自2010年零信任被正式提出以來(lái)，經(jīng)過(guò)十多年的發(fā)展和演進(jìn)，零信任的理念和架構(gòu)相對(duì)已經(jīng)比較成熟，身份安全治理，作為零信任三大關(guān)鍵技術(shù)之一，也基本解決了從無(wú)到有的問(wèn)題，但仍然沒(méi)有完全達(dá)到其理念所倡導(dǎo)的那種“持續(xù)驗(yàn)證，永不信任”理想狀態(tài)。原因在于，企業(yè)要做到持續(xù)的身份驗(yàn)證，必然會(huì)對(duì)其業(yè)務(wù)帶來(lái)一定的影響，甚至?xí)绊懴到y(tǒng)的性能，企業(yè)需要找到安全和性能的平衡點(diǎn)。

　　日前，安全牛采訪了派拉軟件產(chǎn)品總監(jiān)茆正華，就數(shù)字化轉(zhuǎn)型深入發(fā)展背景下，零信任身份安全治理的挑戰(zhàn)與應(yīng)對(duì)相關(guān)話(huà)題進(jìn)行了探討。在訪談過(guò)程中，茆正華始終強(qiáng)調(diào)“零信任架構(gòu)下的身份安全治理，必須要從企業(yè)數(shù)字化業(yè)務(wù)發(fā)展出發(fā)，要能夠解決實(shí)際業(yè)務(wù)中遇到的安全問(wèn)題”。

　　茆正華：派拉軟件產(chǎn)品總監(jiān)、CZTP零信任專(zhuān)家、零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組專(zhuān)家、中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟成員。

　　20年信息安全行業(yè)經(jīng)驗(yàn)，先后負(fù)責(zé)派拉軟件身份安全產(chǎn)品、特權(quán)賬號(hào)產(chǎn)品、零信任產(chǎn)品等研發(fā)工作；現(xiàn)負(fù)責(zé)公司IDaaS產(chǎn)品線(xiàn)及零信任三大組件中SIM的技術(shù)研究和架構(gòu)設(shè)計(jì)工作。參與過(guò)多項(xiàng)身份安全、零信任等技術(shù)標(biāo)準(zhǔn)的制定和白皮書(shū)撰寫(xiě)，包括零信任國(guó)家標(biāo)準(zhǔn)、零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組接口應(yīng)用白皮書(shū)和身份接口白皮書(shū)等。

　　“身份安全治理”被NIST定義為是零信任的三大關(guān)鍵技術(shù)之一，但行業(yè)似乎還沒(méi)給出身份安全治理的標(biāo)準(zhǔn)定義

　　茆正華：

　　傳統(tǒng)的IAM將身份認(rèn)證作為一個(gè)獨(dú)立服務(wù)，主要提供賬號(hào)、認(rèn)證、授權(quán)、審計(jì)功能，典型的是IAM。用戶(hù)只要認(rèn)證通過(guò)，登錄進(jìn)來(lái)了，用戶(hù)控制權(quán)就交給業(yè)務(wù)系統(tǒng)，IAM就不再管了。

　　在零信任的應(yīng)用中，Gartner對(duì)IAM功能進(jìn)行了重新定義，要求從管理、保證、授權(quán)、分析維度對(duì)身份的整個(gè)生命周期進(jìn)行管理，包括用戶(hù)身份的注冊(cè)、創(chuàng)建、轉(zhuǎn)移及在各個(gè)應(yīng)用系統(tǒng)中的權(quán)限控制。零信任也是利用IAM身份驗(yàn)證和權(quán)限控制的能力，對(duì)所有業(yè)務(wù)系統(tǒng)及身份、權(quán)限、數(shù)據(jù)的全生命周期進(jìn)行治理。首先，SDP要采用身份定義邊界。不管是客戶(hù)端還是設(shè)備要進(jìn)入零信任的網(wǎng)絡(luò)，首先要有身份驗(yàn)證，通過(guò)身份驗(yàn)證你才能進(jìn)來(lái)。其次，增強(qiáng)IAM，它不僅要有傳統(tǒng)4A的能力，還要有持續(xù)認(rèn)證的能力，包括能夠?qū)τ脩?hù)訪問(wèn)的所有會(huì)話(huà)進(jìn)行用戶(hù)行為分析。當(dāng)用戶(hù)訪問(wèn)后端資源時(shí)，不只是要做身份鑒別，還要對(duì)其行為進(jìn)行鑒別，對(duì)更細(xì)粒度的權(quán)限進(jìn)行鑒別。最后，關(guān)于MSG，我們看到Gartner將MSG改為身份定義微隔離（Identity-Based segmentation），注重用身份來(lái)鑒別服務(wù)與服務(wù)之間的訪問(wèn)以做到更加細(xì)粒度的訪問(wèn)控制能力。

