自2010年零信任被正式提出以來，經過十多年的發(fā)展和演進，零信任的理念和架構相對已經比較成熟，身份安全治理，作為零信任三大關鍵技術之一，也基本解決了從無到有的問題，但仍然沒有完全達到其理念所倡導的那種“持續(xù)驗證，永不信任”理想狀態(tài)。原因在于，企業(yè)要做到持續(xù)的身份驗證，必然會對其業(yè)務帶來一定的影響，甚至會影響系統(tǒng)的性能，企業(yè)需要找到安全和性能的平衡點。

　　日前，安全牛采訪了派拉軟件產品總監(jiān)茆正華，就數(shù)字化轉型深入發(fā)展背景下，零信任身份安全治理的挑戰(zhàn)與應對相關話題進行了探討。在訪談過程中，茆正華始終強調“零信任架構下的身份安全治理，必須要從企業(yè)數(shù)字化業(yè)務發(fā)展出發(fā)，要能夠解決實際業(yè)務中遇到的安全問題”。

　　茆正華：派拉軟件產品總監(jiān)、CZTP零信任專家、零信任產業(yè)標準工作組專家、中國產業(yè)互聯(lián)網發(fā)展聯(lián)盟成員。

　　20年信息安全行業(yè)經驗，先后負責派拉軟件身份安全產品、特權賬號產品、零信任產品等研發(fā)工作；現(xiàn)負責公司IDaaS產品線及零信任三大組件中SIM的技術研究和架構設計工作。參與過多項身份安全、零信任等技術標準的制定和白皮書撰寫，包括零信任國家標準、零信任產業(yè)標準工作組接口應用白皮書和身份接口白皮書等。

　　“身份安全治理”被NIST定義為是零信任的三大關鍵技術之一，但行業(yè)似乎還沒給出身份安全治理的標準定義

　　茆正華：

　　傳統(tǒng)的IAM將身份認證作為一個獨立服務，主要提供賬號、認證、授權、審計功能，典型的是IAM。用戶只要認證通過，登錄進來了，用戶控制權就交給業(yè)務系統(tǒng)，IAM就不再管了。

　　在零信任的應用中，Gartner對IAM功能進行了重新定義，要求從管理、保證、授權、分析維度對身份的整個生命周期進行管理，包括用戶身份的注冊、創(chuàng)建、轉移及在各個應用系統(tǒng)中的權限控制。零信任也是利用IAM身份驗證和權限控制的能力，對所有業(yè)務系統(tǒng)及身份、權限、數(shù)據(jù)的全生命周期進行治理。首先，SDP要采用身份定義邊界。不管是客戶端還是設備要進入零信任的網絡，首先要有身份驗證，通過身份驗證你才能進來。其次，增強IAM，它不僅要有傳統(tǒng)4A的能力，還要有持續(xù)認證的能力，包括能夠對用戶訪問的所有會話進行用戶行為分析。當用戶訪問后端資源時，不只是要做身份鑒別，還要對其行為進行鑒別，對更細粒度的權限進行鑒別。最后，關于MSG，我們看到Gartner將MSG改為身份定義微隔離（Identity-Based segmentation），注重用身份來鑒別服務與服務之間的訪問以做到更加細粒度的訪問控制能力。

　　核心能力是實時訪問控制和細粒度的權限策略定義。但這部分其實在倡導零信任之前IAM就已經做過細粒度權限定義的模型，并有獨立的權限控制組件（策略實施點PEP）和執(zhí)行組件（策略決策點PDP），這與目前零信任架構的核心組件具有異曲同工的能力，主要包括：

