在零信任網(wǎng)絡(luò)中做出訪問(wèn)決策時(shí)，用戶(hù)、服務(wù)和設(shè)備身份是一個(gè)非常重要的因素。

　　介紹

　　身份可以代表用戶(hù)（人）、服務(wù)（軟件過(guò)程）或設(shè)備。在零信任架構(gòu)中，每個(gè)都應(yīng)該是唯一可識(shí)別的。這是決定是否應(yīng)授予某人或某物訪問(wèn)數(shù)據(jù)或服務(wù)的權(quán)限的最重要因素之一。

　　這些唯一身份是輸入策略引擎的眾多信號(hào)之一，策略引擎使用此信息做出訪問(wèn)決策。例如，在允許訪問(wèn)服務(wù)或數(shù)據(jù)之前，策略引擎可以評(píng)估用戶(hù)和設(shè)備身份信號(hào)以確定兩者是否真實(shí)。

　　用戶(hù)、服務(wù)和設(shè)備分配單一身份來(lái)源的重要第一步。

　　用戶(hù)身份

　　組織應(yīng)使用明確的用戶(hù)目錄，創(chuàng)建與個(gè)人相關(guān)聯(lián)的帳戶(hù)。這可以以虛擬目錄或目錄同步的形式出現(xiàn)，以呈現(xiàn)單個(gè)用戶(hù)目錄的外觀。

　　每個(gè)身份都應(yīng)該分配給一個(gè)角色，并且應(yīng)該將其配置為“最低權(quán)限”，因此用戶(hù)只能訪問(wèn)他們執(zhí)行角色所需的內(nèi)容。事實(shí)上，這些特權(quán)通常源自用戶(hù)在組織內(nèi)的工作職能。

　　無(wú)論從何處訪問(wèn)，用戶(hù)有一個(gè)單一的身份和登錄來(lái)源。這將允許更好的用戶(hù)體驗(yàn)，但也允許所有服務(wù)具有單一的強(qiáng)身份。

　　用戶(hù)身份服務(wù)應(yīng)該能夠：

　　創(chuàng)建群組

　　定義已配置為“最低權(quán)限”的角色

　　支持強(qiáng)大的現(xiàn)代身份驗(yàn)證方法，例如多因素或無(wú)密碼身份驗(yàn)證。

　　安全地為用戶(hù)提供憑據(jù)

　　啟用對(duì)服務(wù)的聯(lián)合身份驗(yàn)證（例如 SAML 2.0、OAuth 2.0 或 OpenID Connect）

　　在適用的情況下管理外部服務(wù)中的用戶(hù)身份（例如 SCIM 2.0）

　　支持您的加入者、移動(dòng)者和離開(kāi)者流程

　　支持第三方聯(lián)合 ID（接受來(lái)自其他受信任的第三方用戶(hù)目錄的身份）

　　遷移

　　如果有一個(gè)現(xiàn)有目錄，遷移到另一個(gè)目錄需要仔細(xì)規(guī)劃。某些目錄服務(wù)允許在目錄之間導(dǎo)入、同步或聯(lián)合，這將實(shí)現(xiàn)分階段遷移，或者有效地提供共享目錄。

　　外部訪問(wèn)

　　應(yīng)該考慮如何向組織外部的人員提供訪問(wèn)權(quán)限。服務(wù)可以與外部身份提供者聯(lián)合，以允許訪問(wèn)適當(dāng)?shù)姆?wù)和數(shù)據(jù)。例如，訪客可以查看午餐菜單，或者承包商只能訪問(wèn)與其工作相關(guān)的文檔。

　　身份和身份驗(yàn)證是一個(gè)需要仔細(xì)考慮的廣泛主題。

　　服務(wù)令牌

　　服務(wù)不應(yīng)該能夠代表用戶(hù)采取無(wú)限的行動(dòng)。如果這樣的服務(wù)受到威脅，它將提供對(duì)系統(tǒng)中任何服務(wù)或任何數(shù)據(jù)的高特權(quán)訪問(wèn)。

