譯者 | 李睿

審校 | 重樓

在當今這個網(wǎng)絡威脅無處不在（或只需掃描二維碼就被攻擊）的世界中，傳統(tǒng)的“城堡與護城河”安全策略已遠遠不夠。零信任（Zero Trust）安全模型應運而生，它顛覆了傳統(tǒng)模式，要求每個請求都必須經(jīng)過驗證、認證和監(jiān)控，無論它來自何處。對于處理敏感數(shù)據(jù)的ASP.NET Core API開發(fā)者來說，這不僅僅是一種趨勢，更是一種必要的措施。

以下將深入了解在ASP. NET Core API實現(xiàn)零信任的原因、內容和方法。

什么是零信任，為什么它很重要？

除了作為流行語之外，“零信任”的意思就像其名稱一樣： 不信任任何人、任何事，并且始終進行驗證。你可以將自己的家想象成為一個零信任的環(huán)境。在傳統(tǒng)的安全設置中，一旦有人獲得房子大門鑰匙，就可以進入家中任何房間。零信任則顛覆了這一模式：即使有人打開房子大門，他們仍然需要獲得每個房間、衣柜和抽屜的個人權限才能進入。

在零信任的房子里：

• 每一步都進行身份驗證：即使進入房子大門之后，也必須反復驗證訪客身份。想進入廚房？需要證明你是誰。從保險箱里拿東西？再次證明你的訪問權限。想打開酒窖？必須年滿21歲。
• 最小權限訪問：每個房間都有不同的訪問級別。例如，快遞員只能進入門廊，不能進入客廳；水管工可以進入浴室，但不能進入其他房間。他們沒有全面的訪問權限——每個人只在需要的時候獲得訪問權限。
• 持續(xù)監(jiān)控：每個房間都安裝了安全攝像頭和運動探測器，跟蹤誰在何處以及何時出現(xiàn)，如果有人試圖進入他們不應該去的地方，就會提醒房主。

零信任意味著從不假設基于先前訪問的信任。從房主到訪客的每個人，都會不斷進行驗證，每次互動都是安全的，可以讓房子免受他人非法進入。

簡而言之，零信任是人們對安全觀念的根本轉變。傳統(tǒng)模式依賴于網(wǎng)絡中的一切都是可信的這一理念。但是當威脅已經(jīng)在內部存在時，會發(fā)生什么呢? 零信任說：“永遠不要信任，永遠要驗證。”每個用戶、設備和請求都被視為潛在的惡意，除非另有證明。

利弊一覽：

• 優(yōu)點：更強的安全性，最大限度地減少內部威脅，對訪問進行精細控制，增強合規(guī)性。
• 缺點：實現(xiàn)起來可能很復雜，特別是在原有系統(tǒng)中，需要持續(xù)的管理。

零信任不僅適用于銀行或醫(yī)療保健等高安全環(huán)境，它正迅速成為任何構建處理敏感數(shù)據(jù)、提供遠程訪問或連接微服務的API的標準。

因此，可以建立一個零信任的房子來進一步推進這個想法。

步驟1：鎖上房門——身份驗證

在零信任的房子里，第一道防線是房子的門鎖。在這里，每個訪客（無論是家人、朋友還是快遞員）都必須證明自己的身份才能獲準進入。同樣，ASP. NET Core API在其中充當這個門鎖，用戶在獲得任何級別的訪問權限之前必須驗證他們的身份。這意味著使用基于令牌的身份驗證（如JWT（JSON Web Tokens）等）來實現(xiàn)強大的身份驗證機制，以驗證每個訪問者——無論他們是新客戶還是回頭客。但需要記住，僅僅因為某人有鑰匙并不意味著他們可以訪問一切。

• 令牌作為各個房間鑰匙： 正如每位客人都會收到一個唯一的密鑰一樣，API的用戶也會收到驗證其身份的令牌（如JWT）。這些令牌是在成功登錄后發(fā)放的，必須在每個訪問點出示，反復驗證用戶。
• 多因素身份驗證（MFA）：除了基本的鑰匙之外，多因素身份驗證(MFA)就像擁有鑰匙和安全警報代碼一樣——增加了另一層安全保障，以確保是正確的人進入。這一額外步驟可以防止未經(jīng)授權的訪問，即使有人設法竊取了密鑰(令牌)）。

