自2010年零信任被正式提出以來，經(jīng)過十多年的發(fā)展和演進(jìn),，零信任的理念和架構(gòu)相對已經(jīng)比較成熟,，身份安全治理，作為零信任三大關(guān)鍵技術(shù)之一,，也基本解決了從無到有的問題,，但仍然沒有完全達(dá)到其理念所倡導(dǎo)的那種“持續(xù)驗(yàn)證,，永不信任”理想狀態(tài)。原因在于,，企業(yè)要做到持續(xù)的身份驗(yàn)證,，必然會對其業(yè)務(wù)帶來一定的影響，甚至?xí)绊懴到y(tǒng)的性能,，企業(yè)需要找到安全和性能的平衡點(diǎn),。

　　日前，安全牛采訪了派拉軟件產(chǎn)品總監(jiān)茆正華,，就數(shù)字化轉(zhuǎn)型深入發(fā)展背景下,，零信任身份安全治理的挑戰(zhàn)與應(yīng)對相關(guān)話題進(jìn)行了探討。在訪談過程中,，茆正華始終強(qiáng)調(diào)“零信任架構(gòu)下的身份安全治理,，必須要從企業(yè)數(shù)字化業(yè)務(wù)發(fā)展出發(fā)，要能夠解決實(shí)際業(yè)務(wù)中遇到的安全問題”,。

　　茆正華：派拉軟件產(chǎn)品總監(jiān),、CZTP零信任專家、零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組專家,、中國產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟成員,。

　　20年信息安全行業(yè)經(jīng)驗(yàn)，先后負(fù)責(zé)派拉軟件身份安全產(chǎn)品,、特權(quán)賬號產(chǎn)品,、零信任產(chǎn)品等研發(fā)工作；現(xiàn)負(fù)責(zé)公司IDaaS產(chǎn)品線及零信任三大組件中SIM的技術(shù)研究和架構(gòu)設(shè)計(jì)工作,。參與過多項(xiàng)身份安全,、零信任等技術(shù)標(biāo)準(zhǔn)的制定和白皮書撰寫，包括零信任國家標(biāo)準(zhǔn),、零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組接口應(yīng)用白皮書和身份接口白皮書等,。

　　“身份安全治理”被NIST定義為是零信任的三大關(guān)鍵技術(shù)之一，但行業(yè)似乎還沒給出身份安全治理的標(biāo)準(zhǔn)定義

　　茆正華：

　　傳統(tǒng)的IAM將身份認(rèn)證作為一個獨(dú)立服務(wù),，主要提供賬號,、認(rèn)證、授權(quán),、審計(jì)功能,，典型的是IAM。用戶只要認(rèn)證通過,，登錄進(jìn)來了,，用戶控制權(quán)就交給業(yè)務(wù)系統(tǒng)，IAM就不再管了。

　　在零信任的應(yīng)用中,，Gartner對IAM功能進(jìn)行了重新定義,，要求從管理、保證,、授權(quán),、分析維度對身份的整個生命周期進(jìn)行管理，包括用戶身份的注冊,、創(chuàng)建,、轉(zhuǎn)移及在各個應(yīng)用系統(tǒng)中的權(quán)限控制。零信任也是利用IAM身份驗(yàn)證和權(quán)限控制的能力,，對所有業(yè)務(wù)系統(tǒng)及身份,、權(quán)限、數(shù)據(jù)的全生命周期進(jìn)行治理,。首先，SDP要采用身份定義邊界,。不管是客戶端還是設(shè)備要進(jìn)入零信任的網(wǎng)絡(luò),，首先要有身份驗(yàn)證，通過身份驗(yàn)證你才能進(jìn)來,。其次,，增強(qiáng)IAM，它不僅要有傳統(tǒng)4A的能力,，還要有持續(xù)認(rèn)證的能力,，包括能夠?qū)τ脩粼L問的所有會話進(jìn)行用戶行為分析。當(dāng)用戶訪問后端資源時,，不只是要做身份鑒別,，還要對其行為進(jìn)行鑒別，對更細(xì)粒度的權(quán)限進(jìn)行鑒別,。最后,，關(guān)于MSG，我們看到Gartner將MSG改為身份定義微隔離（Identity-Based segmentation）,，注重用身份來鑒別服務(wù)與服務(wù)之間的訪問以做到更加細(xì)粒度的訪問控制能力,。

