自2010年零信任被正式提出以來，經(jīng)過十多年的發(fā)展和演進(jìn)，零信任的理念和架構(gòu)相對已經(jīng)比較成熟,，身份安全治理,，作為零信任三大關(guān)鍵技術(shù)之一，也基本解決了從無到有的問題,，但仍然沒有完全達(dá)到其理念所倡導(dǎo)的那種“持續(xù)驗證,，永不信任”理想狀態(tài),。原因在于，企業(yè)要做到持續(xù)的身份驗證,，必然會對其業(yè)務(wù)帶來一定的影響,，甚至?xí)绊懴到y(tǒng)的性能，企業(yè)需要找到安全和性能的平衡點,。

　　日前,，安全牛采訪了派拉軟件產(chǎn)品總監(jiān)茆正華，就數(shù)字化轉(zhuǎn)型深入發(fā)展背景下,，零信任身份安全治理的挑戰(zhàn)與應(yīng)對相關(guān)話題進(jìn)行了探討,。在訪談過程中，茆正華始終強(qiáng)調(diào)“零信任架構(gòu)下的身份安全治理,，必須要從企業(yè)數(shù)字化業(yè)務(wù)發(fā)展出發(fā),，要能夠解決實際業(yè)務(wù)中遇到的安全問題”。

　　茆正華：派拉軟件產(chǎn)品總監(jiān),、CZTP零信任專家,、零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組專家、中國產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟成員,。

　　20年信息安全行業(yè)經(jīng)驗,，先后負(fù)責(zé)派拉軟件身份安全產(chǎn)品、特權(quán)賬號產(chǎn)品,、零信任產(chǎn)品等研發(fā)工作,；現(xiàn)負(fù)責(zé)公司IDaaS產(chǎn)品線及零信任三大組件中SIM的技術(shù)研究和架構(gòu)設(shè)計工作。參與過多項身份安全,、零信任等技術(shù)標(biāo)準(zhǔn)的制定和白皮書撰寫,，包括零信任國家標(biāo)準(zhǔn)、零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組接口應(yīng)用白皮書和身份接口白皮書等,。

　　“身份安全治理”被NIST定義為是零信任的三大關(guān)鍵技術(shù)之一,，但行業(yè)似乎還沒給出身份安全治理的標(biāo)準(zhǔn)定義

　　茆正華：

　　傳統(tǒng)的IAM將身份認(rèn)證作為一個獨立服務(wù)，主要提供賬號,、認(rèn)證,、授權(quán)、審計功能,，典型的是IAM,。用戶只要認(rèn)證通過，登錄進(jìn)來了,，用戶控制權(quán)就交給業(yè)務(wù)系統(tǒng),，IAM就不再管了。

　　在零信任的應(yīng)用中，Gartner對IAM功能進(jìn)行了重新定義,，要求從管理,、保證、授權(quán),、分析維度對身份的整個生命周期進(jìn)行管理,，包括用戶身份的注冊、創(chuàng)建,、轉(zhuǎn)移及在各個應(yīng)用系統(tǒng)中的權(quán)限控制,。零信任也是利用IAM身份驗證和權(quán)限控制的能力，對所有業(yè)務(wù)系統(tǒng)及身份,、權(quán)限,、數(shù)據(jù)的全生命周期進(jìn)行治理。首先,，SDP要采用身份定義邊界,。不管是客戶端還是設(shè)備要進(jìn)入零信任的網(wǎng)絡(luò)，首先要有身份驗證,，通過身份驗證你才能進(jìn)來,。其次，增強(qiáng)IAM,，它不僅要有傳統(tǒng)4A的能力,，還要有持續(xù)認(rèn)證的能力，包括能夠?qū)τ脩粼L問的所有會話進(jìn)行用戶行為分析,。當(dāng)用戶訪問后端資源時,，不只是要做身份鑒別，還要對其行為進(jìn)行鑒別,，對更細(xì)粒度的權(quán)限進(jìn)行鑒別。最后,，關(guān)于MSG,，我們看到Gartner將MSG改為身份定義微隔離（Identity-Based segmentation），注重用身份來鑒別服務(wù)與服務(wù)之間的訪問以做到更加細(xì)粒度的訪問控制能力,。

