我是誰?我從哪里來?我要到哪里去?這三大人生哲學問題，歷經(jīng)千年，答案紛紜。

從唯物主義來看，“我”是客觀存在的一種物質(zhì);從唯心主義來看，“我”決定一切。

個人崇尚對所擁有物品(包括實體的、虛擬的)具有生殺予奪的無限權(quán)力。

但在數(shù)字世界，一旦與外界發(fā)生聯(lián)系，你所絕對擁有的東西便具有了一定的社會屬性。任何與網(wǎng)絡(luò)發(fā)生了關(guān)系的事物，都脫離了純粹的“專屬”。原本完完全全屬于個人的，發(fā)生了徹底的改變。準確的說，原本完完全全屬于那時那地的那個你，至于未來某時、某地，現(xiàn)在時候的你并不一定擁有原來的權(quán)限。以個人照片為例，個人照片通常存儲于個人手機中，當手機與云空間同步后，照片的增刪改就不再那么的絕對。

那再回到“我是誰”的問題，我究竟是誰?

翻看照片，回首往事，感慨變化之大之余，我們是不是也會有些疑問?，F(xiàn)在的我究竟是不是原來的我?我究竟是誰?當生命的時間有了多個維度，并且能夠在過去與未來自由反復時，“我”也只會成為時間維度上的一個點。

數(shù)字世界，我們的行為更方便的被記錄下來，時間過去維度得到了無限充實，現(xiàn)實中的照片記憶點逐漸變成視頻時間段、操作時間段。“我”的過去逐漸被完整定義。“我”的未來將由“我”的過去以及”我“的現(xiàn)在來決定。這種決定過程，幾乎能抹殺一切非線性。這意味著，打通任督二脈的事情在數(shù)字世界不可能發(fā)生，偶然發(fā)現(xiàn)九陽真經(jīng)的事情也不可能發(fā)生;當然猛然中風、精神失常在數(shù)字世界也不會存在。在數(shù)字世界，一切的一切都是有征兆的、有理由的、有依據(jù)的。

一、零信任

2010年，F(xiàn)orrester的首席分析師John Kindervag提出了零信任框架模型，這一模型在Google的BeyondCorp項目中得到應用。Google是第一個將零信任架構(gòu)模型落地的公司。

零信任是將網(wǎng)絡(luò)防御的邊界縮小到單個資源。其核心思想是系統(tǒng)不應自動信任任何人，不管是內(nèi)部的還是外部的，不根據(jù)物理或網(wǎng)絡(luò)位置對用戶授予完全可信的權(quán)限。系統(tǒng)在授權(quán)前對任何試圖接入系統(tǒng)的主體進行驗證。其本質(zhì)是以身份為中心進行訪問控制。

簡而言之，零信任的策略就是不相信任何人。除非確認接入者現(xiàn)在的身份，否則誰都無法接入，即便接入也無法實現(xiàn)對資源的訪問。

與傳統(tǒng)的安全策略不同，零信任框架中用戶的訪問權(quán)限不受地理位置的影響。零信任在訪問主體與客體之間構(gòu)建以身份為基石的動態(tài)可信訪問控制體系，基于網(wǎng)絡(luò)所有參與實體的數(shù)字身份，對默認不可信的所有訪問請求進行加密、認證和強制授權(quán)，匯聚關(guān)聯(lián)各種數(shù)據(jù)源進行持續(xù)信任評估，并根據(jù)信任程度動態(tài)對權(quán)限進行調(diào)整，最終在訪問主體和訪問客體之間建立動態(tài)信任關(guān)系。

零信任以盡可能接近于人的真實身份來定義數(shù)據(jù)訪問，定義某個人或者某個身份可以訪問的特定的數(shù)據(jù)，或者定義特定的數(shù)據(jù)可以被特定的身份訪問。

零信任的用戶認證模型是通過“我”的過去實現(xiàn)第一重認證，允許“我”的接入，通過“我”的現(xiàn)在實現(xiàn)第二重認證，允許“我”對資源的訪問，通過兩重認證，來綜合決定“我”我的未來，即資源的訪問權(quán)限。

二、我的過去

我的過去通過我所擁有的、我所知道的以及我的本質(zhì)特性來定義，依據(jù)這些信息生成網(wǎng)絡(luò)世界中的數(shù)字憑證。

(1)憑證的初始化

現(xiàn)實中每個人都有身份證。在網(wǎng)絡(luò)中，身份就是用戶所對應的數(shù)字個體標識。數(shù)字個體標識并非唯一，不同場景有不同的數(shù)字個體標識。非正式身份標識，如昵稱等，常用于小團體中，個體之間的信任程度相對較高，或者安全要求低，價值數(shù)字資產(chǎn)少的場景。存在如下問題：用戶可以創(chuàng)建虛假身份;用戶可以假冒他人身份;單個用戶可以創(chuàng)建多個身份;多個用戶可以共享同一身份。權(quán)威身份用于系統(tǒng)需要安全性更高的身份時的場景，相關(guān)機構(gòu)為個體創(chuàng)建權(quán)威身份憑證。