　　核心能力是實(shí)時訪問控制和細(xì)粒度的權(quán)限策略定義。但這部分其實(shí)在倡導(dǎo)零信任之前IAM就已經(jīng)做過細(xì)粒度權(quán)限定義的模型,，并有獨(dú)立的權(quán)限控制組件（策略實(shí)施點(diǎn)PEP）和執(zhí)行組件（策略決策點(diǎn)PDP）,，這與目前零信任架構(gòu)的核心組件具有異曲同工的能力，主要包括：

　?。ㄒ唬└咝阅?、高穩(wěn)定、高擴(kuò)展性

　　零信任架構(gòu)或者系統(tǒng)要對所有的訪問設(shè)備以及服務(wù)進(jìn)行驗(yàn)證，IAM要具備高性能,、高穩(wěn)定,、高擴(kuò)展的性能才能支撐零信任架構(gòu)下的IAM增強(qiáng)要求。

　?。ǘ┏掷m(xù)性,、自動化、智能化分析

　　零信任系統(tǒng)中默認(rèn)不信任,，用戶的每一次請求,，每一次訪問，都需要認(rèn)證,，信任評估要覆蓋業(yè)務(wù)全生命周期,；另外，零信任要跟云原生的應(yīng)用集成在一起,，相關(guān)的人,、設(shè)備、應(yīng)用,、服務(wù)數(shù)量會幾何倍增長,，涉及上百萬級或者上千萬級用戶身份的管理，需要有相應(yīng)的智能化和自動化能力對資源或者訪問做更加智能的權(quán)限分配和收回,，并且能夠?qū)τ脩粼L問服務(wù)或者服務(wù)之間的訪問行為進(jìn)行分析,，在行為當(dāng)中發(fā)現(xiàn)風(fēng)險并且能做到自適應(yīng)。

　　“持續(xù)信任評估和細(xì)粒度訪問控制”是零信任的基本原則,，該技術(shù)目前的發(fā)展水平如何,，應(yīng)用成熟度怎樣？

　　茆正華：

　　持續(xù)信任評估方面,，目前市場上的技術(shù)都相對保守,。因?yàn)檎嬲掷m(xù)的信任評估，對IAM的性能要求非常高,，甚至?xí)?dǎo)致部分業(yè)務(wù)性能下降,。目前了解，還沒有哪一個實(shí)踐能夠做到對所有訪問的每一次請求包都進(jìn)行持續(xù)信任評估,。多數(shù)廠商采用的是：無風(fēng)險短時間內(nèi)無需重復(fù)驗(yàn)證的方式,，即，如果用戶本次被評估是受信任的,，在未來一個短的時間內(nèi)（比如30s或者50s）沒有新的風(fēng)險事件,、設(shè)備或者服務(wù)的變化，可以同用之前的信任憑據(jù),。從成熟度的角度看,，目前持續(xù)信任評估能力主要是解決了從無到有的問題。進(jìn)一步持續(xù)評估能力的增強(qiáng)，還要通過新技術(shù)的探索來找一個安全和性能的平衡點(diǎn),。

　　細(xì)粒度訪問控制方面,，相對成熟的方案和架構(gòu)目前主要集中于少數(shù)幾個IAM廠商。因?yàn)?，?xì)粒度訪問控制,，重要的是做好權(quán)限定義和權(quán)限執(zhí)行。這需要與客戶實(shí)際業(yè)務(wù)深度耦合,，并從實(shí)際應(yīng)用中提煉出更多維度的權(quán)限模型,，加上國內(nèi)對權(quán)限、角色的控制更復(fù)雜,、更靈活,，僅靠RBAC、RBAC不能滿足客戶端實(shí)際場景應(yīng)用的需求,。這對于沒有長時間投入IAM技術(shù)理論研究的廠商,，或者做SDP、微隔離等沒有太多 身份治理客戶案例的零信任廠商,，試圖用一些開源技術(shù)做IAM產(chǎn)品基本上沒有辦法很好的實(shí)現(xiàn)細(xì)粒度權(quán)限控制,。

