开启零信任之旅的第一步｜身份云研究院

2022 年一项报告显示，有超过 97% 的被调查组织已经制定或计划在未来几个月内制定一项明确的零信任计划，而在 2019 年这个数字只有 16%。实施零信任架构仍然是许多企业的首要任务。

根本原因在于，安全环境的变化导致传统的以网络边界为中心的安全策略已不再适用。疫情催化了混合办公和企业上云的进程，内部员工、外包员工、供应商、合作伙伴等可以在更多的设备和地点访问企业的内部资源，这导致企业的信息安全风险面剧增。据统计，全球网络攻击事件呈指数级增长，其主要攻击目标依然是身份。反过来说，企业决策者应该认识到，了解用户及其设备的身份是保护组织信息安全最基础和最关键的步骤，不论是员工、外包团队、设备、供应商、合作伙伴等，企业内外的每个实体都应进行身份认证才能获得对应操作的授权。

然而零信任还存在一个最大的误区，就是零信任并非是一个产品名称或者产品集合，组织实施零信任架构并非只需要通过采购几个零信任工具就能一蹴而就，它是一个伴随组织全生命周期的安全管理策略。

本文将主要探讨，为什么身份是零信任的基石？如何使用 Authing 开启零信任的第一步？

基础概念：

• 传统的安全管理方法是假定组织网络内的一切都可以信任；
• 零信任架构下的安全管理方法是假定所有用户、设备和网络都是不可信的；

核心原则：

• 身份是访问控制的基础：信任来自于端到端所有对象的身份，基于身份而非网络位置构建访问控制。
• 最小权限原则：资源访问按需分配，仅授予执行任务所需的最小特权。
• 实时计算访问控制策略：根据主客体信任评估和访问需求进行策略计算，并持续评估以保证策略实时变更。
• 资源受控安全访问：所有业务场景下全部资源基于单个访问请求连接，进行强制身份识别和授权、鉴权和通道加密。
• 基于多源数据持续进行信任评估：包括身份、访问上下文等的实时多源数据的多样性和可靠性，提升信任评估策略计算能力。

从身份治理开启零信任第一步

对于实施零信任的负责人来说，渴望依照一个符合企业现阶段实施零信任的范式执行以保证最高投入产出比。然而不同企业在准备实施零信任时处在各个不同的发展阶段，且面临的安全风险也不尽相同。对于已经采购了零信任工具的企业来说，也很难量化其实施的具体效果和回报。但每个企业都可以从身份治理开启零信任的第一步，并且越早实施边际效益越高。

身份是访问控制的基础单位，同样也是零信任架构的基石。在实际业务场景中，我们需要用身份来描述、控制和管理几乎所有事物，例如：员工、客户、承包商、本地应用程序、SasS 应用程序、API 、服务器、虚拟机、容器、IoT 、数据集、NFT 等。

零信任主张安全体系从网络中心化转变为身份中心化，所有访问行为都以身份为中心进行细粒度的自适应访问控制。企业默认不信任网络内外部的任何人、设备、系统和应用，而是应该基于认证和授权重构访问控制的信任基础，并且基于更多的数据源或上下文对访问者进行持续的可信度评估，根据评估结果动态地调整授权和访问控制策略。

理想状态下，持续不断的认证并且不给用户带来体感上的负担是企业平衡安全和用户体验的最佳实践。而企业需要知晓现阶段身份治理状态，以便更好地实施下个阶段的零信任策略。下文简述了四个阶段来帮助企业了解目前的身份治理状态。

• 直面混乱无序的身份管理

数字化背景下，企业开始接入越来越多本地应用和 SaaS 产品。而这些应用程序并没有有效地集成在一起，或者使用如 AD 等内部部署目录来管理。但传统的 AD 方案已经不能满足现代信息化需求，使用场景单一、拓展性低、配置复杂。

对于 IT 部门来说，需要逐个维护不同系统间的身份，导致更多无意义的重复劳动；对于用户来说，更多的系统意味着更多的账密，不一致的登录认证体验，更差的用户数字旅程；对于企业来说，除了上述问题，因为各系统间的数据割裂，企业无法有效发挥这些数据的价值；而对于非法入侵者来说，更多割裂的系统就有更多可攻击的窗口。

• 开始构建统一的身份管理

解决上述问题，从混乱无序到高效治理只需要通过 Authing 实现各个系统快速整合，以实现统一身份管理。通过 Authing 的 APN （应用网络）以及 ASA 实现企业内外部应用系统高效集成。通过 Authing 的单点登录，实现用户（员工、客户、外部供应商等）高效一致的登录认证体验。通过 Authing 的统一用户目录，统一用户身份数据标准，聚合用户数据。通过 Authing 的自动化身份供给能力，帮助 IT 部门只需要一处管理用户信息，即可实现全链路的身份信息同步及授权。

• 接入自适应的风控引擎

在实现统一身份管理的基础上，自适应身份管理能最大程度减少认证过程与用户体验间的摩擦。通过用户上下文信息（例如：地理位置、设备信息、行为分析等）自适应判断该用户对此应用访问的验证策略。例如当用户在陌生的位置登录、陌生的设备登录可以自动增加多因素认证（生物特征、验证码、令牌等）来判断该用户是否合规。或者当用户多次输入错误密码、或者试图下载敏感信息时自动增加多因素认证。或者当用户在企业安全的网络环境和地理位置时，可以设置不需要增加多因素认证，而且这些策略可以更加灵活自由的配置在不同的流程节点中。自适应统一身份管理不仅能有效提升用户体验，还能让 IT/安全部门实施更加灵活的信息安全策略。

• 最终实现自动化的身份中台

以身份为中心的零信任架构的更进阶的形态，则是实现全面的身份管理自动化。如同汽车制造自动化流水线，通过预设置机器人的工作流程，实现大规模高效的自动化生产，避免了人为操作失误，提高了生产力以及降低了制造成本。

同理，身份管理自动化在上述三个阶段基础上，企业根据现阶段企业安全战略，预设置基于不同业务场景需求的身份管理自动化流程，则可以完全自动化的零信任身份治理。规避了企业中大量的重复低效劳动以及人为操作失误的风险，大幅提升企业的效率和信息安全。并且随着企业的发展，可以随时根据不同阶段企业信息安全战略灵活调整和升级身份管理自动化流程。

信息安全是一个持续斗争的过程，而零信任则是这场斗争的指导战略。身份是零信任架构的基石，确保“正确的身份”在“正确的时间地点”享有“正确的权利”。对于所有企业来说，以身份为基础，通过 Authing ，组织可以更高效更轻松地开启零信任之旅。