　?。ㄒ唬└咝阅?、高穩(wěn)定、高擴展性

　　零信任架構或者系統(tǒng)要對所有的訪問設備以及服務進行驗證，IAM要具備高性能、高穩(wěn)定、高擴展的性能才能支撐零信任架構下的IAM增強要求。

　?。ǘ┏掷m(xù)性、自動化、智能化分析

　　零信任系統(tǒng)中默認不信任，用戶的每一次請求，每一次訪問，都需要認證，信任評估要覆蓋業(yè)務全生命周期；另外，零信任要跟云原生的應用集成在一起，相關的人、設備、應用、服務數(shù)量會幾何倍增長，涉及上百萬級或者上千萬級用戶身份的管理，需要有相應的智能化和自動化能力對資源或者訪問做更加智能的權限分配和收回，并且能夠對用戶訪問服務或者服務之間的訪問行為進行分析，在行為當中發(fā)現(xiàn)風險并且能做到自適應。

　　“持續(xù)信任評估和細粒度訪問控制”是零信任的基本原則，該技術目前的發(fā)展水平如何，應用成熟度怎樣？

　　茆正華：

　　持續(xù)信任評估方面，目前市場上的技術都相對保守。因為真正持續(xù)的信任評估，對IAM的性能要求非常高，甚至會導致部分業(yè)務性能下降。目前了解，還沒有哪一個實踐能夠做到對所有訪問的每一次請求包都進行持續(xù)信任評估。多數(shù)廠商采用的是：無風險短時間內無需重復驗證的方式，即，如果用戶本次被評估是受信任的，在未來一個短的時間內（比如30s或者50s）沒有新的風險事件、設備或者服務的變化，可以同用之前的信任憑據(jù)。從成熟度的角度看，目前持續(xù)信任評估能力主要是解決了從無到有的問題。進一步持續(xù)評估能力的增強，還要通過新技術的探索來找一個安全和性能的平衡點。

　　細粒度訪問控制方面，相對成熟的方案和架構目前主要集中于少數(shù)幾個IAM廠商。因為，細粒度訪問控制，重要的是做好權限定義和權限執(zhí)行。這需要與客戶實際業(yè)務深度耦合，并從實際應用中提煉出更多維度的權限模型，加上國內對權限、角色的控制更復雜、更靈活，僅靠RBAC、RBAC不能滿足客戶端實際場景應用的需求。這對于沒有長時間投入IAM技術理論研究的廠商，或者做SDP、微隔離等沒有太多 身份治理客戶案例的零信任廠商，試圖用一些開源技術做IAM產品基本上沒有辦法很好的實現(xiàn)細粒度權限控制。

　　為更好的支撐零信任落地，身份安全治理技術目前還存在哪些不足和挑戰(zhàn)？

　　茆正華：

　　首先，零信任的身份治理，從對人的管理轉向了全域的身份治理，要解決真實的人或者物理世界中設備/服務在數(shù)字世界中對應身份的安全問題。傳統(tǒng)IAM驗證的實體主要是人，不管是企業(yè)雇員內部辦公的EIAM還是C端的CIAM都是面向人的管理。但零信任中定義的主體不僅是人，還要管理客戶端、網絡、中間件、微服務、容器節(jié)點，這些身份的使用、認證、信任驗證都各有不同的方法、不同的理論，這在技術結合業(yè)務的方面給廠商提出了更多挑戰(zhàn)。

　　此外，零信任還要解決實時業(yè)務中的細粒度控制問題。傳統(tǒng)的IAM只有允許訪問或者不訪問，類似大門級的訪問控制。但零信任無論是權限控制還是身份治理，都要深入到業(yè)務系統(tǒng)中。這要求我們對企業(yè)本身的業(yè)務及整體的業(yè)務系統(tǒng)有所了解，了解實際的業(yè)務場景是什么樣子，以及在不同的場景下各個節(jié)點需要做到什么粒度的控制。這從業(yè)務深度上對IAM提出了更高的要求。

　　這些挑戰(zhàn)進一步要求身份安全治理不僅要實現(xiàn)技術一體化，還要實現(xiàn)業(yè)務一體化。目前行業(yè)、標準組織、協(xié)會針對一體化的零信任系統(tǒng)中各個業(yè)務系統(tǒng)如何更好地治理提出了一些標準和最佳實踐，從接口標準化、場景化方面也在做細度權限控制方式和方法的探索。

