随着信息技术的不断进步，云计算、物联网以及移动设备的普及，信息泄露等安全问题愈发频繁。近期，一起某高校学生的信息泄露事件引发了大家的广泛讨论。该校学生利用其身份便利，非法获取了大量学生的姓名、学号、照片等隐私信息。

这次热门话题的讨论后，人们再次认识到隐私信息的重要性，并对身份管理的安全性产生了担忧。

身份信息被盗用不仅关乎个人隐私和财产安全，还会导致企业核心数据泄漏影响企业正常生产。因此无论是对个人，还是对企业，可靠的身份管理系统都是重要的，也都是必要的。

面对数字化时代复杂多样的信息安全威胁，传统边界安全架构的身份管理系统已不可靠。为了保护企业的敏感数据和资源，保障个人的隐私信息安全，建立基于零信任架构的身份管理平台，成为了人们提升身份管理安全性的可靠方式。

01.什么是零信任架构

零信任架构（Zero Trust Architecture）是一种以身份为中心的网络安全模型。它主张以最小权限原则来进行访问控制，而不再依据网络边界和用户身份来判断是否能够进行访问。

在《零信任网络》一书中，作者通过五个假设前提对零信任架构进行了抽象概括：

网络无时无刻不处于危险的环境中。
网络中自始至终存在外部或内部威胁。
网络的位置不足以决定网络的可信程度。
所有设备、用户和网络流量都应被认证和授权。
安全策略必须是动态的，并基于尽可能多的数据源计算而来

零信任架构遵循“从不信任，始终验证”的策略。在默认情况下，企业内外部的任何人、事、物均不可信，任何用户都必须通过认证和授权才能访问资源。

根据对零信任架构的理解，可将零信任架构的原则归纳如下：

身份作为访问控制基础：零信任架构依赖于对所有参与对象进行身份验证来建立信任关系。这些参与对象包括基础网络、设备、用户和应用等。零信任架构赋予所有对象数字身份，并基于身份而非网络位置构建访问控制体系。
最小权限原则：零信任架构强调按需分配资源并且只授予执行任务所需的最低权限，同时限制资源的可见性。通过使用端口隐藏等技术手段，未经认证的访问主体无法看到资源。授权决策考虑了人员、设备、应用等实体身份的组合，以及访问需求、信任评估和权限策略计算，确定是否授予访问权限。
实时计算访问控制策略：授权决策基于主体的身份信息、权限信息、环境信息和当前主体的信任等级等实时计算，形成访问控制策略。在资源访问过程中，如果授权决策依据发生变化，将重新进行计算分析，并在必要时即时更改授权决策。
资源受控安全访问：零信任架构要求对所有业务场景和资源的每个访问请求进行强制身份识别和授权判定，确保访问请求的权限和信任等级符合安全策略要求后才予以放行，并实施会话级的细粒度访问控制。零信任假定网络互联环境不安全，并要求所有访问连接都必须加密。
基于多源数据进行信任等级持续评估：主体信任等级是零信任授权决策的判定依据之一，它根据实时多源数据（如身份、权限、访问日志等）计算得出。信任等级的评估越准确，参与计算的数据种类越多且可靠性越高。人工智能技术的快速发展为信任评估提供支持，通过专家系统、模型训练、机器学习等人工智能技术，针对应用场景提高信任评估策略计算效率，实现零信任架构在安全性、可靠性、可用性和安全成本等方面的综合平衡。

02.零信任架构的优势及关键技术

传统边界安全架构认为企业“内部”和“外部”之间具有明确分界点，并通过边界将其区分开来。这样的架构通常会向边界内的用户和设备授予广泛的访问权限，且无法细化相关权限，一旦攻击者获得了访问权限，边界内的所有内容都会受到严重的安全威胁。

而零信任架构依据“从不信任，始终验证”的策略，每次访问时都要针对每个事务和连接进行身份验证。通过身份验证后，还会根据最小权限原则，获得极其有限的访问特权。相比传统的边界安全架构，零信任架构可以有效的防止信息数泄漏，具有极强的安全性。

零信任架构并非技术，而是一种安全理念。根据 NIST 介绍，实现零信任架构有三大核心技术“SIM”，分别是软件定义边界（SDP）、身份识别与访问管理（IAM）、微隔离（MSG）。

