《零信任体系化能力建设:身份可信与访问管理.docx》由会员分享,可在线阅读,更多相关《零信任体系化能力建设:身份可信与访问管理.docx(12页珍藏版)》请在第一文库网上搜索。
1、零信任体系化能力建设:身份可信与访问管理目录前言1?零信任身份安全1?身份安全的关键能力2?身份库多方整合3?认证与凭据管理3?访问与授权管理4?身份安全的最佳实践10?梳理身份能力10?减少口令使用11?缩减特权账户11?强化操作集成11?结语12前言以身份基石、构建并实施零信任是大多数厂商和解决方案的共识,究其原因主要有两个,其一是企业组织需要通过身份来管理权限、实施授权,并控制访问,其二是与身份相关的攻击手段越来越多地被用于实施网络攻击。本文主要从与身份相关的安全建设入手,讨论了零信任安全中身份库、认证、授权和访问控制等问题。关键字:零信任;成熟度模型;身份安全;访问授权零信任身份安全根
2、据身份定义安全联盟IDSA2023年数字身份安全趋势的调查结果,随着数字身份的激增,针对身份的攻击事件也在增加,其中最常见的手段是钓鱼攻击(占62%),其他与身份相关的安全事件包括暴力破解攻击(占31%)、社交工程密码攻击(占30%)、特权身份入侵(占28%)、凭证盗用(占28%)等。在N1ST零信任参考架构中,身份是指描述用户或实体(包括非人实体,如设备、应用程序或服务)的一个或一组属性。零信任的实施以身份为中心,确保正确的人(或实体)在正确的上下文中,以正确的权限级别访问正确的资源,并且持续评估访问权限。在实际的零信任实践中,不同企业业务和架构的差异,导致“身份”的范围和组成(与业务和资源
3、访问场景密切相关)具有明显的差异,为了推动零信任身份能力的成熟度演进,组织需要结合自身的需要和现状,从身份治理的顶层规划出发,梳理、建设并持续发展相关能力。图1给出了在“身份”能力域中,组织所应考虑和关注的身份能力范围和组成。用户身份设备身份网络身份服务器身份资源身份图1零信任身份安全能力的组成身份安全的关键能力在企业网络安全建设中,仅仅保护终端设备、基础设施和网络,并不能有效防御基于身份和凭证的攻击威胁,为了能够解决类似账户劫持的身份攻击问题,组织必须建设并实施以身份为中心的安全措施,以保障业务和数据安全。因此,组织在身份安全能力建设中,应重点关注身份、凭据和访问管理等方面的能力建设,以确保
4、达成以下目标: 通过验证和认证请求访问的人员、进程或设备,确保其被正确授权; 理解并实现正确的请求上下文; 确定访问环境的风险,结合最小权限的执行,为组织提供了最高的安全姿态。身份库多方整合身份管理需要为当前所有用户(包括人员和非人实体)建立准确的身份清单,其内容包含身份治理实践所需的各种身份属性。在大多数早期的企业系统和应用中,每个系统都有自己的身份数据存储(并进行独立授权),这些数据可能分散在各个部门、业务系统和应用程序之间。企业也可能使用多个独立的身份库来管理不同类型的身份信息(例如员工身份、客户身份和合作伙伴身份),并由不同的团队或部门管理,导致身份数据的冗余和不一致。这些分散、异构和
5、独立的身份库为企业实施零信任带来了挑战。例如,如果HR系统在更新员工信息后,没有将其及时同步到访问管理系统,将会导致身份数据的不一致,进而影响用户授权和访问安全。为了改善企业的身份库现状,组织在建设身份安全能力时,需要将身份数据集中到一个统一的身份管理系统中,并确保身份数据在不同系统和应用间的及时同步和集成,以改善身份管理的效率、安全性和一致性。认证与凭据管理凭据管理是指管理和保护用户(包括NPE)的身份验证凭据,如用户名、密码、证书、令牌等,确保凭据的安全性、可靠性和合规性。凭据管理包括凭据的颁发、使用和撤销。一旦身份管理系统为用户建立了身份,就必须为其颁发安全的凭据,以向系统证明其所声称的