　　為更好的支撐零信任落地，身份安全治理技術(shù)目前還存在哪些不足和挑戰(zhàn),？

　　茆正華：

　　首先，零信任的身份治理,，從對人的管理轉(zhuǎn)向了全域的身份治理,，要解決真實(shí)的人或者物理世界中設(shè)備/服務(wù)在數(shù)字世界中對應(yīng)身份的安全問題。傳統(tǒng)IAM驗(yàn)證的實(shí)體主要是人,，不管是企業(yè)雇員內(nèi)部辦公的EIAM還是C端的CIAM都是面向人的管理,。但零信任中定義的主體不僅是人，還要管理客戶端,、網(wǎng)絡(luò),、中間件、微服務(wù),、容器節(jié)點(diǎn),，這些身份的使用、認(rèn)證,、信任驗(yàn)證都各有不同的方法,、不同的理論，這在技術(shù)結(jié)合業(yè)務(wù)的方面給廠商提出了更多挑戰(zhàn),。

　　此外,，零信任還要解決實(shí)時業(yè)務(wù)中的細(xì)粒度控制問題。傳統(tǒng)的IAM只有允許訪問或者不訪問，類似大門級的訪問控制,。但零信任無論是權(quán)限控制還是身份治理,，都要深入到業(yè)務(wù)系統(tǒng)中。這要求我們對企業(yè)本身的業(yè)務(wù)及整體的業(yè)務(wù)系統(tǒng)有所了解,，了解實(shí)際的業(yè)務(wù)場景是什么樣子,，以及在不同的場景下各個節(jié)點(diǎn)需要做到什么粒度的控制。這從業(yè)務(wù)深度上對IAM提出了更高的要求,。

　　這些挑戰(zhàn)進(jìn)一步要求身份安全治理不僅要實(shí)現(xiàn)技術(shù)一體化,，還要實(shí)現(xiàn)業(yè)務(wù)一體化。目前行業(yè),、標(biāo)準(zhǔn)組織,、協(xié)會針對一體化的零信任系統(tǒng)中各個業(yè)務(wù)系統(tǒng)如何更好地治理提出了一些標(biāo)準(zhǔn)和最佳實(shí)踐，從接口標(biāo)準(zhǔn)化,、場景化方面也在做細(xì)度權(quán)限控制方式和方法的探索,。

　　企業(yè)數(shù)據(jù)中心、私有云,、公有云,、混合云場景下的身份安全在治理上有哪些典型不同，并給一些目前做好身份安全治理的建議,？

　　茆正華：

　　大型企業(yè)目前多數(shù)還是會使用數(shù)據(jù)中心或私有云,，這些場景仍然會以采用傳統(tǒng)IAM進(jìn)行身份治理為主。因?yàn)檫@些網(wǎng)絡(luò)相對封閉,，多數(shù)訪問屬于企業(yè)網(wǎng)絡(luò)內(nèi)部訪問,，使用大門級的訪問控制基本可以滿足企業(yè)業(yè)務(wù)應(yīng)用場景的需求；對于部分用戶或者設(shè)備需要從外網(wǎng)訪問進(jìn)來,，采用SDP+IAM的模式也可以解決,。這種方案比較成熟，也是目前大型企業(yè)的通用方案,。

　　但在公有云,、混合云場景下，網(wǎng)絡(luò)設(shè)施由公有云提供商管理,，甚至企業(yè)為自己的服務(wù)購買的兩個虛機(jī)之間的網(wǎng)絡(luò)通信,，也完全由云提供商控制，租戶不知道自己的網(wǎng)絡(luò)入口和網(wǎng)絡(luò)邊界在什么地方,。這種場景下,，需要采用零信任架構(gòu)，基于細(xì)粒度訪問權(quán)限在工作負(fù)載,、服務(wù)與服務(wù)之間進(jìn)行訪問控制,。它使企業(yè)可以不依賴于公有云或私有云的實(shí)際網(wǎng)絡(luò),，僅從業(yè)務(wù)和身份上對數(shù)據(jù)進(jìn)行身份管理和控制，就可以滿足公有云或者混合云環(huán)境的安全治理需求,。