　　核心能力是實(shí)時(shí)訪問(wèn)控制和細(xì)粒度的權(quán)限策略定義。但這部分其實(shí)在倡導(dǎo)零信任之前IAM就已經(jīng)做過(guò)細(xì)粒度權(quán)限定義的模型，并有獨(dú)立的權(quán)限控制組件（策略實(shí)施點(diǎn)PEP）和執(zhí)行組件（策略決策點(diǎn)PDP），這與目前零信任架構(gòu)的核心組件具有異曲同工的能力，主要包括：

　?。ㄒ唬└咝阅堋⒏叻€(wěn)定、高擴(kuò)展性

　　零信任架構(gòu)或者系統(tǒng)要對(duì)所有的訪問(wèn)設(shè)備以及服務(wù)進(jìn)行驗(yàn)證，IAM要具備高性能、高穩(wěn)定、高擴(kuò)展的性能才能支撐零信任架構(gòu)下的IAM增強(qiáng)要求。

　?。ǘ┏掷m(xù)性、自動(dòng)化、智能化分析

　　零信任系統(tǒng)中默認(rèn)不信任，用戶(hù)的每一次請(qǐng)求，每一次訪問(wèn)，都需要認(rèn)證，信任評(píng)估要覆蓋業(yè)務(wù)全生命周期；另外，零信任要跟云原生的應(yīng)用集成在一起，相關(guān)的人、設(shè)備、應(yīng)用、服務(wù)數(shù)量會(huì)幾何倍增長(zhǎng)，涉及上百萬(wàn)級(jí)或者上千萬(wàn)級(jí)用戶(hù)身份的管理，需要有相應(yīng)的智能化和自動(dòng)化能力對(duì)資源或者訪問(wèn)做更加智能的權(quán)限分配和收回，并且能夠?qū)τ脩?hù)訪問(wèn)服務(wù)或者服務(wù)之間的訪問(wèn)行為進(jìn)行分析，在行為當(dāng)中發(fā)現(xiàn)風(fēng)險(xiǎn)并且能做到自適應(yīng)。

　　“持續(xù)信任評(píng)估和細(xì)粒度訪問(wèn)控制”是零信任的基本原則，該技術(shù)目前的發(fā)展水平如何，應(yīng)用成熟度怎樣？

　　茆正華：

　　持續(xù)信任評(píng)估方面，目前市場(chǎng)上的技術(shù)都相對(duì)保守。因?yàn)檎嬲掷m(xù)的信任評(píng)估，對(duì)IAM的性能要求非常高，甚至?xí)?dǎo)致部分業(yè)務(wù)性能下降。目前了解，還沒(méi)有哪一個(gè)實(shí)踐能夠做到對(duì)所有訪問(wèn)的每一次請(qǐng)求包都進(jìn)行持續(xù)信任評(píng)估。多數(shù)廠商采用的是：無(wú)風(fēng)險(xiǎn)短時(shí)間內(nèi)無(wú)需重復(fù)驗(yàn)證的方式，即，如果用戶(hù)本次被評(píng)估是受信任的，在未來(lái)一個(gè)短的時(shí)間內(nèi)（比如30s或者50s）沒(méi)有新的風(fēng)險(xiǎn)事件、設(shè)備或者服務(wù)的變化，可以同用之前的信任憑據(jù)。從成熟度的角度看，目前持續(xù)信任評(píng)估能力主要是解決了從無(wú)到有的問(wèn)題。進(jìn)一步持續(xù)評(píng)估能力的增強(qiáng)，還要通過(guò)新技術(shù)的探索來(lái)找一個(gè)安全和性能的平衡點(diǎn)。