软件定义边界（Software Defined Perimeter, SDP）

软件定义边界是零信任架构中的一种关键技术，它通过将网络资源隐蔽起来并限制访问，以实现更高级别的安全性。SDP 利用加密和访问控制策略来建立一个虚拟的、透明的网络边界，以保护应用程序和数据。SDP 使得只有经过认证的用户和设备能够访问授权的资源，而无关联的用户和设备则无法看到和访问这些资源。通过 SDP，网络资源仅对授权用户可见，同时提供更细粒度的访问控制，从而减少了攻击者的攻击面。

身份识别与访问管理（Identity and Access Management, IAM）

身份识别与访问管理是零信任架构中的另一个关键技术，它负责管理和控制用户的身份验证和授权访问。IAM 通过识别用户身份并基于其角色、权限和上下文信息来控制用户对系统和资源的访问。在零信任架构中，每个用户都需要进行身份验证，并根据需要分配适当的权限来访问所需的资源。IAM 还能监测和响应异常行为，以及实施多因素身份验证，以增加安全性和保护系统免受未经授权的访问。

微隔离（Micro-Segmentation）

微隔离是一种在零信任架构中使用的网络安全技术，它通过将网络划分为多个微小的安全区域来减少攻击面和横向移动的可能性。微隔离可确保网络中的每个工作负载都处于独立的安全域中，并使用细粒度的访问控制策略来限制流量和连接。这样，即使一个工作负载被攻击，攻击者也难以横向移动到其他工作负载中。微隔离还可检测和阻止异常流量和恶意行为，并为每个工作负载提供安全隔离，以增加整体网络的安全性和可靠性。

03.基于零信任架构的身份管理平台实践

在零信任架构中，传统的边界防御模型被取代，将信任的重心从网络边界转移到了每个用户和设备的身份验证和授权上。身份管理在这一过程中扮演了关键角色，用于管理和验证用户的身份，并授予适当的访问权限。

身份管理是保障信息安全的重要一道防线，作为下一代事件驱动的云原生身份治理平台，Authing 身份云正是零信任架构下身份管理系统的产品实现。Authing 身份云还通过在认证、访问控制、身份治理和特权身份管理方面上的能力，将零信任架构的原则付诸实践：

多因素认证（MFA）： 通过确认实体身份建立信任，并结合密码、验证码、指纹、人脸等多个因素，使身份验证更加安全可靠。
统一身份管理：采用统一的身份管理系统，可以集中管理用户的身份认证信息和权限，提高管理效率，并确保一致性和准确性。
动态访问控制：基于用户的身份、设备和环境等因素，动态地分配和调整访问权限，确保用户只有在必要时才能访问特定资源。
权限最小化：定期对服务器资产进行扫描，及时关闭非必要的端口及服务，保障对外权限最小化，过滤不安全的服务，为用户分配最低必要权限，限制用户的访问范围，减少潜在的风险。
数据安全审计：提供详细的数据访问与操作日志审计，安全审计覆盖所有数据活动的详细跟踪记录。生成的结果报表使所有数据活动详细可见，如登录失败、权限升级、计划变更、非法访问、敏感数据访问等，这些行为是否合规一览无余，做到所有用户操作有踪可寻。

在认证授权方面，MFA虽然能一定程度上避免凭证被盗用风险，但因其受限于设备（例如设备需要支持指纹和人脸识别）、技术等客观因素，并不能有效覆盖认证的所有场景。而且增加不必要的因素认证流程也会增加用户体验的负担。

Gartner 也在相关报告中指出，在当前的网络安全环境下，实施 MFA 不能有效应对复杂持续的网络攻击，而且还需要更高的管理成本。同时，Gartner 提倡通过持续自适应信任（CAT）方式，让只有持续获得信任的实体才被允许继续访问，从而更安全地适应不断变化的威胁环境。

Gartner：将焦点从 MFA 转移到持续自适应信任（CAT）

CAT 动态且持续的信任验证和授权方式，也是零信任架构的重要体现。基于此，Authing 身份云也在 MFA 能力上，实现了更安全的身份验证方式——持续自适应多因素认证（CAMFA）。CAMFA 在用户整个使用旅程中持续不断的对其进行信任评估，以决定是否需要增加额外的认证流程。弥补了 MFA 的不足，有效解决了企业安全风险和用户体验问题。