　　在公有云或混合云場景下做好身份治理,，要從以下幾個方面著手：

　　首先，要對不同網(wǎng)絡(luò)下的資源和數(shù)據(jù)按照業(yè)務(wù)和敏感度進(jìn)行分級分類,。比如,，哪些對安全性要求較高性能可以降低一些，哪些對性能要求更高安全性可以低一些,。通過分級的方式,，使安全管理者對工作目標(biāo)也有一個明確定義。

　　其次,，從業(yè)務(wù)層面做到權(quán)限最小化,，把企業(yè)內(nèi)部的權(quán)限梳理好，不能過度分配權(quán)限,。為后續(xù)升級或者采用新架構(gòu)打好基礎(chǔ),。

　　第三，通過統(tǒng)一身份認(rèn)證或者單點(diǎn)登錄的方式把現(xiàn)有業(yè)務(wù)系統(tǒng)統(tǒng)一納管起來,。有了統(tǒng)一入口可以為下一步實(shí)施零信任或者更細(xì)粒度的身份治理打好基礎(chǔ),；否則，在數(shù)據(jù)或者權(quán)限非常亂的情況下,，實(shí)施零信任架構(gòu)或者身份安全治理會有很大挑戰(zhàn),。

　　第四，也是比較重要的一點(diǎn),，是人員的安全教育,。整個組織的安全離不開所有人的貢獻(xiàn)，不能依靠某一個產(chǎn)品或者某一個部門解決所有安全問題,。要通過流程或者任務(wù)對實(shí)際用戶、開發(fā)人員,、運(yùn)維人員進(jìn)行安全教育,，將“安全共責(zé)”的思想深入人心。

　　一體化零信任方案的落地是行業(yè)比較關(guān)心的問題之一,，從落地及運(yùn)營的角度談一談混合云環(huán)境下,，企業(yè)怎樣可以更好地實(shí)現(xiàn)一體化的零信任安全建設(shè)？

　　茆正華：

　　隨著數(shù)字化轉(zhuǎn)型,，企業(yè)的業(yè)務(wù)系統(tǒng)越來越龐雜,，像五、六百人的企業(yè),，一般都會有十幾,、二十多個業(yè)務(wù)系統(tǒng),，類型上有商業(yè)的、自研的,、開源的或者買的完全SaaS化的系統(tǒng),，有的部署在機(jī)房有的在云端。這種環(huán)境下,，業(yè)務(wù)邏輯呈網(wǎng)狀業(yè)務(wù)入口更加開放,，安全管理的挑戰(zhàn)也更大，并且這種多云和混合環(huán)境未來會長期存在,。分布的混合云環(huán)境下,，沒有辦法每個SaaS系統(tǒng)都分別建一套身份管理系統(tǒng)，加上零信任細(xì)粒度管控與業(yè)務(wù)系統(tǒng)天然不可分割的特性,，一體化的零信任安全建設(shè)將會成為零信任發(fā)展的一個趨勢,。

　　一體化的零信任建設(shè)中，可以考慮用IDaaS和IAM協(xié)同治理的方式解決多云或者混合云環(huán)境下的身份治理問題,。通過IDaaS和IAM之間的身份互信,，保證用戶無論處于何種網(wǎng)絡(luò)環(huán)境下，都不需要知道業(yè)務(wù)系統(tǒng)到底在什么地方,，完全交給可以協(xié)同身份治理的平臺實(shí)現(xiàn)快速,、平滑、安全的訪問,。

　　其次,，零信任安全建設(shè)要場景化，基于每個實(shí)際的業(yè)務(wù)場景,，打造該場景下業(yè)務(wù)閉環(huán)的零信任系統(tǒng),。它包括該場景下相關(guān)的人、設(shè)備,、流程及安全控制策略,，比如，業(yè)-財-管一體化方案,、數(shù)字化員工方案,、數(shù)字化營銷方案以及數(shù)字化隱私合規(guī)場景的方案等。然后通過單個場景化的一體化方案逐步擴(kuò)展到整體的一體化,。零信任安全一定要從業(yè)務(wù)出發(fā)解決業(yè)務(wù)問題,。