　　細(xì)粒度訪問(wèn)控制方面，相對(duì)成熟的方案和架構(gòu)目前主要集中于少數(shù)幾個(gè)IAM廠商。因?yàn)椋?xì)粒度訪問(wèn)控制，重要的是做好權(quán)限定義和權(quán)限執(zhí)行。這需要與客戶(hù)實(shí)際業(yè)務(wù)深度耦合，并從實(shí)際應(yīng)用中提煉出更多維度的權(quán)限模型，加上國(guó)內(nèi)對(duì)權(quán)限、角色的控制更復(fù)雜、更靈活，僅靠RBAC、RBAC不能滿(mǎn)足客戶(hù)端實(shí)際場(chǎng)景應(yīng)用的需求。這對(duì)于沒(méi)有長(zhǎng)時(shí)間投入IAM技術(shù)理論研究的廠商，或者做SDP、微隔離等沒(méi)有太多 身份治理客戶(hù)案例的零信任廠商，試圖用一些開(kāi)源技術(shù)做IAM產(chǎn)品基本上沒(méi)有辦法很好的實(shí)現(xiàn)細(xì)粒度權(quán)限控制。

　　為更好的支撐零信任落地，身份安全治理技術(shù)目前還存在哪些不足和挑戰(zhàn)？

　　茆正華：

　　首先，零信任的身份治理，從對(duì)人的管理轉(zhuǎn)向了全域的身份治理，要解決真實(shí)的人或者物理世界中設(shè)備/服務(wù)在數(shù)字世界中對(duì)應(yīng)身份的安全問(wèn)題。傳統(tǒng)IAM驗(yàn)證的實(shí)體主要是人，不管是企業(yè)雇員內(nèi)部辦公的EIAM還是C端的CIAM都是面向人的管理。但零信任中定義的主體不僅是人，還要管理客戶(hù)端、網(wǎng)絡(luò)、中間件、微服務(wù)、容器節(jié)點(diǎn)，這些身份的使用、認(rèn)證、信任驗(yàn)證都各有不同的方法、不同的理論，這在技術(shù)結(jié)合業(yè)務(wù)的方面給廠商提出了更多挑戰(zhàn)。

　　此外，零信任還要解決實(shí)時(shí)業(yè)務(wù)中的細(xì)粒度控制問(wèn)題。傳統(tǒng)的IAM只有允許訪問(wèn)或者不訪問(wèn)，類(lèi)似大門(mén)級(jí)的訪問(wèn)控制。但零信任無(wú)論是權(quán)限控制還是身份治理，都要深入到業(yè)務(wù)系統(tǒng)中。這要求我們對(duì)企業(yè)本身的業(yè)務(wù)及整體的業(yè)務(wù)系統(tǒng)有所了解，了解實(shí)際的業(yè)務(wù)場(chǎng)景是什么樣子，以及在不同的場(chǎng)景下各個(gè)節(jié)點(diǎn)需要做到什么粒度的控制。這從業(yè)務(wù)深度上對(duì)IAM提出了更高的要求。

　　這些挑戰(zhàn)進(jìn)一步要求身份安全治理不僅要實(shí)現(xiàn)技術(shù)一體化，還要實(shí)現(xiàn)業(yè)務(wù)一體化。目前行業(yè)、標(biāo)準(zhǔn)組織、協(xié)會(huì)針對(duì)一體化的零信任系統(tǒng)中各個(gè)業(yè)務(wù)系統(tǒng)如何更好地治理提出了一些標(biāo)準(zhǔn)和最佳實(shí)踐，從接口標(biāo)準(zhǔn)化、場(chǎng)景化方面也在做細(xì)度權(quán)限控制方式和方法的探索。