實施示例：

C#

 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
 .AddJwtBearer(options =>
 {
 options.TokenValidationParameters = new TokenValidationParameters
 {
 ValidateIssuer = true,
 ValidateAudience = true,
 ValidateLifetime = true,
 ValidateIssuerSigningKey = true,
 ValidIssuer = Configuration["Jwt：Issuer"],
 ValidAudience = Configuration["Jwt：Audience"],
 IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt：Key"]))
 };
 });

這段代碼將API設置為在房門檢查令牌，確保沒有人在沒有正確標識的情況下進入。使用像Microsoft.AspNetCore.Authentication.JwtBearer這樣的庫來輕松集成JWT身份驗證。確保對每個請求安全地生成、簽名和驗證令牌。

步驟2：逐個房間訪問——授權

在傳統(tǒng)的房子里，一旦有人進入，就可以進入內部任何房間。零信任改變了這一點：每個房間都需要單獨的鑰匙才能打開——無論是廚房、臥室還是車庫。同樣，API應該對每個請求執(zhí)行授權檢查，確保用戶只能訪問他們被明確允許授權的內容。

• 細粒度訪問控制：就像不同的房間只對特定的人開放一樣(廚房對家人開放，地下室對修理工開放)，API資源也會根據(jù)角色和權限進行限制。這可以防止用戶訪問他們不需要的敏感數(shù)據(jù)或功能。
• 動態(tài)訪問策略：房間訪問不是靜態(tài)的；權限可以根據(jù)一天中的時間、用戶角色甚至場景而改變——例如在主人不在家時限制他人進入某些房間。同樣，API中的授權策略應該是動態(tài)的，適應用戶角色和當前場景以確保安全。

基于策略的授權示例：

C#

 services.AddAuthorization(options =>
 {
 options.AddPolicy("CanEnterKitchen", policy => policy.RequireClaim("RoomAccess", "Kitchen"));
 });

在ASP.NET Core中實施基于策略或基于角色的訪問控制，使用AuthorizeAttribute和策略定義。在設計策略時要盡可能具體，只授予每個操作所需的最小訪問權限。在這個例子中，上述策略確保了只有具有正確聲明的用戶才能訪問特定的API端點，這類似于每個房間都有單獨的鑰匙。

步驟3：最小權限原則——僅授予必要的權限

“零信任”的運作原則是最小特權原則，例如只允許水管工進入浴室，而不是其他房間。通過確保每個用戶都具有執(zhí)行任務所需的最低級別訪問級別，并將這一原則應用于API。最小特權原則是零信任制度的基石之一?？梢赃@樣想：每個用戶、服務和設備只獲得他們需要的最低權限。ASP.NET Core基于策略的授權使其易于使用[Authority]和基于角色的策略等屬性進行管理。

• 減少攻擊面：通過限制訪問，減少了入侵者可以利用系統(tǒng)的途徑。就像可訪問的房間越少，入侵者可以隱藏的地方就越少一樣，最小權限原則降低了數(shù)據(jù)泄露或未經(jīng)授權操作的風險。
• 臨時訪問：在某些情況下，可能會暫時授予某個房間的訪問權限，就像讓水管工工作一個小時后再鎖上門一樣。同樣地，API中的臨時或限時訪問可以確保權限不會在需要之后仍然保持開放狀態(tài)。
• 微分段：另一個應該記住的專業(yè)術語是微分段。這個想法是將API劃分為孤立的段，每段都由自己的一套規(guī)則保護?？梢詫⑵湎胂蟪蓪?/span>其應用程序拆分成更小、更易管理的部分，這樣更容易確保安全。假設水管工來修理壞掉的水槽；他可以進入廚房，然后修理水槽，因此將提供足夠完成工作的訪問權限。

示例：

C#

 [Authorize(Policy = "CanEnterKitchen")]
 [Authorize(Policy = "CanAccessSink")]
 public IActionResult FixSink()
 {
 // Kitchen and sink specific logic
 }

使用基于聲明的授權來指定用戶可以執(zhí)行的操作，并確保在不再需要時撤銷權限。通過在細粒度級別上限制訪問，可以減少系統(tǒng)中未經(jīng)授權操作的風險。

