我是誰(shuí)?我從哪里來(lái)?我要到哪里去?這三大人生哲學(xué)問(wèn)題，歷經(jīng)千年，答案紛紜。

從唯物主義來(lái)看，“我”是客觀(guān)存在的一種物質(zhì);從唯心主義來(lái)看，“我”決定一切。

個(gè)人崇尚對(duì)所擁有物品(包括實(shí)體的、虛擬的)具有生殺予奪的無(wú)限權(quán)力。

但在數(shù)字世界，一旦與外界發(fā)生聯(lián)系，你所絕對(duì)擁有的東西便具有了一定的社會(huì)屬性。任何與網(wǎng)絡(luò)發(fā)生了關(guān)系的事物，都脫離了純粹的“專(zhuān)屬”。原本完完全全屬于個(gè)人的，發(fā)生了徹底的改變。準(zhǔn)確的說(shuō)，原本完完全全屬于那時(shí)那地的那個(gè)你，至于未來(lái)某時(shí)、某地，現(xiàn)在時(shí)候的你并不一定擁有原來(lái)的權(quán)限。以個(gè)人照片為例，個(gè)人照片通常存儲(chǔ)于個(gè)人手機(jī)中，當(dāng)手機(jī)與云空間同步后，照片的增刪改就不再那么的絕對(duì)。

那再回到“我是誰(shuí)”的問(wèn)題，我究竟是誰(shuí)?

翻看照片，回首往事，感慨變化之大之余，我們是不是也會(huì)有些疑問(wèn)。現(xiàn)在的我究竟是不是原來(lái)的我?我究竟是誰(shuí)?當(dāng)生命的時(shí)間有了多個(gè)維度，并且能夠在過(guò)去與未來(lái)自由反復(fù)時(shí)，“我”也只會(huì)成為時(shí)間維度上的一個(gè)點(diǎn)。

數(shù)字世界，我們的行為更方便的被記錄下來(lái)，時(shí)間過(guò)去維度得到了無(wú)限充實(shí)，現(xiàn)實(shí)中的照片記憶點(diǎn)逐漸變成視頻時(shí)間段、操作時(shí)間段。“我”的過(guò)去逐漸被完整定義。“我”的未來(lái)將由“我”的過(guò)去以及”我“的現(xiàn)在來(lái)決定。這種決定過(guò)程，幾乎能抹殺一切非線(xiàn)性。這意味著，打通任督二脈的事情在數(shù)字世界不可能發(fā)生，偶然發(fā)現(xiàn)九陽(yáng)真經(jīng)的事情也不可能發(fā)生;當(dāng)然猛然中風(fēng)、精神失常在數(shù)字世界也不會(huì)存在。在數(shù)字世界，一切的一切都是有征兆的、有理由的、有依據(jù)的。

一、零信任

2010年，F(xiàn)orrester的首席分析師John Kindervag提出了零信任框架模型，這一模型在Google的BeyondCorp項(xiàng)目中得到應(yīng)用。Google是第一個(gè)將零信任架構(gòu)模型落地的公司。

零信任是將網(wǎng)絡(luò)防御的邊界縮小到單個(gè)資源。其核心思想是系統(tǒng)不應(yīng)自動(dòng)信任任何人，不管是內(nèi)部的還是外部的，不根據(jù)物理或網(wǎng)絡(luò)位置對(duì)用戶(hù)授予完全可信的權(quán)限。系統(tǒng)在授權(quán)前對(duì)任何試圖接入系統(tǒng)的主體進(jìn)行驗(yàn)證。其本質(zhì)是以身份為中心進(jìn)行訪(fǎng)問(wèn)控制。

簡(jiǎn)而言之，零信任的策略就是不相信任何人。除非確認(rèn)接入者現(xiàn)在的身份，否則誰(shuí)都無(wú)法接入，即便接入也無(wú)法實(shí)現(xiàn)對(duì)資源的訪(fǎng)問(wèn)。