　　企業(yè)數(shù)據(jù)中心、私有云、公有云、混合云場(chǎng)景下的身份安全在治理上有哪些典型不同，并給一些目前做好身份安全治理的建議？

　　茆正華：

　　大型企業(yè)目前多數(shù)還是會(huì)使用數(shù)據(jù)中心或私有云，這些場(chǎng)景仍然會(huì)以采用傳統(tǒng)IAM進(jìn)行身份治理為主。因?yàn)檫@些網(wǎng)絡(luò)相對(duì)封閉，多數(shù)訪問(wèn)屬于企業(yè)網(wǎng)絡(luò)內(nèi)部訪問(wèn)，使用大門(mén)級(jí)的訪問(wèn)控制基本可以滿(mǎn)足企業(yè)業(yè)務(wù)應(yīng)用場(chǎng)景的需求；對(duì)于部分用戶(hù)或者設(shè)備需要從外網(wǎng)訪問(wèn)進(jìn)來(lái)，采用SDP+IAM的模式也可以解決。這種方案比較成熟，也是目前大型企業(yè)的通用方案。

　　但在公有云、混合云場(chǎng)景下，網(wǎng)絡(luò)設(shè)施由公有云提供商管理，甚至企業(yè)為自己的服務(wù)購(gòu)買(mǎi)的兩個(gè)虛機(jī)之間的網(wǎng)絡(luò)通信，也完全由云提供商控制，租戶(hù)不知道自己的網(wǎng)絡(luò)入口和網(wǎng)絡(luò)邊界在什么地方。這種場(chǎng)景下，需要采用零信任架構(gòu)，基于細(xì)粒度訪問(wèn)權(quán)限在工作負(fù)載、服務(wù)與服務(wù)之間進(jìn)行訪問(wèn)控制。它使企業(yè)可以不依賴(lài)于公有云或私有云的實(shí)際網(wǎng)絡(luò)，僅從業(yè)務(wù)和身份上對(duì)數(shù)據(jù)進(jìn)行身份管理和控制，就可以滿(mǎn)足公有云或者混合云環(huán)境的安全治理需求。

　　在公有云或混合云場(chǎng)景下做好身份治理，要從以下幾個(gè)方面著手：

　　首先，要對(duì)不同網(wǎng)絡(luò)下的資源和數(shù)據(jù)按照業(yè)務(wù)和敏感度進(jìn)行分級(jí)分類(lèi)。比如，哪些對(duì)安全性要求較高性能可以降低一些，哪些對(duì)性能要求更高安全性可以低一些。通過(guò)分級(jí)的方式，使安全管理者對(duì)工作目標(biāo)也有一個(gè)明確定義。

　　其次，從業(yè)務(wù)層面做到權(quán)限最小化，把企業(yè)內(nèi)部的權(quán)限梳理好，不能過(guò)度分配權(quán)限。為后續(xù)升級(jí)或者采用新架構(gòu)打好基礎(chǔ)。

　　第三，通過(guò)統(tǒng)一身份認(rèn)證或者單點(diǎn)登錄的方式把現(xiàn)有業(yè)務(wù)系統(tǒng)統(tǒng)一納管起來(lái)。有了統(tǒng)一入口可以為下一步實(shí)施零信任或者更細(xì)粒度的身份治理打好基礎(chǔ)；否則，在數(shù)據(jù)或者權(quán)限非常亂的情況下，實(shí)施零信任架構(gòu)或者身份安全治理會(huì)有很大挑戰(zhàn)。

