我是誰?我從哪里來?我要到哪里去?這三大人生哲學(xué)問題，歷經(jīng)千年，答案紛紜。

從唯物主義來看，“我”是客觀存在的一種物質(zhì);從唯心主義來看，“我”決定一切。

個(gè)人崇尚對所擁有物品(包括實(shí)體的、虛擬的)具有生殺予奪的無限權(quán)力。

但在數(shù)字世界，一旦與外界發(fā)生聯(lián)系，你所絕對擁有的東西便具有了一定的社會(huì)屬性。任何與網(wǎng)絡(luò)發(fā)生了關(guān)系的事物，都脫離了純粹的“專屬”。原本完完全全屬于個(gè)人的，發(fā)生了徹底的改變。準(zhǔn)確的說，原本完完全全屬于那時(shí)那地的那個(gè)你，至于未來某時(shí)、某地，現(xiàn)在時(shí)候的你并不一定擁有原來的權(quán)限。以個(gè)人照片為例，個(gè)人照片通常存儲(chǔ)于個(gè)人手機(jī)中，當(dāng)手機(jī)與云空間同步后，照片的增刪改就不再那么的絕對。

那再回到“我是誰”的問題，我究竟是誰?

翻看照片，回首往事，感慨變化之大之余，我們是不是也會(huì)有些疑問?，F(xiàn)在的我究竟是不是原來的我?我究竟是誰?當(dāng)生命的時(shí)間有了多個(gè)維度，并且能夠在過去與未來自由反復(fù)時(shí)，“我”也只會(huì)成為時(shí)間維度上的一個(gè)點(diǎn)。

數(shù)字世界，我們的行為更方便的被記錄下來，時(shí)間過去維度得到了無限充實(shí)，現(xiàn)實(shí)中的照片記憶點(diǎn)逐漸變成視頻時(shí)間段、操作時(shí)間段。“我”的過去逐漸被完整定義。“我”的未來將由“我”的過去以及”我“的現(xiàn)在來決定。這種決定過程，幾乎能抹殺一切非線性。這意味著，打通任督二脈的事情在數(shù)字世界不可能發(fā)生，偶然發(fā)現(xiàn)九陽真經(jīng)的事情也不可能發(fā)生;當(dāng)然猛然中風(fēng)、精神失常在數(shù)字世界也不會(huì)存在。在數(shù)字世界，一切的一切都是有征兆的、有理由的、有依據(jù)的。

一、零信任

2010年，F(xiàn)orrester的首席分析師John Kindervag提出了零信任框架模型，這一模型在Google的BeyondCorp項(xiàng)目中得到應(yīng)用。Google是第一個(gè)將零信任架構(gòu)模型落地的公司。

零信任是將網(wǎng)絡(luò)防御的邊界縮小到單個(gè)資源。其核心思想是系統(tǒng)不應(yīng)自動(dòng)信任任何人，不管是內(nèi)部的還是外部的，不根據(jù)物理或網(wǎng)絡(luò)位置對用戶授予完全可信的權(quán)限。系統(tǒng)在授權(quán)前對任何試圖接入系統(tǒng)的主體進(jìn)行驗(yàn)證。其本質(zhì)是以身份為中心進(jìn)行訪問控制。

簡而言之，零信任的策略就是不相信任何人。除非確認(rèn)接入者現(xiàn)在的身份，否則誰都無法接入，即便接入也無法實(shí)現(xiàn)對資源的訪問。

與傳統(tǒng)的安全策略不同，零信任框架中用戶的訪問權(quán)限不受地理位置的影響。零信任在訪問主體與客體之間構(gòu)建以身份為基石的動(dòng)態(tài)可信訪問控制體系，基于網(wǎng)絡(luò)所有參與實(shí)體的數(shù)字身份，對默認(rèn)不可信的所有訪問請求進(jìn)行加密、認(rèn)證和強(qiáng)制授權(quán)，匯聚關(guān)聯(lián)各種數(shù)據(jù)源進(jìn)行持續(xù)信任評(píng)估，并根據(jù)信任程度動(dòng)態(tài)對權(quán)限進(jìn)行調(diào)整，最終在訪問主體和訪問客體之間建立動(dòng)態(tài)信任關(guān)系。