　　核心能力是實時訪問控制和細(xì)粒度的權(quán)限策略定義,。但這部分其實在倡導(dǎo)零信任之前IAM就已經(jīng)做過細(xì)粒度權(quán)限定義的模型，并有獨立的權(quán)限控制組件（策略實施點PEP）和執(zhí)行組件（策略決策點PDP）,，這與目前零信任架構(gòu)的核心組件具有異曲同工的能力,，主要包括：

　　（一）高性能,、高穩(wěn)定,、高擴(kuò)展性

　　零信任架構(gòu)或者系統(tǒng)要對所有的訪問設(shè)備以及服務(wù)進(jìn)行驗證，IAM要具備高性能、高穩(wěn)定,、高擴(kuò)展的性能才能支撐零信任架構(gòu)下的IAM增強(qiáng)要求,。

　　（二）持續(xù)性,、自動化,、智能化分析

　　零信任系統(tǒng)中默認(rèn)不信任，用戶的每一次請求,，每一次訪問,，都需要認(rèn)證，信任評估要覆蓋業(yè)務(wù)全生命周期,；另外,，零信任要跟云原生的應(yīng)用集成在一起，相關(guān)的人,、設(shè)備,、應(yīng)用、服務(wù)數(shù)量會幾何倍增長,，涉及上百萬級或者上千萬級用戶身份的管理,，需要有相應(yīng)的智能化和自動化能力對資源或者訪問做更加智能的權(quán)限分配和收回，并且能夠?qū)τ脩粼L問服務(wù)或者服務(wù)之間的訪問行為進(jìn)行分析,，在行為當(dāng)中發(fā)現(xiàn)風(fēng)險并且能做到自適應(yīng),。

　　“持續(xù)信任評估和細(xì)粒度訪問控制”是零信任的基本原則，該技術(shù)目前的發(fā)展水平如何,，應(yīng)用成熟度怎樣,？

　　茆正華：

　　持續(xù)信任評估方面，目前市場上的技術(shù)都相對保守,。因為真正持續(xù)的信任評估,，對IAM的性能要求非常高，甚至?xí)?dǎo)致部分業(yè)務(wù)性能下降,。目前了解,，還沒有哪一個實踐能夠做到對所有訪問的每一次請求包都進(jìn)行持續(xù)信任評估。多數(shù)廠商采用的是：無風(fēng)險短時間內(nèi)無需重復(fù)驗證的方式,，即,，如果用戶本次被評估是受信任的，在未來一個短的時間內(nèi)（比如30s或者50s）沒有新的風(fēng)險事件,、設(shè)備或者服務(wù)的變化,，可以同用之前的信任憑據(jù)。從成熟度的角度看,，目前持續(xù)信任評估能力主要是解決了從無到有的問題,。進(jìn)一步持續(xù)評估能力的增強(qiáng),，還要通過新技術(shù)的探索來找一個安全和性能的平衡點。

　　細(xì)粒度訪問控制方面,，相對成熟的方案和架構(gòu)目前主要集中于少數(shù)幾個IAM廠商,。因為，細(xì)粒度訪問控制,，重要的是做好權(quán)限定義和權(quán)限執(zhí)行,。這需要與客戶實際業(yè)務(wù)深度耦合，并從實際應(yīng)用中提煉出更多維度的權(quán)限模型,，加上國內(nèi)對權(quán)限,、角色的控制更復(fù)雜、更靈活,，僅靠RBAC,、RBAC不能滿足客戶端實際場景應(yīng)用的需求。這對于沒有長時間投入IAM技術(shù)理論研究的廠商,，或者做SDP,、微隔離等沒有太多 身份治理客戶案例的零信任廠商，試圖用一些開源技術(shù)做IAM產(chǎn)品基本上沒有辦法很好的實現(xiàn)細(xì)粒度權(quán)限控制,。