　　第四，也是比較重要的一點(diǎn)，是人員的安全教育。整個(gè)組織的安全離不開(kāi)所有人的貢獻(xiàn)，不能依靠某一個(gè)產(chǎn)品或者某一個(gè)部門(mén)解決所有安全問(wèn)題。要通過(guò)流程或者任務(wù)對(duì)實(shí)際用戶(hù)、開(kāi)發(fā)人員、運(yùn)維人員進(jìn)行安全教育，將“安全共責(zé)”的思想深入人心。

　　一體化零信任方案的落地是行業(yè)比較關(guān)心的問(wèn)題之一，從落地及運(yùn)營(yíng)的角度談一談混合云環(huán)境下，企業(yè)怎樣可以更好地實(shí)現(xiàn)一體化的零信任安全建設(shè)？

　　茆正華：

　　隨著數(shù)字化轉(zhuǎn)型，企業(yè)的業(yè)務(wù)系統(tǒng)越來(lái)越龐雜，像五、六百人的企業(yè)，一般都會(huì)有十幾、二十多個(gè)業(yè)務(wù)系統(tǒng)，類(lèi)型上有商業(yè)的、自研的、開(kāi)源的或者買(mǎi)的完全SaaS化的系統(tǒng)，有的部署在機(jī)房有的在云端。這種環(huán)境下，業(yè)務(wù)邏輯呈網(wǎng)狀業(yè)務(wù)入口更加開(kāi)放，安全管理的挑戰(zhàn)也更大，并且這種多云和混合環(huán)境未來(lái)會(huì)長(zhǎng)期存在。分布的混合云環(huán)境下，沒(méi)有辦法每個(gè)SaaS系統(tǒng)都分別建一套身份管理系統(tǒng)，加上零信任細(xì)粒度管控與業(yè)務(wù)系統(tǒng)天然不可分割的特性，一體化的零信任安全建設(shè)將會(huì)成為零信任發(fā)展的一個(gè)趨勢(shì)。

　　一體化的零信任建設(shè)中，可以考慮用IDaaS和IAM協(xié)同治理的方式解決多云或者混合云環(huán)境下的身份治理問(wèn)題。通過(guò)IDaaS和IAM之間的身份互信，保證用戶(hù)無(wú)論處于何種網(wǎng)絡(luò)環(huán)境下，都不需要知道業(yè)務(wù)系統(tǒng)到底在什么地方，完全交給可以協(xié)同身份治理的平臺(tái)實(shí)現(xiàn)快速、平滑、安全的訪問(wèn)。

　　其次，零信任安全建設(shè)要場(chǎng)景化，基于每個(gè)實(shí)際的業(yè)務(wù)場(chǎng)景，打造該場(chǎng)景下業(yè)務(wù)閉環(huán)的零信任系統(tǒng)。它包括該場(chǎng)景下相關(guān)的人、設(shè)備、流程及安全控制策略，比如，業(yè)-財(cái)-管一體化方案、數(shù)字化員工方案、數(shù)字化營(yíng)銷(xiāo)方案以及數(shù)字化隱私合規(guī)場(chǎng)景的方案等。然后通過(guò)單個(gè)場(chǎng)景化的一體化方案逐步擴(kuò)展到整體的一體化。零信任安全一定要從業(yè)務(wù)出發(fā)解決業(yè)務(wù)問(wèn)題。

　　為更廣泛地滿(mǎn)足零信任時(shí)代的安全建設(shè)需求，從演進(jìn)的視角談一談身份安全治理未來(lái)將會(huì)有哪些發(fā)展趨勢(shì)？

　　茆正華：

　　技術(shù)方面，未來(lái)會(huì)在持續(xù)化、自動(dòng)化和智能化分析方面將會(huì)有更深入的探索。目前雖然業(yè)界在零信任的持續(xù)化、自動(dòng)化或者智能化分析方面已經(jīng)有了一些實(shí)踐或落地，但是還存在很多問(wèn)題，這方面還要引入一些新的技術(shù)或者新的理念。