　　為更廣泛地滿足零信任時代的安全建設(shè)需求，從演進(jìn)的視角談一談身份安全治理未來將會有哪些發(fā)展趨勢,？

　　茆正華：

　　技術(shù)方面,，未來會在持續(xù)化、自動化和智能化分析方面將會有更深入的探索,。目前雖然業(yè)界在零信任的持續(xù)化,、自動化或者智能化分析方面已經(jīng)有了一些實(shí)踐或落地,，但是還存在很多問題，這方面還要引入一些新的技術(shù)或者新的理念,。

　　應(yīng)用場景上,，與身份安全治理發(fā)展趨勢有較大關(guān)系的，一是基于區(qū)塊鏈的個人身份自主授權(quán)DID,，另一個是元宇宙,。DID會涉及隱私計(jì)算、零知識證明,、多方計(jì)算,、聯(lián)邦計(jì)算等一系列技術(shù)，此外,，DID與Web3.0也會有一定的關(guān)聯(lián)關(guān)系,。Web2.0時代對于很多企業(yè)尤其是互聯(lián)網(wǎng)企業(yè)來說，只要能收集到足夠的個人信息,，甚至都不需要再對產(chǎn)品功能進(jìn)行優(yōu)化,，就能在市場上獲得很好的估值。未來如果從國家層面或者社會層面能將DID推行下去,，個人信息由個人自己來決策,，將會顛覆整個Web2.0的商業(yè)模式。元宇宙是把真實(shí)宇宙在數(shù)字世界中完全復(fù)制一遍,，這會涉及到真實(shí)世界的人,、物也在元宇宙中的身份定義、身份管理等,，現(xiàn)在還沒有真正落地,，可能還是一個遠(yuǎn)期的規(guī)劃。

　　政策方面,，在個人信息保護(hù)和隱私合規(guī)方面密集出臺了一些政策,，無論是政府，還是企業(yè)都會越來越重視個人信息保護(hù),，安全合規(guī)地使用個人信息將成為強(qiáng)需求,，大部分企業(yè)，有規(guī)模的企業(yè)或者互聯(lián)網(wǎng)企業(yè)都會涉及到這方面的需求,。針對這一塊我們也做了一些研究,，想辦法把政策法規(guī)的要求落實(shí)到產(chǎn)品設(shè)計(jì)中,。

　　最后,，隨著數(shù)字化轉(zhuǎn)型的深入推進(jìn)，企業(yè)的數(shù)據(jù),、業(yè)務(wù),、系統(tǒng)會越來越多,，靠人力完全沒有辦法來管理所有的資源，業(yè)務(wù)系統(tǒng)的自動發(fā)現(xiàn),、納入,、監(jiān)管、治理,，以及智能化的風(fēng)險發(fā)現(xiàn),、用戶行為分析、權(quán)限的智能分配/回收等,，都要跟著數(shù)字化轉(zhuǎn)型的深入推進(jìn)而提速或轉(zhuǎn)變,。自動化和智能化發(fā)展也會成為必然趨勢。

　　評論

　　隨著新網(wǎng)絡(luò)空間業(yè)務(wù)對安全加持的需求,，身份和訪問控制的職能不再僅僅是泛身份驗(yàn)證,，還要擔(dān)負(fù)統(tǒng)籌全域的、全周期的端-端業(yè)務(wù)安全訪問的重要職責(zé),。這對身份和訪問控制的功能從身份范圍,、身份類型、驗(yàn)證機(jī)制,、存儲安全,、控制策略、運(yùn)營模式等多維度提出了新要求,；也從身份治理的角度對傳統(tǒng)身份和訪問控制的產(chǎn)業(yè)提出了新挑戰(zhàn),。隨著網(wǎng)絡(luò)空間安全和數(shù)字空間進(jìn)一步融合發(fā)展，身份治理不僅是零信任的基石,，也是未來 “數(shù)字信任”構(gòu)建的重要組成,，還擔(dān)負(fù)著驅(qū)動未來網(wǎng)絡(luò)發(fā)展的重要職責(zé)。面對未來對身份安全與訪問控制的需求,，目前階段身份治理還僅僅是個開始,。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<