　　為更好的支撐零信任落地,，身份安全治理技術(shù)目前還存在哪些不足和挑戰(zhàn)？

　　茆正華：

　　首先,，零信任的身份治理,，從對人的管理轉(zhuǎn)向了全域的身份治理，要解決真實的人或者物理世界中設(shè)備/服務(wù)在數(shù)字世界中對應(yīng)身份的安全問題,。傳統(tǒng)IAM驗證的實體主要是人,，不管是企業(yè)雇員內(nèi)部辦公的EIAM還是C端的CIAM都是面向人的管理。但零信任中定義的主體不僅是人,，還要管理客戶端,、網(wǎng)絡(luò)、中間件,、微服務(wù),、容器節(jié)點，這些身份的使用,、認(rèn)證、信任驗證都各有不同的方法,、不同的理論,，這在技術(shù)結(jié)合業(yè)務(wù)的方面給廠商提出了更多挑戰(zhàn)。

　　此外,，零信任還要解決實時業(yè)務(wù)中的細(xì)粒度控制問題,。傳統(tǒng)的IAM只有允許訪問或者不訪問，類似大門級的訪問控制。但零信任無論是權(quán)限控制還是身份治理,，都要深入到業(yè)務(wù)系統(tǒng)中,。這要求我們對企業(yè)本身的業(yè)務(wù)及整體的業(yè)務(wù)系統(tǒng)有所了解，了解實際的業(yè)務(wù)場景是什么樣子,，以及在不同的場景下各個節(jié)點需要做到什么粒度的控制,。這從業(yè)務(wù)深度上對IAM提出了更高的要求。

　　這些挑戰(zhàn)進(jìn)一步要求身份安全治理不僅要實現(xiàn)技術(shù)一體化,，還要實現(xiàn)業(yè)務(wù)一體化,。目前行業(yè)、標(biāo)準(zhǔn)組織,、協(xié)會針對一體化的零信任系統(tǒng)中各個業(yè)務(wù)系統(tǒng)如何更好地治理提出了一些標(biāo)準(zhǔn)和最佳實踐,，從接口標(biāo)準(zhǔn)化、場景化方面也在做細(xì)度權(quán)限控制方式和方法的探索,。

　　企業(yè)數(shù)據(jù)中心,、私有云、公有云,、混合云場景下的身份安全在治理上有哪些典型不同,，并給一些目前做好身份安全治理的建議？

　　茆正華：

　　大型企業(yè)目前多數(shù)還是會使用數(shù)據(jù)中心或私有云,，這些場景仍然會以采用傳統(tǒng)IAM進(jìn)行身份治理為主,。因為這些網(wǎng)絡(luò)相對封閉，多數(shù)訪問屬于企業(yè)網(wǎng)絡(luò)內(nèi)部訪問,，使用大門級的訪問控制基本可以滿足企業(yè)業(yè)務(wù)應(yīng)用場景的需求,；對于部分用戶或者設(shè)備需要從外網(wǎng)訪問進(jìn)來，采用SDP+IAM的模式也可以解決,。這種方案比較成熟,，也是目前大型企業(yè)的通用方案。

　　但在公有云,、混合云場景下,，網(wǎng)絡(luò)設(shè)施由公有云提供商管理，甚至企業(yè)為自己的服務(wù)購買的兩個虛機(jī)之間的網(wǎng)絡(luò)通信,，也完全由云提供商控制,，租戶不知道自己的網(wǎng)絡(luò)入口和網(wǎng)絡(luò)邊界在什么地方。這種場景下,，需要采用零信任架構(gòu),，基于細(xì)粒度訪問權(quán)限在工作負(fù)載、服務(wù)與服務(wù)之間進(jìn)行訪問控制,。它使企業(yè)可以不依賴于公有云或私有云的實際網(wǎng)絡(luò),，僅從業(yè)務(wù)和身份上對數(shù)據(jù)進(jìn)行身份管理和控制,，就可以滿足公有云或者混合云環(huán)境的安全治理需求。