　　應(yīng)用場(chǎng)景上，與身份安全治理發(fā)展趨勢(shì)有較大關(guān)系的，一是基于區(qū)塊鏈的個(gè)人身份自主授權(quán)DID，另一個(gè)是元宇宙。DID會(huì)涉及隱私計(jì)算、零知識(shí)證明、多方計(jì)算、聯(lián)邦計(jì)算等一系列技術(shù)，此外，DID與Web3.0也會(huì)有一定的關(guān)聯(lián)關(guān)系。Web2.0時(shí)代對(duì)于很多企業(yè)尤其是互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō)，只要能收集到足夠的個(gè)人信息，甚至都不需要再對(duì)產(chǎn)品功能進(jìn)行優(yōu)化，就能在市場(chǎng)上獲得很好的估值。未來(lái)如果從國(guó)家層面或者社會(huì)層面能將DID推行下去，個(gè)人信息由個(gè)人自己來(lái)決策，將會(huì)顛覆整個(gè)Web2.0的商業(yè)模式。元宇宙是把真實(shí)宇宙在數(shù)字世界中完全復(fù)制一遍，這會(huì)涉及到真實(shí)世界的人、物也在元宇宙中的身份定義、身份管理等，現(xiàn)在還沒(méi)有真正落地，可能還是一個(gè)遠(yuǎn)期的規(guī)劃。

　　政策方面，在個(gè)人信息保護(hù)和隱私合規(guī)方面密集出臺(tái)了一些政策，無(wú)論是政府，還是企業(yè)都會(huì)越來(lái)越重視個(gè)人信息保護(hù)，安全合規(guī)地使用個(gè)人信息將成為強(qiáng)需求，大部分企業(yè)，有規(guī)模的企業(yè)或者互聯(lián)網(wǎng)企業(yè)都會(huì)涉及到這方面的需求。針對(duì)這一塊我們也做了一些研究，想辦法把政策法規(guī)的要求落實(shí)到產(chǎn)品設(shè)計(jì)中。

　　最后，隨著數(shù)字化轉(zhuǎn)型的深入推進(jìn)，企業(yè)的數(shù)據(jù)、業(yè)務(wù)、系統(tǒng)會(huì)越來(lái)越多，靠人力完全沒(méi)有辦法來(lái)管理所有的資源，業(yè)務(wù)系統(tǒng)的自動(dòng)發(fā)現(xiàn)、納入、監(jiān)管、治理，以及智能化的風(fēng)險(xiǎn)發(fā)現(xiàn)、用戶(hù)行為分析、權(quán)限的智能分配/回收等，都要跟著數(shù)字化轉(zhuǎn)型的深入推進(jìn)而提速或轉(zhuǎn)變。自動(dòng)化和智能化發(fā)展也會(huì)成為必然趨勢(shì)。

　　評(píng)論

　　隨著新網(wǎng)絡(luò)空間業(yè)務(wù)對(duì)安全加持的需求，身份和訪問(wèn)控制的職能不再僅僅是泛身份驗(yàn)證，還要擔(dān)負(fù)統(tǒng)籌全域的、全周期的端-端業(yè)務(wù)安全訪問(wèn)的重要職責(zé)。這對(duì)身份和訪問(wèn)控制的功能從身份范圍、身份類(lèi)型、驗(yàn)證機(jī)制、存儲(chǔ)安全、控制策略、運(yùn)營(yíng)模式等多維度提出了新要求；也從身份治理的角度對(duì)傳統(tǒng)身份和訪問(wèn)控制的產(chǎn)業(yè)提出了新挑戰(zhàn)。隨著網(wǎng)絡(luò)空間安全和數(shù)字空間進(jìn)一步融合發(fā)展，身份治理不僅是零信任的基石，也是未來(lái) “數(shù)字信任”構(gòu)建的重要組成，還擔(dān)負(fù)著驅(qū)動(dòng)未來(lái)網(wǎng)絡(luò)發(fā)展的重要職責(zé)。面對(duì)未來(lái)對(duì)身份安全與訪問(wèn)控制的需求，目前階段身份治理還僅僅是個(gè)開(kāi)始。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<