作者丨Zac Amos

譯者 | 陳峻

審校 | 重樓

出品 | 51CTO技術(shù)棧（微信號：blog51cto）

據(jù)不完全統(tǒng)計，2022年全球已發(fā)生了1862起數(shù)據(jù)泄露事件，而2021年也有1108起，逾4.22億人因此受到了影響。企業(yè)在面對不斷出現(xiàn)的內(nèi)、外部威脅和違規(guī)風(fēng)險的時候，往往需要上馬零信任架構(gòu)。截至2022年，全球約有80%的公司已經(jīng)使用或計劃采用零信任安全架構(gòu)。當(dāng)然，其核心目標(biāo)是為了保護企業(yè)資產(chǎn)，而并非加強其外圍安全。

而在零信任架構(gòu)中，最根本、最重要的部分便是強大的身份認(rèn)證功能。它可以被用來建立各項安全策略，以及監(jiān)控權(quán)限是否被合理使用。不過，零信任身份認(rèn)證并不是一個現(xiàn)成的解決方案，而只是一套戰(zhàn)略和政策系統(tǒng)。如果你想讓其真正保護重要的系統(tǒng)和資產(chǎn)的話，則需要遵從一些相關(guān)的優(yōu)秀實踐。

一、為什么身份認(rèn)證對零信任至關(guān)重要?

從概念上說，零信任建議企業(yè)在默認(rèn)情況下，不去相信任何個人或設(shè)備，即便它們曾經(jīng)享有訪問權(quán)限或已在網(wǎng)絡(luò)中運行。要想正確地部署和實踐這一安全理念，企業(yè)必須構(gòu)建強大的身份認(rèn)證機制。

通過用戶身份認(rèn)證，系統(tǒng)可以判斷對方是否冒充他人身份，來提升自己的權(quán)限，以決定是否允許其使用公司的資產(chǎn)或相應(yīng)的服務(wù)資源。也就是說，強大的身份認(rèn)證實踐能夠通過最大限度地減少非法訪問和加速威脅的識別，來保護公司免受內(nèi)部威脅和數(shù)據(jù)泄露的損害。除了限制攻擊的橫向移動（Lateral Movement），它還有助于信息技術(shù)部門對攻擊者予以追蹤。強認(rèn)證機制切實能夠給企業(yè)的系統(tǒng)與服務(wù)提供全方位的防護。可以說，沒有身份認(rèn)證，零信任就沒法在企業(yè)真正落地，并實現(xiàn)其保護數(shù)字資產(chǎn)的功能。

二、用戶身份認(rèn)證的優(yōu)秀實踐

盡管目前業(yè)界并沒有針對零信任身份認(rèn)證的應(yīng)用行業(yè)標(biāo)準(zhǔn)，但是如下七項優(yōu)秀實踐已被各大企業(yè)廣泛接受和采用。

1.持續(xù)重新認(rèn)證用戶

與其他一次性的安全防護措施不同，此處的身份認(rèn)證需要形成一種持續(xù)的重復(fù)性機制。畢竟，零信任的核心就是根據(jù)具體的情況與使用場景，細(xì)粒度地授予訪問權(quán)限。也就是說，僅靠一輪身份認(rèn)證，不足以、也不適合授予用戶訪問所有資源的權(quán)限。相反，根據(jù)“按需與必要”原則，在用戶訪問某個資源之前，謹(jǐn)慎地驗明正身是非常有必要的。例如：用戶在每次登錄時，都應(yīng)獲得一次性密碼，而不是靠記住其個人固定密碼。畢竟，就算用戶曾經(jīng)成功通過認(rèn)證，但是后續(xù)淪為惡意軟件、社交工程、以及設(shè)備劫持的受害者，那么他們預(yù)先獲得的訪問權(quán)限，就會給企業(yè)的敏感數(shù)據(jù)和系統(tǒng)構(gòu)成潛在的威脅?？梢?，為了確保組織的持續(xù)安全，重新認(rèn)證是至關(guān)重要的。

2.利用反自動化（Anti-Automation）實踐

隨著人工智能的興起，自動化攻擊也隨之增多。企業(yè)可以考慮通過速率限制機制，來防止攻擊者使用暴力破解、以及信任憑證填充之類的攻擊。畢竟，那些過于頻繁的身份認(rèn)證嘗試，很容易被人工審查發(fā)現(xiàn)進而阻止。

除了人工，我們還可以采取其他反自動化的手段。例如，多因素身份認(rèn)證可以防止上文提到的橫向移動攻擊，即：攻擊者通過成功攻破某個節(jié)點，進而跳轉(zhuǎn)到與之相鄰的其他節(jié)點上。