與傳統(tǒng)的安全策略不同，零信任框架中用戶(hù)的訪(fǎng)問(wèn)權(quán)限不受地理位置的影響。零信任在訪(fǎng)問(wèn)主體與客體之間構(gòu)建以身份為基石的動(dòng)態(tài)可信訪(fǎng)問(wèn)控制體系，基于網(wǎng)絡(luò)所有參與實(shí)體的數(shù)字身份，對(duì)默認(rèn)不可信的所有訪(fǎng)問(wèn)請(qǐng)求進(jìn)行加密、認(rèn)證和強(qiáng)制授權(quán)，匯聚關(guān)聯(lián)各種數(shù)據(jù)源進(jìn)行持續(xù)信任評(píng)估，并根據(jù)信任程度動(dòng)態(tài)對(duì)權(quán)限進(jìn)行調(diào)整，最終在訪(fǎng)問(wèn)主體和訪(fǎng)問(wèn)客體之間建立動(dòng)態(tài)信任關(guān)系。

零信任以盡可能接近于人的真實(shí)身份來(lái)定義數(shù)據(jù)訪(fǎng)問(wèn)，定義某個(gè)人或者某個(gè)身份可以訪(fǎng)問(wèn)的特定的數(shù)據(jù)，或者定義特定的數(shù)據(jù)可以被特定的身份訪(fǎng)問(wèn)。

零信任的用戶(hù)認(rèn)證模型是通過(guò)“我”的過(guò)去實(shí)現(xiàn)第一重認(rèn)證，允許“我”的接入，通過(guò)“我”的現(xiàn)在實(shí)現(xiàn)第二重認(rèn)證，允許“我”對(duì)資源的訪(fǎng)問(wèn)，通過(guò)兩重認(rèn)證，來(lái)綜合決定“我”我的未來(lái)，即資源的訪(fǎng)問(wèn)權(quán)限。

二、我的過(guò)去

我的過(guò)去通過(guò)我所擁有的、我所知道的以及我的本質(zhì)特性來(lái)定義，依據(jù)這些信息生成網(wǎng)絡(luò)世界中的數(shù)字憑證。

(1)憑證的初始化

現(xiàn)實(shí)中每個(gè)人都有身份證。在網(wǎng)絡(luò)中，身份就是用戶(hù)所對(duì)應(yīng)的數(shù)字個(gè)體標(biāo)識(shí)。數(shù)字個(gè)體標(biāo)識(shí)并非唯一，不同場(chǎng)景有不同的數(shù)字個(gè)體標(biāo)識(shí)。非正式身份標(biāo)識(shí)，如昵稱(chēng)等，常用于小團(tuán)體中，個(gè)體之間的信任程度相對(duì)較高，或者安全要求低，價(jià)值數(shù)字資產(chǎn)少的場(chǎng)景。存在如下問(wèn)題：用戶(hù)可以創(chuàng)建虛假身份;用戶(hù)可以假冒他人身份;單個(gè)用戶(hù)可以創(chuàng)建多個(gè)身份;多個(gè)用戶(hù)可以共享同一身份。權(quán)威身份用于系統(tǒng)需要安全性更高的身份時(shí)的場(chǎng)景，相關(guān)機(jī)構(gòu)為個(gè)體創(chuàng)建權(quán)威身份憑證。

現(xiàn)實(shí)世界中，個(gè)人使用政府頒發(fā)的ID(如駕照)作為身份憑證。風(fēng)險(xiǎn)較高場(chǎng)景下，需要根據(jù)政府?dāng)?shù)據(jù)庫(kù)交叉核驗(yàn)身份憑證，進(jìn)一步增強(qiáng)安全保障。計(jì)算機(jī)系統(tǒng)也需要一個(gè)權(quán)威中心負(fù)責(zé)用戶(hù)身份管理，如同現(xiàn)實(shí)世界，授予用戶(hù)不同強(qiáng)度的身份憑證。依據(jù)風(fēng)險(xiǎn)等級(jí)的不同，可能還需要根據(jù)數(shù)據(jù)庫(kù)信息交叉核驗(yàn)。