　　為服務(wù)提供適當(dāng)訪問(wèn)權(quán)限的更好方法是將每個(gè)操作與與用戶(hù)身份相關(guān)聯(lián)的范圍和限時(shí)訪問(wèn)令牌相關(guān)聯(lián)。這樣，如果同一服務(wù)受到損害，對(duì)您的服務(wù)造成的損害將僅限于原始操作的權(quán)限。

　　如果檢測(cè)到異常行為，用戶(hù)和設(shè)備評(píng)估服務(wù)或數(shù)據(jù)的信心水平將會(huì)下降。應(yīng)立即觸發(fā)補(bǔ)救措施，因?yàn)橛捎谟脩?hù)或設(shè)備健康狀況的變化，令牌的可信度低于發(fā)布時(shí)的可信度。一些補(bǔ)救措施的示例是終止連接或觸發(fā) MFA 提示。

　　服務(wù)標(biāo)識(shí)

　　一項(xiàng)服務(wù)或者更準(zhǔn)確地說(shuō)，提供一項(xiàng)服務(wù)的軟件——應(yīng)該有自己獨(dú)特的身份，并被授予正常運(yùn)行所需的最低權(quán)限。這包括根據(jù)服務(wù)的身份維護(hù)連接的允許列表，將服務(wù)之間的網(wǎng)絡(luò)通信限制為所需的最小數(shù)量。

　　示例身份驗(yàn)證方法可能涉及每個(gè)服務(wù)的唯一證書(shū)。然后可以使用證書(shū)身份驗(yàn)證在構(gòu)成服務(wù)的軟件進(jìn)程之間形成相互的TLS（傳輸層安全）連接。

　　用戶(hù)對(duì)應(yīng)用程序或容器平臺(tái)的訪問(wèn)應(yīng)聯(lián)合到單個(gè)用戶(hù)目錄中，并使用策略引擎根據(jù)多個(gè)信號(hào)授權(quán)訪問(wèn)。如果滿(mǎn)足策略，策略引擎可以做出訪問(wèn)決策并釋放令牌。

　　設(shè)備標(biāo)識(shí)

　　組織擁有的每臺(tái)設(shè)備都應(yīng)在單個(gè)設(shè)備目錄中唯一標(biāo)識(shí)。這可以實(shí)現(xiàn)高效的資產(chǎn)管理，并提供訪問(wèn)服務(wù)和數(shù)據(jù)的設(shè)備的清晰可見(jiàn)性。

　　定義的零信任策略將使用設(shè)備的合規(guī)性和健康聲明來(lái)決定它可以訪問(wèn)哪些數(shù)據(jù)以及它可以執(zhí)行的操作。需要一個(gè)強(qiáng)大的身份來(lái)確保這些聲明可以得到驗(yàn)證。

　　設(shè)備身份的強(qiáng)度取決于設(shè)備類(lèi)型、硬件和平臺(tái)：

　　設(shè)備身份應(yīng)在安全硬件協(xié)處理器（例如 TPM）上與設(shè)備緊密綁定，這將使您對(duì)設(shè)備身份充滿(mǎn)信心。應(yīng)盡可能使用密鑰證明來(lái)證明身份在安全硬件協(xié)處理器中受到保護(hù)。

　　與基于 TPM 的方法相比，使用基于軟件的密鑰存儲(chǔ)存儲(chǔ)在管理良好的設(shè)備上的身份對(duì)設(shè)備身份的信心較低。

　　相對(duì)于上述內(nèi)容，基于軟件的密鑰庫(kù)中的非托管設(shè)備上的身份對(duì)設(shè)備身份的可信度最低。

　　識(shí)別來(lái)自另一個(gè)組織的設(shè)備需要在兩個(gè)組織之間建立信任關(guān)系。這應(yīng)該發(fā)生在治理和技術(shù)層面。

　　自帶設(shè)備場(chǎng)景

　　當(dāng)允許來(lái)自不擁有和管理的設(shè)備的請(qǐng)求時(shí)，識(shí)別可能具有挑戰(zhàn)性。BYOD 模型中的設(shè)備仍應(yīng)具有與其相關(guān)聯(lián)的身份以進(jìn)行監(jiān)控，但對(duì)該設(shè)備身份的置信度可能會(huì)降低。