　　在公有云或混合云場景下做好身份治理,，要從以下幾個方面著手：

　　首先,，要對不同網(wǎng)絡(luò)下的資源和數(shù)據(jù)按照業(yè)務(wù)和敏感度進(jìn)行分級分類。比如,，哪些對安全性要求較高性能可以降低一些,，哪些對性能要求更高安全性可以低一些。通過分級的方式,，使安全管理者對工作目標(biāo)也有一個明確定義,。

　　其次，從業(yè)務(wù)層面做到權(quán)限最小化,，把企業(yè)內(nèi)部的權(quán)限梳理好,，不能過度分配權(quán)限。為后續(xù)升級或者采用新架構(gòu)打好基礎(chǔ),。

　　第三,，通過統(tǒng)一身份認(rèn)證或者單點登錄的方式把現(xiàn)有業(yè)務(wù)系統(tǒng)統(tǒng)一納管起來。有了統(tǒng)一入口可以為下一步實施零信任或者更細(xì)粒度的身份治理打好基礎(chǔ),；否則,，在數(shù)據(jù)或者權(quán)限非常亂的情況下，實施零信任架構(gòu)或者身份安全治理會有很大挑戰(zhàn),。

　　第四,，也是比較重要的一點，是人員的安全教育,。整個組織的安全離不開所有人的貢獻(xiàn),，不能依靠某一個產(chǎn)品或者某一個部門解決所有安全問題。要通過流程或者任務(wù)對實際用戶,、開發(fā)人員,、運(yùn)維人員進(jìn)行安全教育，將“安全共責(zé)”的思想深入人心,。

　　一體化零信任方案的落地是行業(yè)比較關(guān)心的問題之一,，從落地及運(yùn)營的角度談一談混合云環(huán)境下，企業(yè)怎樣可以更好地實現(xiàn)一體化的零信任安全建設(shè),？

　　茆正華：

　　隨著數(shù)字化轉(zhuǎn)型,，企業(yè)的業(yè)務(wù)系統(tǒng)越來越龐雜，像五,、六百人的企業(yè),，一般都會有十幾、二十多個業(yè)務(wù)系統(tǒng),，類型上有商業(yè)的,、自研的、開源的或者買的完全SaaS化的系統(tǒng),，有的部署在機(jī)房有的在云端,。這種環(huán)境下，業(yè)務(wù)邏輯呈網(wǎng)狀業(yè)務(wù)入口更加開放,，安全管理的挑戰(zhàn)也更大,，并且這種多云和混合環(huán)境未來會長期存在。分布的混合云環(huán)境下,，沒有辦法每個SaaS系統(tǒng)都分別建一套身份管理系統(tǒng),，加上零信任細(xì)粒度管控與業(yè)務(wù)系統(tǒng)天然不可分割的特性，一體化的零信任安全建設(shè)將會成為零信任發(fā)展的一個趨勢,。

　　一體化的零信任建設(shè)中,，可以考慮用IDaaS和IAM協(xié)同治理的方式解決多云或者混合云環(huán)境下的身份治理問題。通過IDaaS和IAM之間的身份互信,，保證用戶無論處于何種網(wǎng)絡(luò)環(huán)境下,，都不需要知道業(yè)務(wù)系統(tǒng)到底在什么地方，完全交給可以協(xié)同身份治理的平臺實現(xiàn)快速,、平滑,、安全的訪問。

　　其次,，零信任安全建設(shè)要場景化,，基于每個實際的業(yè)務(wù)場景，打造該場景下業(yè)務(wù)閉環(huán)的零信任系統(tǒng),。它包括該場景下相關(guān)的人,、設(shè)備、流程及安全控制策略,，比如,，業(yè)-財-管一體化方案、數(shù)字化員工方案,、數(shù)字化營銷方案以及數(shù)字化隱私合規(guī)場景的方案等,。然后通過單個場景化的一體化方案逐步擴(kuò)展到整體的一體化。零信任安全一定要從業(yè)務(wù)出發(fā)解決業(yè)務(wù)問題,。