現(xiàn)實世界中，個人使用政府頒發(fā)的ID(如駕照)作為身份憑證。風險較高場景下，需要根據(jù)政府數(shù)據(jù)庫交叉核驗身份憑證，進一步增強安全保障。計算機系統(tǒng)也需要一個權(quán)威中心負責用戶身份管理，如同現(xiàn)實世界，授予用戶不同強度的身份憑證。依據(jù)風險等級的不同，可能還需要根據(jù)數(shù)據(jù)庫信息交叉核驗。

用戶身份的認證很重要。數(shù)字化身份的產(chǎn)生以及身份與人的初始關(guān)聯(lián)都是非常敏感的操作。對實體人的驗證機制必須足夠強，以防攻擊者偽裝成新員工獲取系統(tǒng)身份。當用戶無法提供身份憑證時，賬號恢復程序同樣需要足夠強的認證控制來確保實體人身份的合法性。初始認證，應該首選政府頒發(fā)的身份憑證。通常，創(chuàng)建數(shù)字身份之前需要繁雜的人工認證流程，信任的建立是基于一個已知的可信人員對待開通身份的人員的信息了解，這種間接的信任關(guān)系是后續(xù)人工認證和身份創(chuàng)建的基礎(chǔ)。在零信任網(wǎng)絡(luò)中，人工認證的可信度很高，但不是唯一的認證機制。在創(chuàng)建數(shù)字身份之前，有許多信息可以獲取。這些信息是認證數(shù)字身份的關(guān)鍵要素。這些信息可以是用戶使用的語言、家庭住址等等其他信息。

(2)憑證的存儲

用戶憑證產(chǎn)生后，通過用戶目錄記錄用戶相關(guān)信息。用戶目錄是后續(xù)所有認證的基礎(chǔ)。包括用戶名、電話號碼、組織角色，還包括擴展信息，如用戶地址或X.509證書公鑰。用戶信息極其敏感，一般用幾個相互隔離的數(shù)據(jù)庫代替單一數(shù)據(jù)庫來存儲所有用戶信息。數(shù)據(jù)庫僅能通過受限的API接口訪問，從而限制信息的暴露范圍。用戶目錄的準確性對于零信任網(wǎng)絡(luò)的安全至關(guān)重要。新老用戶交替，需要及時更新用戶目錄。專業(yè)的身份源系統(tǒng)(如LDAP或本地用戶賬號)可以與企業(yè)的人員信息系統(tǒng)打通，從而在企業(yè)人員變動時，及時更新相關(guān)信息。分離的身份源系統(tǒng)，需要選定一個權(quán)威身份原系統(tǒng)記錄身份，其他身份源系統(tǒng)從該系統(tǒng)獲取所需的權(quán)威數(shù)據(jù)。

記錄系統(tǒng)只需要存儲可以識別個人身份的關(guān)鍵性信息，比如只存儲用戶名或其他簡單的個人信息，以便用戶忘記憑證時恢復身份。

(3)身份認證

認證在零信任網(wǎng)絡(luò)中是強制行為，需要同時兼顧安全性和便捷性。當安全性以便捷性為代價，用戶很可能會想方設(shè)法削弱甚至破壞安全機制。認證用戶是通過系統(tǒng)驗證用戶是否為聲稱的那個人。不同等級的服務有不同等級的認證。比如登錄音樂訂閱服務僅需要密碼，但是登錄投資賬戶不僅需要密碼，還需要額外的驗證碼。用戶可以通過額外的認證方式提高信任等級。如果一個用戶的信任評分低于當前訪問請求的最低信任評分，此時需要進行額外的認證，如果通過認證，用戶的信任等級將提升至請求要求的水平。認證的目的是獲取信任，應根據(jù)期望的信任等級設(shè)定認證需求機制。通過設(shè)置信任評分閾值來驅(qū)動認證流程和需求。系統(tǒng)可以選取任意的認證方式進行組合以滿足信任評分要求，掌握每種認證方式的可信度及可訪問信息的敏感度，有助于設(shè)計對攻擊更免疫的系統(tǒng)，自適應的按需認證和授權(quán)。