零信任以盡可能接近于人的真實(shí)身份來定義數(shù)據(jù)訪問，定義某個(gè)人或者某個(gè)身份可以訪問的特定的數(shù)據(jù)，或者定義特定的數(shù)據(jù)可以被特定的身份訪問。

零信任的用戶認(rèn)證模型是通過“我”的過去實(shí)現(xiàn)第一重認(rèn)證，允許“我”的接入，通過“我”的現(xiàn)在實(shí)現(xiàn)第二重認(rèn)證，允許“我”對資源的訪問，通過兩重認(rèn)證，來綜合決定“我”我的未來，即資源的訪問權(quán)限。

二、我的過去

我的過去通過我所擁有的、我所知道的以及我的本質(zhì)特性來定義，依據(jù)這些信息生成網(wǎng)絡(luò)世界中的數(shù)字憑證。

(1)憑證的初始化

現(xiàn)實(shí)中每個(gè)人都有身份證。在網(wǎng)絡(luò)中，身份就是用戶所對應(yīng)的數(shù)字個(gè)體標(biāo)識(shí)。數(shù)字個(gè)體標(biāo)識(shí)并非唯一，不同場景有不同的數(shù)字個(gè)體標(biāo)識(shí)。非正式身份標(biāo)識(shí)，如昵稱等，常用于小團(tuán)體中，個(gè)體之間的信任程度相對較高，或者安全要求低，價(jià)值數(shù)字資產(chǎn)少的場景。存在如下問題：用戶可以創(chuàng)建虛假身份;用戶可以假冒他人身份;單個(gè)用戶可以創(chuàng)建多個(gè)身份;多個(gè)用戶可以共享同一身份。權(quán)威身份用于系統(tǒng)需要安全性更高的身份時(shí)的場景，相關(guān)機(jī)構(gòu)為個(gè)體創(chuàng)建權(quán)威身份憑證。

現(xiàn)實(shí)世界中，個(gè)人使用政府頒發(fā)的ID(如駕照)作為身份憑證。風(fēng)險(xiǎn)較高場景下，需要根據(jù)政府?dāng)?shù)據(jù)庫交叉核驗(yàn)身份憑證，進(jìn)一步增強(qiáng)安全保障。計(jì)算機(jī)系統(tǒng)也需要一個(gè)權(quán)威中心負(fù)責(zé)用戶身份管理，如同現(xiàn)實(shí)世界，授予用戶不同強(qiáng)度的身份憑證。依據(jù)風(fēng)險(xiǎn)等級(jí)的不同，可能還需要根據(jù)數(shù)據(jù)庫信息交叉核驗(yàn)。

用戶身份的認(rèn)證很重要。數(shù)字化身份的產(chǎn)生以及身份與人的初始關(guān)聯(lián)都是非常敏感的操作。對實(shí)體人的驗(yàn)證機(jī)制必須足夠強(qiáng)，以防攻擊者偽裝成新員工獲取系統(tǒng)身份。當(dāng)用戶無法提供身份憑證時(shí)，賬號(hào)恢復(fù)程序同樣需要足夠強(qiáng)的認(rèn)證控制來確保實(shí)體人身份的合法性。初始認(rèn)證，應(yīng)該首選政府頒發(fā)的身份憑證。通常，創(chuàng)建數(shù)字身份之前需要繁雜的人工認(rèn)證流程，信任的建立是基于一個(gè)已知的可信人員對待開通身份的人員的信息了解，這種間接的信任關(guān)系是后續(xù)人工認(rèn)證和身份創(chuàng)建的基礎(chǔ)。在零信任網(wǎng)絡(luò)中，人工認(rèn)證的可信度很高，但不是唯一的認(rèn)證機(jī)制。在創(chuàng)建數(shù)字身份之前，有許多信息可以獲取。這些信息是認(rèn)證數(shù)字身份的關(guān)鍵要素。這些信息可以是用戶使用的語言、家庭住址等等其他信息。

(2)憑證的存儲(chǔ)