步驟4：持續(xù)監(jiān)控——密切關注每個房間

想象一下，每個房間都有安全攝像頭(在現(xiàn)實生活中不應該這樣做……)，跟蹤每一個動作，并在出現(xiàn)異?；顒訒r向房主發(fā)出警報。這是零信任設置中持續(xù)監(jiān)控的核心——時刻監(jiān)視，時刻驗證。在零信任API中，這體現(xiàn)為持續(xù)的監(jiān)控和日志記錄。實施像Application Insights或Serilog這樣的解決方案來密切關注API中發(fā)生的事情，實時識別潛在的威脅。在零信任架構中，監(jiān)控不是事后才考慮的事情；它是一個核心原則。持續(xù)監(jiān)控有助于及早發(fā)現(xiàn)異常行為，并在其演變成全面安全漏洞之前采取行動。

• 實時警報：就像攝像頭可能會在有人進入受到限制的房間時通知房主一樣，API中的監(jiān)控工具在發(fā)生可疑操作(例如多次失敗的登錄嘗試或訪問受限制的數(shù)據(jù))時提供實時警報。
• 審計跟蹤：除了即時警報之外，記錄每次訪問嘗試就像記錄每個訪客在房子里的活動一樣。這有助于事后分析，并通過識別薄弱環(huán)節(jié)加強安全態(tài)勢。

Serilog示例：

C#

Log.Information("User {UserId} accessed {Endpoint} at {Time}", userId, endpoint, DateTime.UtcNow);

記錄每個操作可以發(fā)現(xiàn)的模式，檢測異常，并在問題升級之前快速采取行動。除了日志記錄之外，還可以對異常設置自動警報，以實現(xiàn)快速響應。

步驟5：驗證、重新驗證——信任，但始終驗證

即使在這個房子里，零信任原則也要求時刻保持警惕。僅僅因為某人已進入某個房間，并不意味著他們可以隨意走動。通過不斷重新驗證用戶權限，確保沒有人可以訪問超出其允許范圍的權限，將同樣的嚴格性應用于API。

• 自適應安全性：就像看門狗一樣，零信任原則確保根據(jù)最新的場景(訪問時間、位置或用戶行為)不斷檢查權限和訪問。這種自適應方法意味著安全策略可以動態(tài)調整以保持最高級別的保護。

上述代碼對于熟悉ASP.NET Core的開發(fā)者來說，其內容清晰易懂。ASP. NET core開發(fā)人員用來保護API的常用機制可以在特定的用例中選擇基于角色的授權(RBAC)和/或基于屬性的授權(ABAC)，而不是基于策略的授權。

總結：掌握鑰匙，守護家園

在零信任架構中，設計的系統(tǒng)最初會假定每個人和每件事都是不可信任的，然后根據(jù)所呈現(xiàn)的密鑰類型來允許特定的請求“進入”。零信任架構旨在重新定義如何保護數(shù)字空間。通過在每個環(huán)節(jié)鎖定訪問權限、持續(xù)驗證行為，并確保默認情況下不信任任何人，可以創(chuàng)建一個能夠抵御現(xiàn)代安全威脅的系統(tǒng)。需要記住的是，安全可靠的房子不僅僅依賴于堅固的大門；它在各個層面都受到保護。

在ASP.NET Core API中實現(xiàn)零信任架構，就像升級家庭安全系統(tǒng)一樣——每個房間都被鎖住，每個動作都被驗證，每個訪客都在監(jiān)視之下。這不是偏執(zhí)狂的表現(xiàn)；而是逐步確認房子安全。這個模型不僅能把入侵者擋在門外；還能讓系統(tǒng)在面對不斷變化的數(shù)字威脅時保持彈性、響應性和魯棒性，能夠應對不斷變化的數(shù)字威脅。

關鍵要點是什么？在零信任的房子里，規(guī)則很簡單：未經(jīng)證明身份和歸屬，誰也不能進去，誰也不能移動，誰也不能行動。在ASP.NET Core API中實現(xiàn)這一點，不僅僅是智能安全——如果需要保護數(shù)字空間中的敏感數(shù)據(jù)和端點，這是一個必要的發(fā)展。

原文標題：Building a Zero Trust API With ASP.NET Core： A Developer’s Guide，作者：Aneesh Gopalakrishnan