用戶(hù)身份的認(rèn)證很重要。數(shù)字化身份的產(chǎn)生以及身份與人的初始關(guān)聯(lián)都是非常敏感的操作。對(duì)實(shí)體人的驗(yàn)證機(jī)制必須足夠強(qiáng)，以防攻擊者偽裝成新員工獲取系統(tǒng)身份。當(dāng)用戶(hù)無(wú)法提供身份憑證時(shí)，賬號(hào)恢復(fù)程序同樣需要足夠強(qiáng)的認(rèn)證控制來(lái)確保實(shí)體人身份的合法性。初始認(rèn)證，應(yīng)該首選政府頒發(fā)的身份憑證。通常，創(chuàng)建數(shù)字身份之前需要繁雜的人工認(rèn)證流程，信任的建立是基于一個(gè)已知的可信人員對(duì)待開(kāi)通身份的人員的信息了解，這種間接的信任關(guān)系是后續(xù)人工認(rèn)證和身份創(chuàng)建的基礎(chǔ)。在零信任網(wǎng)絡(luò)中，人工認(rèn)證的可信度很高，但不是唯一的認(rèn)證機(jī)制。在創(chuàng)建數(shù)字身份之前，有許多信息可以獲取。這些信息是認(rèn)證數(shù)字身份的關(guān)鍵要素。這些信息可以是用戶(hù)使用的語(yǔ)言、家庭住址等等其他信息。

(2)憑證的存儲(chǔ)

用戶(hù)憑證產(chǎn)生后，通過(guò)用戶(hù)目錄記錄用戶(hù)相關(guān)信息。用戶(hù)目錄是后續(xù)所有認(rèn)證的基礎(chǔ)。包括用戶(hù)名、電話(huà)號(hào)碼、組織角色，還包括擴(kuò)展信息，如用戶(hù)地址或X.509證書(shū)公鑰。用戶(hù)信息極其敏感，一般用幾個(gè)相互隔離的數(shù)據(jù)庫(kù)代替單一數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)所有用戶(hù)信息。數(shù)據(jù)庫(kù)僅能通過(guò)受限的API接口訪(fǎng)問(wèn)，從而限制信息的暴露范圍。用戶(hù)目錄的準(zhǔn)確性對(duì)于零信任網(wǎng)絡(luò)的安全至關(guān)重要。新老用戶(hù)交替，需要及時(shí)更新用戶(hù)目錄。專(zhuān)業(yè)的身份源系統(tǒng)(如LDAP或本地用戶(hù)賬號(hào))可以與企業(yè)的人員信息系統(tǒng)打通，從而在企業(yè)人員變動(dòng)時(shí)，及時(shí)更新相關(guān)信息。分離的身份源系統(tǒng)，需要選定一個(gè)權(quán)威身份原系統(tǒng)記錄身份，其他身份源系統(tǒng)從該系統(tǒng)獲取所需的權(quán)威數(shù)據(jù)。

記錄系統(tǒng)只需要存儲(chǔ)可以識(shí)別個(gè)人身份的關(guān)鍵性信息，比如只存儲(chǔ)用戶(hù)名或其他簡(jiǎn)單的個(gè)人信息，以便用戶(hù)忘記憑證時(shí)恢復(fù)身份。