6、身份。通常,由于实体在组织中可能担任不同的角色或职责,每个身份可以与多个凭据相关联,特别是对于高权限用户,一般需要为其特权角色和非特权角色创建并使用不同的凭据。通常,认证因素可分为所知、所持和所有内容3类,多因素认证(MFA)采用其中的至少两种进行身份认证。NIST的SP800-63B按认证保证级别(AA1)将认证强度划分为3个等级,包括AA11AA130对具有关键资源访问权限的人员用户,建议使用强认证方法,这些认证方法在用户设备和服务器之间建立了持续的身份认证连接,以便提供抗钓鱼能力。非人实体的认证应通过基于硬件的机制进行保护。理想情况下,NPE实体身份通过公钥证书来表征,无论该实体是物理设
7、备、进程还是其他逻辑实体,其私钥受所属实体的严格控制。不支持公钥认证的实体可以使用随机生成、且满足长度要求的口令字(PaSSWOrd),这些口令字根据需要存储在受硬件保护的口令库或隔离环境中。另外,还需要关注密码敏捷的问题。当系统采用的密码技术过时或安全强度降低时,企业必须能够通过快速撤销过时或受损的机制,并使用安全方法部署新的凭据。访问与授权管理访问与授权管理负责建立、维护访问授权策略和鉴权机制,以确保只有经过身份验证和授权的用户才能够访问受保护资源。不同的访问控制框架因采用不同的实现机制和安全模型,能够在不同层级上提供访问决策,但更精细的访问规则代表着较高的成熟度。在设计访问控制机制时,应
8、考虑粒度、可靠性、可用性以及对资源的潜在风险等因素。基于属性的访问控制(ABAe)模型提供了满足这些目标所需的灵活性,能够兼容实施不同的访问控制策略、层次化的执行机制,以及丰富的上下文属性集合。在零信任(ZeroTrUSt)中,上下文指的是访问请求发生时的环境和相关信息。这些上下文信息可以包括用户身份、设备属性、网络位置、应用、时间、行为模式等(如表Do通过分析和综合这些上下文信息,可以更好地评估访问请求的风险程度,并做出相应的访问决策。这种基于上下文的访问控制可以根据实际情况对每个访问请求进行细粒度的评估,并采取适当的安全措施,以确保安全访问。风险自适应的访问控制框架能够确保组织在对抗威胁时
9、,平衡可靠性、可用性和任务性能,更适合应对突发威胁,同时保持任务关键的操作运行。表1与访问会话相关的上下文组成示例用户设备网络设备网络应用网络应用时间用户身份,如用户名、角色、组织等设备类型,如台式电脑、笔记本电脑、智能手机等网络位置,如访问请求的来源网络、子网等应用标识,如应用的名称、标识符等时间戳,访问请求的时间戳终端属性,如用户设备的类型、操作系统、浏览器版本等健康状态,如设备的安全状态、补丁更新情况等网络安全状态,如网络中的安全控制措施、入侵检测系统、防火墙等应用类型,应用的功能或服务类型,如电子邮件、数据库访问等时间段,访问请求发生的时间段,如工作时间、非工作时间等位置信息,如用户的
10、物理位置、IP地址等设备位置,设备的物理位置信息等网络流量,如访问请求的网络流量模式、数据包大小等数据敏感性,如所处理数据的敏感程度等访问行为,如用户的历史访问模式、活动模式等设备行为,如设备的网络流量模式、异常活动等应用权限,如应用的访问权限、操作权限等实施最小权限访问策略可以将攻击者权限限制在有限的凭证集上,从而减少可应用时间用户身份,如用户名、角色、组织等设备类型,如台式电脑、笔记本电脑、智能手机等时间用户身份,如用户名、角色、组织等设备类型,如台式电脑、笔记本电脑、智能手机等网络位置,如访问请求的来源网络、子网等应用标识,如应用的名称、标识符等时间戳,访问请求的时间戳终端属性,如用户设
