个人之间信任度较高,或安全要求较低,价值数字资产较少。存在以下问题:用户可以创建虚假身份;用户可以冒充他人的身份;一个用户可以创建多个身份;多个用户可以共享相同的身份。权威身份用于系统需要更安全身份的场景,相关机构为个人创建权威身份凭证。在现实世界中,个人使用政府颁发的身份证件(例如驾照)作为凭证。在高风险场景下,有必要将身份凭证与政府数据库进行交叉检查,以进一步增强安全性。计算机系统也需要一个负责用户身份管理的权威中心,就像现实世界一样,授予用户不同强度的身份凭证。根据风险级别,可能还需要对数据库信息进行交叉检查。用户身份的认证非常重要。数字身份的生成和身份与人的初始关联是非常敏感的操作。自然人的身份验证机制必须足够强大,以防止攻击者伪装成新员工在系统上获得身份。当用户未能提供身份凭证时,账户恢复程序也需要足够强的身份验证控制来确保实体身份的合法性。对于初始身份验证,应首选政府颁发的凭证。通常,在创建数字身份之前需要进行复杂的手动身份验证过程。信任的建立是基于已知信任的人所拥有的关于打开身份的人的信息。这种间接的信任关系是后续手动认证和创建身份的基础。在零信任网络中,人工认证具有很高的可靠性,但并不是唯一的认证机制。在创建数字身份之前可以获得很多信息。此信息是验证数字身份的关键要素。该信息可能是用户使用的语言、家庭住址和其他信息。(2)凭证的存储用户凭证生成后,通过用户目录记录用户的相关信息。用户目录是所有后续身份验证的基础。包括用户名、电话号码、组织角色以及用户地址或X.509证书公钥等扩展信息。用户信息极其敏感,一般采用多个相互隔离的数据库,而不是单一的数据库来存储所有的用户信息。数据库只能通过受限的API接口访问,从而限制了信息暴露的范围。用户目录的准确性对于零信任网络的安全至关重要。新老用户交替,需要及时更新用户目录。专业的身份源系统(如LDAP或本地用户账号)可以与企业的人事信息系统对接,以便在企业人员变动时及时更新相关信息。独立的身份源系统需要选择一个权威的身份源系统记录身份,其他身份源系统从该系统获取所需的权威数据。记录系统只需要存储可以识别个人身份的关键信息,例如仅用户名或其他简单的个人信息,以便用户在忘记凭据时可以恢复身份。(3)身份认证是零信任网络中的强制行为,需要兼顾安全性和便利性。当安全以牺牲便利为代价时,用户很可能想方设法削弱甚至破坏安全机制。验证用户是系统验证用户是他们声称的身份。不同级别的服务有不同级别的认证。例如,登录音乐订阅服务只需要密码,而登录投资账户不仅需要密码,还需要额外的验证码。用户可以通过额外的身份验证方法来提高信任级别。如果用户的信任分数低于当前访问请求的最低信任分数,则此时需要进行额外的身份验证。如果认证通过,则将用户的信任级别提高到请求所要求的级别。认证的目的是获得信任,应根据期望的信任等级设置认证要求机制。通过设置信任分数阈值来推动认证流程和要求。系统可以选择任意组合的认证方式来满足信任评分的要求。掌握每种身份验证方法的可信度和可访问信息的敏感性将有助于设计一个更能抵抗攻击的系统。自适应按需认证和授权。传统的认证模式是基于边界安全的思想,分离出一个高度敏感的数据区域,并尽可能对其进行强认证,即使用户之前已经做过一定的认证并积累了足够的信任。在这种认证方式下,用户一旦获得数据区的授权,就可以不受任何限制地操作,不需要其他安全机制进行保护。(4)凭证丢失在现实世界中,凭证可能丢失或被盗。如果政府颁发的身份证件丢失,政府机构通常会要求个人提供其他相关身份信息,例如出生证明或指纹,以便重新颁发身份证件。计算机系统的处理机制类似,通过其他验证方式向用户颁发身份证明。但是,验证方法和验证材料选择不当可能会引发安全隐患。3、如何判断操作某台电脑的用户一定是预期的合法用户?如果合法用户忘记锁屏或个人疏忽导致他人滥用怎么办?对于数据保护,可以定义和详尽地定义正常的数据访问行为。因此,可以限制安全访问行为的范围,任何超出限制范围的行为都是不合规、不安全的。另外,通过对历史访问行为的研究,可以对正常的访问特征进行画像,对不符合正常访问特征的访问行为进行不合规处理。4.我的未来对于数字资产(包括数据、应用等)的访问,NIST提出了三个逻辑组件来动态授权和认证:策略引擎(PlolicyEngine,PE),负责确定授权策略管理员(PolicyAdministrator,PA),根据策略引擎的结果建立或管理到资源的通信路径。位于请求主体和目标资源之间的策略执行点(PEP)启用、监视和终止连接。图1:NIST认证架构的访问主体在PEP中进行认证和授权,策略决策点(PolicyDecisionPoint)对通过认证的身份执行相应的策略,在访问前进行身份认证和授权。数据平面的PEP在运行时提供对系统的持续监控,以确保持续的合规性和治理控制。五、零信任中用户信任案例腾讯安全发布的《零信任接近方案白皮书》详细描述了如何在腾讯零信任解决方案中建立用户信任。首先,多种认证方式保证用户可信:如企业微信扫码、Token双因素认证、生物认证等,用户身份灵活适配企业本地身份、域身份、自定义账户体系。在用户体验方面,通过应用系统单点登录(SSO),应用使用更加便捷。二是对接入主体的信任评价是持续进行的,伴随整个接入过程。一旦评估异常,动态自动调整访问权限,保证业务访问的最低权限。受控的终端访问策略直接控制终端发起的应用进程,接入网关根据访问控制策略对访问流量进行二次验证,确保人-应用-访问目标合法,访问的行为主题是合法的。用户可信身份识别为用户提供全生命周期身份管理和多因素身份认证能力。制定用户/用户组的网络访问权限策略。设备未连接前,业务权限授权给用户,未授权的业务资源完全不可见,做到最小权限。设备连接后,持续验证所有用户身份,提供企业微信扫码、LDAP认证、域名认证、Token双因素认证等多种认证方式。通过身份可信识别能力,合法用户可以使用合法终端,合法应用可以合法访问受保护资产。6.总结零信任重构了网络安全。无边界网络、可信身份、动态授权、持续信任评估成为新的安全概念。在零信任网络中,每个访问主体都有自己的身份。访问主体的访问权限由数字凭证和主体行为动态决定。换句话说,我就是现在的我。