(3)身份認(rèn)證

認(rèn)證在零信任網(wǎng)絡(luò)中是強(qiáng)制行為，需要同時(shí)兼顧安全性和便捷性。當(dāng)安全性以便捷性為代價(jià)，用戶(hù)很可能會(huì)想方設(shè)法削弱甚至破壞安全機(jī)制。認(rèn)證用戶(hù)是通過(guò)系統(tǒng)驗(yàn)證用戶(hù)是否為聲稱(chēng)的那個(gè)人。不同等級(jí)的服務(wù)有不同等級(jí)的認(rèn)證。比如登錄音樂(lè)訂閱服務(wù)僅需要密碼，但是登錄投資賬戶(hù)不僅需要密碼，還需要額外的驗(yàn)證碼。用戶(hù)可以通過(guò)額外的認(rèn)證方式提高信任等級(jí)。如果一個(gè)用戶(hù)的信任評(píng)分低于當(dāng)前訪(fǎng)問(wèn)請(qǐng)求的最低信任評(píng)分，此時(shí)需要進(jìn)行額外的認(rèn)證，如果通過(guò)認(rèn)證，用戶(hù)的信任等級(jí)將提升至請(qǐng)求要求的水平。認(rèn)證的目的是獲取信任，應(yīng)根據(jù)期望的信任等級(jí)設(shè)定認(rèn)證需求機(jī)制。通過(guò)設(shè)置信任評(píng)分閾值來(lái)驅(qū)動(dòng)認(rèn)證流程和需求。系統(tǒng)可以選取任意的認(rèn)證方式進(jìn)行組合以滿(mǎn)足信任評(píng)分要求，掌握每種認(rèn)證方式的可信度及可訪(fǎng)問(wèn)信息的敏感度，有助于設(shè)計(jì)對(duì)攻擊更免疫的系統(tǒng)，自適應(yīng)的按需認(rèn)證和授權(quán)。

傳統(tǒng)認(rèn)證模式基于邊界安全的思想，分出一個(gè)高度敏感的數(shù)據(jù)區(qū)域，對(duì)其進(jìn)行盡可能高的強(qiáng)認(rèn)證，即便用戶(hù)之前已經(jīng)做過(guò)一定的認(rèn)證并且積累了足夠的信任度。這種認(rèn)證模式下，一旦用戶(hù)取得了數(shù)據(jù)區(qū)域的授權(quán)，就能不受任何限制的操作，不再有其他安全機(jī)制進(jìn)行保護(hù)。

(4)憑證的遺失

現(xiàn)實(shí)世界中，憑證可能丟失或者被盜。如果遺失了政府頒發(fā)的身份憑證，政府機(jī)構(gòu)通常需要個(gè)人提供其他相關(guān)身份信息(如出生證明或指紋)，以重新頒發(fā)身份憑證。計(jì)算機(jī)系統(tǒng)處理機(jī)制類(lèi)似，通過(guò)其他驗(yàn)證方式為用戶(hù)頒發(fā)身份憑證。但是驗(yàn)證方式和驗(yàn)證材料的選取不當(dāng)可能會(huì)誘發(fā)安全隱患。

三、我的現(xiàn)在

• 如何判斷操作某臺(tái)計(jì)算機(jī)的用戶(hù)一定是預(yù)期中的合法用戶(hù)?
• 如果合法用戶(hù)忘記鎖屏或者個(gè)人疏忽導(dǎo)致他人濫用怎么辦?

對(duì)于保護(hù)數(shù)據(jù)，正常的訪(fǎng)問(wèn)數(shù)據(jù)行為是可以被定義和窮盡的。因此，可以限定安全訪(fǎng)問(wèn)的行為范圍，任何限定范圍之外的行為都是不合規(guī)、不安全的。此外，通過(guò)對(duì)歷史訪(fǎng)問(wèn)行為的學(xué)習(xí)，可以對(duì)正常訪(fǎng)問(wèn)進(jìn)行特征畫(huà)像，不符合正常訪(fǎng)問(wèn)特征的訪(fǎng)問(wèn)行為都是不合規(guī)的。

四、我的未來(lái)

針對(duì)對(duì)數(shù)字資產(chǎn)(包括數(shù)據(jù)、應(yīng)用等)的訪(fǎng)問(wèn)權(quán)限，NIST提出了三個(gè)邏輯組件來(lái)動(dòng)態(tài)授權(quán)和認(rèn)證：

• 策略引擎(Plolicy Engine，PE)，負(fù)責(zé)確定授權(quán)
• 策略管理員(Policy Administrator，PA)，根據(jù)策略引擎的結(jié)果建立或管理通往資源的通信路徑。
• 策略執(zhí)行點(diǎn)(Policy Enforcement Point，PEP)，位于請(qǐng)求主體和目標(biāo)資源之間，啟用、監(jiān)測(cè)和終止連接。 