用戶憑證產(chǎn)生后，通過用戶目錄記錄用戶相關(guān)信息。用戶目錄是后續(xù)所有認(rèn)證的基礎(chǔ)。包括用戶名、電話號(hào)碼、組織角色，還包括擴(kuò)展信息，如用戶地址或X.509證書公鑰。用戶信息極其敏感，一般用幾個(gè)相互隔離的數(shù)據(jù)庫代替單一數(shù)據(jù)庫來存儲(chǔ)所有用戶信息。數(shù)據(jù)庫僅能通過受限的API接口訪問，從而限制信息的暴露范圍。用戶目錄的準(zhǔn)確性對于零信任網(wǎng)絡(luò)的安全至關(guān)重要。新老用戶交替，需要及時(shí)更新用戶目錄。專業(yè)的身份源系統(tǒng)(如LDAP或本地用戶賬號(hào))可以與企業(yè)的人員信息系統(tǒng)打通，從而在企業(yè)人員變動(dòng)時(shí)，及時(shí)更新相關(guān)信息。分離的身份源系統(tǒng)，需要選定一個(gè)權(quán)威身份原系統(tǒng)記錄身份，其他身份源系統(tǒng)從該系統(tǒng)獲取所需的權(quán)威數(shù)據(jù)。

記錄系統(tǒng)只需要存儲(chǔ)可以識(shí)別個(gè)人身份的關(guān)鍵性信息，比如只存儲(chǔ)用戶名或其他簡單的個(gè)人信息，以便用戶忘記憑證時(shí)恢復(fù)身份。

(3)身份認(rèn)證

認(rèn)證在零信任網(wǎng)絡(luò)中是強(qiáng)制行為，需要同時(shí)兼顧安全性和便捷性。當(dāng)安全性以便捷性為代價(jià)，用戶很可能會(huì)想方設(shè)法削弱甚至破壞安全機(jī)制。認(rèn)證用戶是通過系統(tǒng)驗(yàn)證用戶是否為聲稱的那個(gè)人。不同等級(jí)的服務(wù)有不同等級(jí)的認(rèn)證。比如登錄音樂訂閱服務(wù)僅需要密碼，但是登錄投資賬戶不僅需要密碼，還需要額外的驗(yàn)證碼。用戶可以通過額外的認(rèn)證方式提高信任等級(jí)。如果一個(gè)用戶的信任評(píng)分低于當(dāng)前訪問請求的最低信任評(píng)分，此時(shí)需要進(jìn)行額外的認(rèn)證，如果通過認(rèn)證，用戶的信任等級(jí)將提升至請求要求的水平。認(rèn)證的目的是獲取信任，應(yīng)根據(jù)期望的信任等級(jí)設(shè)定認(rèn)證需求機(jī)制。通過設(shè)置信任評(píng)分閾值來驅(qū)動(dòng)認(rèn)證流程和需求。系統(tǒng)可以選取任意的認(rèn)證方式進(jìn)行組合以滿足信任評(píng)分要求，掌握每種認(rèn)證方式的可信度及可訪問信息的敏感度，有助于設(shè)計(jì)對攻擊更免疫的系統(tǒng)，自適應(yīng)的按需認(rèn)證和授權(quán)。

傳統(tǒng)認(rèn)證模式基于邊界安全的思想，分出一個(gè)高度敏感的數(shù)據(jù)區(qū)域，對其進(jìn)行盡可能高的強(qiáng)認(rèn)證，即便用戶之前已經(jīng)做過一定的認(rèn)證并且積累了足夠的信任度。這種認(rèn)證模式下，一旦用戶取得了數(shù)據(jù)區(qū)域的授權(quán)，就能不受任何限制的操作，不再有其他安全機(jī)制進(jìn)行保護(hù)。

(4)憑證的遺失

現(xiàn)實(shí)世界中，憑證可能丟失或者被盜。如果遺失了政府頒發(fā)的身份憑證，政府機(jī)構(gòu)通常需要個(gè)人提供其他相關(guān)身份信息(如出生證明或指紋)，以重新頒發(fā)身份憑證。計(jì)算機(jī)系統(tǒng)處理機(jī)制類似，通過其他驗(yàn)證方式為用戶頒發(fā)身份憑證。但是驗(yàn)證方式和驗(yàn)證材料的選取不當(dāng)可能會(huì)誘發(fā)安全隱患。

三、我的現(xiàn)在

• 如何判斷操作某臺(tái)計(jì)算機(jī)的用戶一定是預(yù)期中的合法用戶?
• 如果合法用戶忘記鎖屏或者個(gè)人疏忽導(dǎo)致他人濫用怎么辦?