3.踐行最小特權(quán)原則

原則上說，即使用戶成功通過了身份認(rèn)證，他們也應(yīng)該只能獲得最小的權(quán)限。此類設(shè)置可以確保用戶無法在惡意或無意的情況下，更改或共享敏感數(shù)據(jù)，進而減少了人為錯誤、以及內(nèi)部威脅的暴露面。

通過梳理，我們可能會發(fā)現(xiàn)：某些數(shù)據(jù)集或系統(tǒng)對于某類用戶開展和完成當(dāng)前的任務(wù)并非必要，那么他們就沒有理由持續(xù)持有相應(yīng)的查看、以及操作權(quán)限?？傮w而言，將他們的訪問范圍限制在最基本的范圍內(nèi)，既可以防止其“黑化”后從事危險行為，又能夠在攻擊者攻破網(wǎng)絡(luò)現(xiàn)有防御時，最大限度地減少其橫向移動的成功幾率。

4.禁止旁路

當(dāng)有人利用開發(fā)環(huán)境或部署漏洞，找到身份認(rèn)證的規(guī)避方法時，就會出現(xiàn)所謂的身份認(rèn)證旁路漏洞。盡管許多安全工具號稱是萬無一失的，但漏洞還是會發(fā)生。如你所知，員工一直是任何完備的安全措施的最大薄弱環(huán)節(jié)。他們?yōu)榱藞D方便，會采取各種變通的方法，不自覺地將敏感數(shù)據(jù)和系統(tǒng)置于危險境地。對此，企業(yè)應(yīng)著力維護一套無法繞過的身份認(rèn)證機制，以補齊可能出現(xiàn)的短板。

5.執(zhí)行設(shè)備身份認(rèn)證

在制定各項優(yōu)秀的實踐時，許多企業(yè)往往會忽略針對設(shè)備的身份認(rèn)證。盡管許多公司都使用了統(tǒng)一鏡像的計算機，但是隨著它們所處環(huán)境和使用者的變更，其安全態(tài)勢會逐漸大不如前。同時，有些主機由于疏于更新、疲于補丁，而可能受到外部的干擾、以及內(nèi)部的威脅。此外，遠(yuǎn)程辦公的人員也可能需要用自己的個人電腦或手機連接到企業(yè)的系統(tǒng)中，收發(fā)郵件或是讀寫數(shù)據(jù)。因此，我們需要對各種從物理上和邏輯上接入系統(tǒng)的設(shè)備，持續(xù)進行身份認(rèn)證。

6.利用多種工具

為了市場營銷目的，一些安全公司會一味地夸贊其針對零信任架構(gòu)的工具，具有“全?！蹦芰Α＠?，微軟曾在其2018年的報告中聲稱，其多因素身份認(rèn)證可防止99%的網(wǎng)絡(luò)攻擊。甚至連美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局等權(quán)威機構(gòu)也斷言，多因素身份認(rèn)證可以將黑客攻擊的成功率降低99%。這些過于夸夸其談的結(jié)論，會促使企業(yè)過于信任某個廠商的單一解決方案。 

常言道，術(shù)業(yè)有專攻。不同服務(wù)提供商的產(chǎn)品往往擁有各自的擅長之處。我們常說身份認(rèn)證有“三寶”：對方知道什么、對方擁有什么、以及對方是誰。我們完全可以將不同認(rèn)證密碼、一次性口令、以及生物識別技術(shù)的工具集成到一起使用，最大程度地保護系統(tǒng)安全。

7.允許無密碼身份認(rèn)證

在上面提到的“三寶”中，強密碼機制往往是任何安全策略的基石，但它們終究并不完全可靠。因此，企業(yè)可以與時俱進地采用一次性密碼和隨機生成的代碼等無密碼的身份認(rèn)證與登錄方法，以降低系統(tǒng)以及員工對于固定密碼的依賴。

三、小結(jié)

綜上所述，鑒于未經(jīng)授權(quán)的訪問是造成數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的主要原因之一，企業(yè)紛紛采取了各種以零信任為基礎(chǔ)的安全防護策略。不過，僅部署零信任架構(gòu)，而不采取強有力的身份認(rèn)證措施，就像餡餅沒有了餡一樣，毫無意義。因此，我們需要通過參考上述七項優(yōu)秀實踐，來切實為企業(yè)降低風(fēng)險，提高保護水平與能力。

參考鏈接：https://hackernoon.com/support-zero-trust-with-strong-authentication-practices