　　企業(yè)數(shù)據(jù)中心、私有云、公有云、混合云場景下的身份安全在治理上有哪些典型不同，并給一些目前做好身份安全治理的建議？

　　茆正華：

　　大型企業(yè)目前多數(shù)還是會使用數(shù)據(jù)中心或私有云，這些場景仍然會以采用傳統(tǒng)IAM進行身份治理為主。因為這些網絡相對封閉，多數(shù)訪問屬于企業(yè)網絡內部訪問，使用大門級的訪問控制基本可以滿足企業(yè)業(yè)務應用場景的需求；對于部分用戶或者設備需要從外網訪問進來，采用SDP+IAM的模式也可以解決。這種方案比較成熟，也是目前大型企業(yè)的通用方案。

　　但在公有云、混合云場景下，網絡設施由公有云提供商管理，甚至企業(yè)為自己的服務購買的兩個虛機之間的網絡通信，也完全由云提供商控制，租戶不知道自己的網絡入口和網絡邊界在什么地方。這種場景下，需要采用零信任架構，基于細粒度訪問權限在工作負載、服務與服務之間進行訪問控制。它使企業(yè)可以不依賴于公有云或私有云的實際網絡，僅從業(yè)務和身份上對數(shù)據(jù)進行身份管理和控制，就可以滿足公有云或者混合云環(huán)境的安全治理需求。

　　在公有云或混合云場景下做好身份治理，要從以下幾個方面著手：

　　首先，要對不同網絡下的資源和數(shù)據(jù)按照業(yè)務和敏感度進行分級分類。比如，哪些對安全性要求較高性能可以降低一些，哪些對性能要求更高安全性可以低一些。通過分級的方式，使安全管理者對工作目標也有一個明確定義。

　　其次，從業(yè)務層面做到權限最小化，把企業(yè)內部的權限梳理好，不能過度分配權限。為后續(xù)升級或者采用新架構打好基礎。

　　第三，通過統(tǒng)一身份認證或者單點登錄的方式把現(xiàn)有業(yè)務系統(tǒng)統(tǒng)一納管起來。有了統(tǒng)一入口可以為下一步實施零信任或者更細粒度的身份治理打好基礎；否則，在數(shù)據(jù)或者權限非常亂的情況下，實施零信任架構或者身份安全治理會有很大挑戰(zhàn)。

　　第四，也是比較重要的一點，是人員的安全教育。整個組織的安全離不開所有人的貢獻，不能依靠某一個產品或者某一個部門解決所有安全問題。要通過流程或者任務對實際用戶、開發(fā)人員、運維人員進行安全教育，將“安全共責”的思想深入人心。

　　一體化零信任方案的落地是行業(yè)比較關心的問題之一，從落地及運營的角度談一談混合云環(huán)境下，企業(yè)怎樣可以更好地實現(xiàn)一體化的零信任安全建設？

　　茆正華：

　　隨著數(shù)字化轉型，企業(yè)的業(yè)務系統(tǒng)越來越龐雜，像五、六百人的企業(yè)，一般都會有十幾、二十多個業(yè)務系統(tǒng)，類型上有商業(yè)的、自研的、開源的或者買的完全SaaS化的系統(tǒng)，有的部署在機房有的在云端。這種環(huán)境下，業(yè)務邏輯呈網狀業(yè)務入口更加開放，安全管理的挑戰(zhàn)也更大，并且這種多云和混合環(huán)境未來會長期存在。分布的混合云環(huán)境下，沒有辦法每個SaaS系統(tǒng)都分別建一套身份管理系統(tǒng)，加上零信任細粒度管控與業(yè)務系統(tǒng)天然不可分割的特性，一體化的零信任安全建設將會成為零信任發(fā)展的一個趨勢。

　　一體化的零信任建設中，可以考慮用IDaaS和IAM協(xié)同治理的方式解決多云或者混合云環(huán)境下的身份治理問題。通過IDaaS和IAM之間的身份互信，保證用戶無論處于何種網絡環(huán)境下，都不需要知道業(yè)務系統(tǒng)到底在什么地方，完全交給可以協(xié)同身份治理的平臺實現(xiàn)快速、平滑、安全的訪問。