對于保護(hù)數(shù)據(jù)，正常的訪問數(shù)據(jù)行為是可以被定義和窮盡的。因此，可以限定安全訪問的行為范圍，任何限定范圍之外的行為都是不合規(guī)、不安全的。此外，通過對歷史訪問行為的學(xué)習(xí)，可以對正常訪問進(jìn)行特征畫像，不符合正常訪問特征的訪問行為都是不合規(guī)的。

四、我的未來

針對對數(shù)字資產(chǎn)(包括數(shù)據(jù)、應(yīng)用等)的訪問權(quán)限，NIST提出了三個(gè)邏輯組件來動(dòng)態(tài)授權(quán)和認(rèn)證：

• 策略引擎(Plolicy Engine，PE)，負(fù)責(zé)確定授權(quán)
• 策略管理員(Policy Administrator，PA)，根據(jù)策略引擎的結(jié)果建立或管理通往資源的通信路徑。
• 策略執(zhí)行點(diǎn)(Policy Enforcement Point，PEP)，位于請求主體和目標(biāo)資源之間，啟用、監(jiān)測和終止連接。 

訪問主體在PEP進(jìn)行認(rèn)證和授權(quán)，策略決策點(diǎn)(Policy Decision Point)對認(rèn)證后的身份執(zhí)行相應(yīng)的策略，身份認(rèn)證和授權(quán)均在訪問之前執(zhí)行。數(shù)據(jù)平面的PEP在運(yùn)行時(shí)對系統(tǒng)進(jìn)行持續(xù)監(jiān)測，以確保持續(xù)的合規(guī)性和治理控制。

五、零信任的用戶信任案例

在騰訊安全發(fā)布的《零信任接近方案白皮書》中詳細(xì)描述了騰訊零信任解決方案的用戶信任的建立方式。

首先，有多種認(rèn)證方式來確保用戶可信：如企業(yè)微信掃碼、Token雙因子認(rèn)證、生物認(rèn)證等。用戶身份與企業(yè)本地身份、域身份以及自定義賬號(hào)體系靈活適配。在用戶體驗(yàn)上，通過應(yīng)用系統(tǒng)單點(diǎn)登錄(SSO)，讓應(yīng)用使用更加便捷。

其次，訪問主體的信任評(píng)估持續(xù)進(jìn)行，并伴隨整個(gè)訪問過程。一旦評(píng)估異常，訪問權(quán)限動(dòng)態(tài)自動(dòng)調(diào)整，保證業(yè)務(wù)訪問的最小權(quán)限。受控終端訪問策略直接控制終端發(fā)起的應(yīng)用進(jìn)程，訪問網(wǎng)關(guān)根據(jù)訪問控制策略對訪問流量進(jìn)行二次校驗(yàn)，確保人-應(yīng)用-訪問目標(biāo)合法，確保訪問主體行為合法。

用戶可信識(shí)別提供用戶全生命周期的身份管理和多因素身份認(rèn)證能力。針對用戶/用戶組制定網(wǎng)絡(luò)訪問權(quán)限策略。在設(shè)備接入前，對用戶進(jìn)行業(yè)務(wù)權(quán)限授權(quán)，非授權(quán)的業(yè)務(wù)資源完全不可見，做到最小特權(quán)。在設(shè)備接入后，持續(xù)驗(yàn)證所有用戶的身份，提供包括企業(yè)微信掃碼、LDAP認(rèn)證、域認(rèn)證、Token雙因子認(rèn)證在內(nèi)的多種身份驗(yàn)證方式。通過身份可信識(shí)別能力實(shí)現(xiàn)合法的用戶使用合法的終端，使合法的應(yīng)用對保護(hù)資產(chǎn)進(jìn)行合法的訪問。

六、小結(jié)

零信任對網(wǎng)絡(luò)安全進(jìn)行了重構(gòu)，無邊界的網(wǎng)絡(luò)、基于可信的身份、動(dòng)態(tài)授權(quán)、持續(xù)信任評(píng)估成為新的安全理念。在零信任網(wǎng)絡(luò)中，每個(gè)訪問主體都有自己的身份。訪問主體的訪問權(quán)限，由數(shù)字憑證和主體行為動(dòng)態(tài)確定。換句話說，現(xiàn)在的我才是真的我。