訪(fǎng)問(wèn)主體在PEP進(jìn)行認(rèn)證和授權(quán)，策略決策點(diǎn)(Policy Decision Point)對(duì)認(rèn)證后的身份執(zhí)行相應(yīng)的策略，身份認(rèn)證和授權(quán)均在訪(fǎng)問(wèn)之前執(zhí)行。數(shù)據(jù)平面的PEP在運(yùn)行時(shí)對(duì)系統(tǒng)進(jìn)行持續(xù)監(jiān)測(cè)，以確保持續(xù)的合規(guī)性和治理控制。

五、零信任的用戶(hù)信任案例

在騰訊安全發(fā)布的《零信任接近方案白皮書(shū)》中詳細(xì)描述了騰訊零信任解決方案的用戶(hù)信任的建立方式。

首先，有多種認(rèn)證方式來(lái)確保用戶(hù)可信：如企業(yè)微信掃碼、Token雙因子認(rèn)證、生物認(rèn)證等。用戶(hù)身份與企業(yè)本地身份、域身份以及自定義賬號(hào)體系靈活適配。在用戶(hù)體驗(yàn)上，通過(guò)應(yīng)用系統(tǒng)單點(diǎn)登錄(SSO)，讓?xiě)?yīng)用使用更加便捷。

其次，訪(fǎng)問(wèn)主體的信任評(píng)估持續(xù)進(jìn)行，并伴隨整個(gè)訪(fǎng)問(wèn)過(guò)程。一旦評(píng)估異常，訪(fǎng)問(wèn)權(quán)限動(dòng)態(tài)自動(dòng)調(diào)整，保證業(yè)務(wù)訪(fǎng)問(wèn)的最小權(quán)限。受控終端訪(fǎng)問(wèn)策略直接控制終端發(fā)起的應(yīng)用進(jìn)程，訪(fǎng)問(wèn)網(wǎng)關(guān)根據(jù)訪(fǎng)問(wèn)控制策略對(duì)訪(fǎng)問(wèn)流量進(jìn)行二次校驗(yàn)，確保人-應(yīng)用-訪(fǎng)問(wèn)目標(biāo)合法，確保訪(fǎng)問(wèn)主體行為合法。

用戶(hù)可信識(shí)別提供用戶(hù)全生命周期的身份管理和多因素身份認(rèn)證能力。針對(duì)用戶(hù)/用戶(hù)組制定網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限策略。在設(shè)備接入前，對(duì)用戶(hù)進(jìn)行業(yè)務(wù)權(quán)限授權(quán)，非授權(quán)的業(yè)務(wù)資源完全不可見(jiàn)，做到最小特權(quán)。在設(shè)備接入后，持續(xù)驗(yàn)證所有用戶(hù)的身份，提供包括企業(yè)微信掃碼、LDAP認(rèn)證、域認(rèn)證、Token雙因子認(rèn)證在內(nèi)的多種身份驗(yàn)證方式。通過(guò)身份可信識(shí)別能力實(shí)現(xiàn)合法的用戶(hù)使用合法的終端，使合法的應(yīng)用對(duì)保護(hù)資產(chǎn)進(jìn)行合法的訪(fǎng)問(wèn)。

六、小結(jié)

零信任對(duì)網(wǎng)絡(luò)安全進(jìn)行了重構(gòu)，無(wú)邊界的網(wǎng)絡(luò)、基于可信的身份、動(dòng)態(tài)授權(quán)、持續(xù)信任評(píng)估成為新的安全理念。在零信任網(wǎng)絡(luò)中，每個(gè)訪(fǎng)問(wèn)主體都有自己的身份。訪(fǎng)問(wèn)主體的訪(fǎng)問(wèn)權(quán)限，由數(shù)字憑證和主體行為動(dòng)態(tài)確定。換句話(huà)說(shuō)，現(xiàn)在的我才是真的我。