　　為更廣泛地滿足零信任時代的安全建設(shè)需求,，從演進(jìn)的視角談一談身份安全治理未來將會有哪些發(fā)展趨勢？

　　茆正華：

　　技術(shù)方面,，未來會在持續(xù)化,、自動化和智能化分析方面將會有更深入的探索。目前雖然業(yè)界在零信任的持續(xù)化,、自動化或者智能化分析方面已經(jīng)有了一些實踐或落地,，但是還存在很多問題,，這方面還要引入一些新的技術(shù)或者新的理念。

　　應(yīng)用場景上,，與身份安全治理發(fā)展趨勢有較大關(guān)系的,，一是基于區(qū)塊鏈的個人身份自主授權(quán)DID，另一個是元宇宙,。DID會涉及隱私計算,、零知識證明、多方計算,、聯(lián)邦計算等一系列技術(shù),，此外，DID與Web3.0也會有一定的關(guān)聯(lián)關(guān)系,。Web2.0時代對于很多企業(yè)尤其是互聯(lián)網(wǎng)企業(yè)來說,，只要能收集到足夠的個人信息，甚至都不需要再對產(chǎn)品功能進(jìn)行優(yōu)化,，就能在市場上獲得很好的估值,。未來如果從國家層面或者社會層面能將DID推行下去，個人信息由個人自己來決策,，將會顛覆整個Web2.0的商業(yè)模式,。元宇宙是把真實宇宙在數(shù)字世界中完全復(fù)制一遍，這會涉及到真實世界的人,、物也在元宇宙中的身份定義,、身份管理等，現(xiàn)在還沒有真正落地,，可能還是一個遠(yuǎn)期的規(guī)劃,。

　　政策方面，在個人信息保護(hù)和隱私合規(guī)方面密集出臺了一些政策,，無論是政府,，還是企業(yè)都會越來越重視個人信息保護(hù)，安全合規(guī)地使用個人信息將成為強(qiáng)需求,，大部分企業(yè),，有規(guī)模的企業(yè)或者互聯(lián)網(wǎng)企業(yè)都會涉及到這方面的需求。針對這一塊我們也做了一些研究,，想辦法把政策法規(guī)的要求落實到產(chǎn)品設(shè)計中,。

　　最后，隨著數(shù)字化轉(zhuǎn)型的深入推進(jìn),，企業(yè)的數(shù)據(jù),、業(yè)務(wù)、系統(tǒng)會越來越多，靠人力完全沒有辦法來管理所有的資源,，業(yè)務(wù)系統(tǒng)的自動發(fā)現(xiàn),、納入、監(jiān)管,、治理,，以及智能化的風(fēng)險發(fā)現(xiàn)、用戶行為分析,、權(quán)限的智能分配/回收等，都要跟著數(shù)字化轉(zhuǎn)型的深入推進(jìn)而提速或轉(zhuǎn)變,。自動化和智能化發(fā)展也會成為必然趨勢,。

　　評論

　　隨著新網(wǎng)絡(luò)空間業(yè)務(wù)對安全加持的需求，身份和訪問控制的職能不再僅僅是泛身份驗證,，還要擔(dān)負(fù)統(tǒng)籌全域的,、全周期的端-端業(yè)務(wù)安全訪問的重要職責(zé)。這對身份和訪問控制的功能從身份范圍,、身份類型,、驗證機(jī)制、存儲安全,、控制策略,、運(yùn)營模式等多維度提出了新要求；也從身份治理的角度對傳統(tǒng)身份和訪問控制的產(chǎn)業(yè)提出了新挑戰(zhàn),。隨著網(wǎng)絡(luò)空間安全和數(shù)字空間進(jìn)一步融合發(fā)展,，身份治理不僅是零信任的基石，也是未來 “數(shù)字信任”構(gòu)建的重要組成,，還擔(dān)負(fù)著驅(qū)動未來網(wǎng)絡(luò)發(fā)展的重要職責(zé),。面對未來對身份安全與訪問控制的需求，目前階段身份治理還僅僅是個開始,。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<