11、备的类型、操作系统、浏览器版本等健康状态,如设备的安全状态、补丁更新情况等网络安全状态,如网络中的安全控制措施、入侵检测系统、防火墙等应用类型,应用的功能或服务类型,如电子邮件、数据库访问等时间段,访问请求发生的时间段,如工作时间、非工作时间等位置信息,如用户的物理位置、IP地址等设备位置,设备的物理位置信息等网络流量,如访问请求的网络流量模式、数据包大小等数据敏感性,如所处理数据的敏感程度等访问行为,如用户的历史访问模式、活动模式等设备行为,如设备的网络流量模式、异常活动等应用权限,如应用的访问权限、操作权限等用户身份,如用户名、角色、组织等设备类型,如台式电脑、笔记本电脑、智能手机等网络位
12、置,如访问请求的来源网络、子网等应用标识,如应用的名称、标识符等时间戳,访问请求的时间戳终端属性,如用户设备的类型、操作系统、浏览器版本等健康状态,如设备的安全状态、补丁更新情况等网络安全状态,如网络中的安全控制措施、入侵检测系统、防火墙等应用类型,应用的功能或服务类型,如电子邮件、数据库访问等时间段,访问请求发生的时间段,如工作时间、非工作时间等位置信息,如用户的物理位置、IP地址等设备位置,设备的物理位置信息等网络流量,如访问请求的网络流量模式、数据包大小等数据敏感性,如所处理数据的敏感程度等访问行为,如用户的历史访问模式、活动模式等设备行为,如设备的网络流量模式、异常活动等设备类型,如台
13、式电脑、笔记本电脑、智能手机等网络位置,如访问请求的来源网络、子网等应用标识,如应用的名称、标识符等时间戳,访问请求的时间戳终端属性,如用户设备的类型、操作系统、浏览器版本等健康状态,如设备的安全状态、补丁更新情况等网络安全状态,如网络中的安全控制措施、入侵检测系统、防火墙等应用类型,应用的功能或服务类型,如电子邮件、数据库访问等时间段,访问请求发生的时间段,如工作时间、非工作时间等位置信息,如用户的物理位置、IP地址等网络位置,如访问请求的来源网络、子网等应用标识,如应用的名称、标识符等时间戳,访问请求的时间戳应用标识,如应用的名称、标识符等时间戳,访问请求的时间戳时间戳,访问请求的时间戳终
14、端属性,如用户设备的类型、操作系统、浏览器版本等健康状态,如设备的安全状态、补丁更新情况等网络安全状态,如网络中的安全控制措施、入侵检测系统、防火墙等应用类型,应用的功能或服务类型,如电子邮件、数据库访问等时间段,访问请求发生的时间段,如工作时间、非工作时间等位置信息,如用户的物理位置、IP地址等设备位置,设备的物理位置信息等网络流量,如访问请求的网络流量模式、数据包大小等数据敏感性,如所处理数据的敏感程度等访问行为,如用户的历史访问模式、活动模式等设备行为,如设备的网络流量模式、异常活动等应用权限,如应用的访问权限、操作权限等健康状态,如设备的安全状态、补丁更新情况等网络安全状态,如网络中的
15、安全控制措施、入侵检测系统、防火墙等应用类型,应用的功能或服务类型,如电子邮件、数据库访问等时间段,访问请求发生的时间段,如工作时间、非工作时间等位置信息,如用户的物理位置、IP地址等应用权限,如应用的访问权限、操作权限等实施最小权限访问策略可以将攻击者权限限制在有限的凭证集上,从而减少可能引起的损害,也可以限制用户由于疏忽、意外或恶意带来的损害。终端属性,如用户设备的类型、操作系统、浏览器版本等健康状态,如设备的安全状态、补丁更新情况等网络安全状态,如网络中的安全控制措施、入侵检测系统、防火墙等应用类型,应用的功能或服务类型,如电子邮件、数据库访问等时间段,访问请求发生的时间段,如工作时间、非工作时间等位置信息,如用户的物理位置、IP地址等设备位置,设备的物理位置信息等网络流量,如访问请求网络安全状态,如网络中的安全控制措施、入侵检测系统、防火墙等应用类型,应用的功能或服务类型,如电子邮件、数据库访问等时间段,访问请求发生的时间段,如工作时间、非工作时间等位置信息,如用户的物理位置、IP地址等设备位置,设备的物理位置信息等网络流量,如访问请求的网络流量模式、数据包大小等数据敏感性,如所处理数据的敏感程度等访问行为,如用户的历史访问