傳統(tǒng)認證模式基于邊界安全的思想，分出一個高度敏感的數(shù)據(jù)區(qū)域，對其進行盡可能高的強認證，即便用戶之前已經(jīng)做過一定的認證并且積累了足夠的信任度。這種認證模式下，一旦用戶取得了數(shù)據(jù)區(qū)域的授權(quán)，就能不受任何限制的操作，不再有其他安全機制進行保護。

(4)憑證的遺失

現(xiàn)實世界中，憑證可能丟失或者被盜。如果遺失了政府頒發(fā)的身份憑證，政府機構(gòu)通常需要個人提供其他相關(guān)身份信息(如出生證明或指紋)，以重新頒發(fā)身份憑證。計算機系統(tǒng)處理機制類似，通過其他驗證方式為用戶頒發(fā)身份憑證。但是驗證方式和驗證材料的選取不當可能會誘發(fā)安全隱患。

三、我的現(xiàn)在

• 如何判斷操作某臺計算機的用戶一定是預期中的合法用戶?
• 如果合法用戶忘記鎖屏或者個人疏忽導致他人濫用怎么辦?

對于保護數(shù)據(jù)，正常的訪問數(shù)據(jù)行為是可以被定義和窮盡的。因此，可以限定安全訪問的行為范圍，任何限定范圍之外的行為都是不合規(guī)、不安全的。此外，通過對歷史訪問行為的學習，可以對正常訪問進行特征畫像，不符合正常訪問特征的訪問行為都是不合規(guī)的。

四、我的未來

針對對數(shù)字資產(chǎn)(包括數(shù)據(jù)、應用等)的訪問權(quán)限，NIST提出了三個邏輯組件來動態(tài)授權(quán)和認證：

• 策略引擎(Plolicy Engine，PE)，負責確定授權(quán)
• 策略管理員(Policy Administrator，PA)，根據(jù)策略引擎的結(jié)果建立或管理通往資源的通信路徑。
• 策略執(zhí)行點(Policy Enforcement Point，PEP)，位于請求主體和目標資源之間，啟用、監(jiān)測和終止連接。 

訪問主體在PEP進行認證和授權(quán)，策略決策點(Policy Decision Point)對認證后的身份執(zhí)行相應的策略，身份認證和授權(quán)均在訪問之前執(zhí)行。數(shù)據(jù)平面的PEP在運行時對系統(tǒng)進行持續(xù)監(jiān)測，以確保持續(xù)的合規(guī)性和治理控制。

五、零信任的用戶信任案例

在騰訊安全發(fā)布的《零信任接近方案白皮書》中詳細描述了騰訊零信任解決方案的用戶信任的建立方式。

首先，有多種認證方式來確保用戶可信：如企業(yè)微信掃碼、Token雙因子認證、生物認證等。用戶身份與企業(yè)本地身份、域身份以及自定義賬號體系靈活適配。在用戶體驗上，通過應用系統(tǒng)單點登錄(SSO)，讓應用使用更加便捷。

其次，訪問主體的信任評估持續(xù)進行，并伴隨整個訪問過程。一旦評估異常，訪問權(quán)限動態(tài)自動調(diào)整，保證業(yè)務訪問的最小權(quán)限。受控終端訪問策略直接控制終端發(fā)起的應用進程，訪問網(wǎng)關(guān)根據(jù)訪問控制策略對訪問流量進行二次校驗，確保人-應用-訪問目標合法，確保訪問主體行為合法。

用戶可信識別提供用戶全生命周期的身份管理和多因素身份認證能力。針對用戶/用戶組制定網(wǎng)絡(luò)訪問權(quán)限策略。在設(shè)備接入前，對用戶進行業(yè)務權(quán)限授權(quán)，非授權(quán)的業(yè)務資源完全不可見，做到最小特權(quán)。在設(shè)備接入后，持續(xù)驗證所有用戶的身份，提供包括企業(yè)微信掃碼、LDAP認證、域認證、Token雙因子認證在內(nèi)的多種身份驗證方式。通過身份可信識別能力實現(xiàn)合法的用戶使用合法的終端，使合法的應用對保護資產(chǎn)進行合法的訪問。

六、小結(jié)

零信任對網(wǎng)絡(luò)安全進行了重構(gòu)，無邊界的網(wǎng)絡(luò)、基于可信的身份、動態(tài)授權(quán)、持續(xù)信任評估成為新的安全理念。在零信任網(wǎng)絡(luò)中，每個訪問主體都有自己的身份。訪問主體的訪問權(quán)限，由數(shù)字憑證和主體行為動態(tài)確定。換句話說，現(xiàn)在的我才是真的我。