　　其次，零信任安全建設要場景化，基于每個實際的業(yè)務場景，打造該場景下業(yè)務閉環(huán)的零信任系統(tǒng)。它包括該場景下相關的人、設備、流程及安全控制策略，比如，業(yè)-財-管一體化方案、數(shù)字化員工方案、數(shù)字化營銷方案以及數(shù)字化隱私合規(guī)場景的方案等。然后通過單個場景化的一體化方案逐步擴展到整體的一體化。零信任安全一定要從業(yè)務出發(fā)解決業(yè)務問題。

　　為更廣泛地滿足零信任時代的安全建設需求，從演進的視角談一談身份安全治理未來將會有哪些發(fā)展趨勢？

　　茆正華：

　　技術方面，未來會在持續(xù)化、自動化和智能化分析方面將會有更深入的探索。目前雖然業(yè)界在零信任的持續(xù)化、自動化或者智能化分析方面已經有了一些實踐或落地，但是還存在很多問題，這方面還要引入一些新的技術或者新的理念。

　　應用場景上，與身份安全治理發(fā)展趨勢有較大關系的，一是基于區(qū)塊鏈的個人身份自主授權DID，另一個是元宇宙。DID會涉及隱私計算、零知識證明、多方計算、聯(lián)邦計算等一系列技術，此外，DID與Web3.0也會有一定的關聯(lián)關系。Web2.0時代對于很多企業(yè)尤其是互聯(lián)網企業(yè)來說，只要能收集到足夠的個人信息，甚至都不需要再對產品功能進行優(yōu)化，就能在市場上獲得很好的估值。未來如果從國家層面或者社會層面能將DID推行下去，個人信息由個人自己來決策，將會顛覆整個Web2.0的商業(yè)模式。元宇宙是把真實宇宙在數(shù)字世界中完全復制一遍，這會涉及到真實世界的人、物也在元宇宙中的身份定義、身份管理等，現(xiàn)在還沒有真正落地，可能還是一個遠期的規(guī)劃。

　　政策方面，在個人信息保護和隱私合規(guī)方面密集出臺了一些政策，無論是政府，還是企業(yè)都會越來越重視個人信息保護，安全合規(guī)地使用個人信息將成為強需求，大部分企業(yè)，有規(guī)模的企業(yè)或者互聯(lián)網企業(yè)都會涉及到這方面的需求。針對這一塊我們也做了一些研究，想辦法把政策法規(guī)的要求落實到產品設計中。

　　最后，隨著數(shù)字化轉型的深入推進，企業(yè)的數(shù)據(jù)、業(yè)務、系統(tǒng)會越來越多，靠人力完全沒有辦法來管理所有的資源，業(yè)務系統(tǒng)的自動發(fā)現(xiàn)、納入、監(jiān)管、治理，以及智能化的風險發(fā)現(xiàn)、用戶行為分析、權限的智能分配/回收等，都要跟著數(shù)字化轉型的深入推進而提速或轉變。自動化和智能化發(fā)展也會成為必然趨勢。

　　評論

　　隨著新網絡空間業(yè)務對安全加持的需求，身份和訪問控制的職能不再僅僅是泛身份驗證，還要擔負統(tǒng)籌全域的、全周期的端-端業(yè)務安全訪問的重要職責。這對身份和訪問控制的功能從身份范圍、身份類型、驗證機制、存儲安全、控制策略、運營模式等多維度提出了新要求；也從身份治理的角度對傳統(tǒng)身份和訪問控制的產業(yè)提出了新挑戰(zhàn)。隨著網絡空間安全和數(shù)字空間進一步融合發(fā)展，身份治理不僅是零信任的基石，也是未來 “數(shù)字信任”構建的重要組成，還擔負著驅動未來網絡發(fā)展的重要職責。面對未來對身份安全與訪問控制的需求，目前階段身份治理還僅僅是個開始。

更多信息可以來這里獲取==>>電子技術應用-AET<<