1. 使用者信任
1.1. 將裝置身份和使用者身份混為一談會導致一些顯而易見的問題
-
1.1.1. 特別是當使用者擁有多臺裝置時,而這種情況很普遍
-
1.1.2. 應該針對不同型別的裝置提供相匹配的憑證
-
1.1.3. 在存在共用終端裝置的情況下,所有的這些問題將更加凸顯
1.2. 需要將使用者的識別和信任嚴格地區分於裝置
-
1.2.1. 二者是完全不同的兩個憑證
-
1.2.2. 使用者信任在多人參與的情況下會有所不同
2. 身份權威性
2.1. 每個人都有身份,它是現實社會中個體的象徵,是個體進行社會活動的基礎
2.2. 在網路系統中,身份就是社會人/使用者所對應的數字個體的標識,是使用者在網路系統中活動的基礎
2.3. 非正式身份
-
2.3.1. 是組織內部的自定義身份
-
2.3.2. 常用於計算機系統
-
2.3.2.1. 暱稱/花名常見於線上通訊,是一種不與現實世界中真實姓名相關聯的賬戶
-
2.3.3. 常用於小團體中,個體之間的信任程度相對較高,風險較低
-
2.3.4. 缺點
-
2.3.4.1. 使用者可以建立虛假身份
-
2.3.4.2. 使用者可以假冒他人身份
-
2.3.4.3. 單個使用者可以建立多個身份
-
2.3.4.4. 多個使用者可以共享同一身份
2.4. 權威身份
-
2.4.1. 在現實世界中,個人往往使用政府頒發的ID(如駕照)作為他們的身份憑證
-
2.4.2. 在安全性較高、風險較低的場景下,單獨使用這些ID就可以證明某人的身份
-
2.4.3. 在風險較高的場景下,需要根據政府資料庫交叉核驗身份憑證,進一步增強安全保障
-
2.4.4. 計算機系統也需要一個權威中心負責使用者身份管理,同現實世界一樣,授予使用者不同強度的憑證,並據此在計算機系統中標識他們
-
2.4.5. 依據風險等級的不同,可能還需要根據中央資料庫交叉核驗使用者憑證
2.5. 憑證可能丟失或者被盜,因此身份管理的權威機構需要制定一種機制來處理使用者身份遺失問題,使使用者重新獲得身份憑證
- 2.5.1. 驗證方式和驗證材料的選取不當可能會誘發安全隱患
3. 身份初始化
3.1. 數字化身份的產生以及身份與人的初始關聯都是非常敏感的操作
-
3.1.1. 對實體人的驗證機制必須足夠強,以防攻擊者偽裝成新員工獲取系統身份
-
3.1.2. 當使用者無法提供當前的身份憑證時,賬號恢復程式同樣需要足夠強的認證控制來確保實體人身份的合法性
3.2. 政府頒發的身份
-
3.2.1. 應該首選政府頒發的身份對物理世界中的實體人進行認證
-
3.2.2. 這些身份設計之初的首要目的就是認證實體人
-
3.2.3. 相關安全人員要想驗證這些ID必須經過專業培訓,以免某些安全機制被攻擊者輕易繞過
3.3. 人工認證的力量
-
3.3.1. 人工認證機制的安全性卻依然更強
-
3.3.2. 人工當面授予實體人新的數字身份一直是很好的方式
-
3.3.3. 非常不推薦透過郵件或其他“盲引”機制進行認證
-
3.3.4. 信任的建立是基於一個已知的可信人員對待開通身份的人員的資訊瞭解,這種間接的信任關係是後續人工認證和身份建立的基礎
-
3.3.5. 雖然人工認證的可信度很高,但這不應該是唯一的認證機制,就像零信任網路中的其他元件一樣
3.4. 預期資訊的確認
-
3.4.1. 在建立數字身份之前,有許多資訊可以獲取,應使用盡可能多的資訊全面構建使用者畫像,確保使用者畫像符合相關數字身份建立的預期要求
-
3.4.2. 可以將這些預期資訊看作是實體身份通向數字身份的關鍵要素,主要依賴人為收集和確認
-
3.4.2.1. 使用者使用的語言
-
3.4.2.2. 使用者個人ID上的家庭住址
-
3.4.2.3. 其他更有意思的資訊
-
3.4.3. 在現實生活中,人們常常使用類似的機制進行認證(偶爾或正式),所以這種機制相當成熟可
4. 身份的儲存
4.1. 通常需要永久儲存
4.2. 使用者目錄
-
4.2.1. 為了構建使用者信任,系統一般需要一個目錄集中記錄使用者相關資訊
-
4.2.2. 由於使用者在該目錄的存在性是後續所有認證的前提,因此集中儲存這些高度敏感的資料是一個無法逃避的安全挑戰
-
4.2.3. 使用者目錄會儲存一些基本資訊,還有一些擴充套件資訊
-
4.2.3.1. 零信任網路可以基於豐富的使用者資訊做出更好的認證判定
-
4.2.4. 使用者資訊極其敏感,最好不要將所有資訊都儲存在一個資料庫中
-
4.2.4.1. 最好用幾個相互隔離的資料庫代替單一資料庫來儲存所有使用者資訊
-
4.2.4.2. 這些資料庫僅僅可以透過受限的API介面進行訪問,這樣最大程度地限制了資訊的暴露面
-
4.2.4.3. 永遠不要直接暴露原始資料
-
4.2.4.4. 透過有權訪問這些資料的應用程式開放訪問介面
-
4.2.4.5. 過這些介面對一個使用者的資訊進行斷言式查詢
-
4.2.5. 系統可以考慮詢問使用者一些關於已知“事實”的知識/資訊來進一步驗證使用者身份
4.3. 目錄的維護
-
4.3.1. 保證使用者目錄的準確性對於零信任網路的安全性至關重要
-
4.3.2. 身份源系統和人力資源系統這兩個資料來源應該儘量保持同步
-
4.3.3. 必須有一個系統作為身份的原始記錄系統
-
4.3.3.1. 如何選擇是根據組織需要決定的
-
4.3.4. 選擇哪個系統並不重要,重要的是隻有一個權威身份源系統記錄身份,其他身份源系統都得從該系統匯出它們所需的資料
4.4. 最小化儲存資料是有益的
-
4.4.1. 維護基礎身份記錄的系統並不需要儲存所有身份資訊
-
4.4.2. 最好明確地分開儲存不同的使用者資料
-
4.4.3. 記錄系統只需要儲存可以識別個人身份的關鍵性資訊
-
4.4.4. 衍生系統可以使用此記錄系統中的權威ID來儲存額外的使用者資訊
5. 何時進行身份認證
5.1. 傳統模式總是力求劃分出一個高度敏感的資料區域或操作,並對其進行極盡可能的強認證,即便使用者之前已經做過一定的認證並且累積了足夠的信任度
- 5.1.1. 信任評分驅動的認證機制摒棄絕對的一次性的認證需求,取而代之的是一種自適應的按需認證和授權機制
5.2. 認證對於零信任網路至關重要,它是強制行為,但應該在顯著增強安全性的同時保證使用者體驗最優,最大程度地使使用者方便
5.3. 務必牢記使用者體驗是設計零信任網路的一個重要的參考因素
-
5.3.1. 往往容易只關注認證的安全性而忽略其便捷
-
5.3.2. 若一個安全技術提供的使用者體驗相當糟糕且註定會失效,那麼使用者很可能會想辦法削弱甚至破壞安全機制
-
5.3.3. 糟糕的使用者體驗會極大地影響使用者的使用意願,並且往往會使使用者最終找到一些捷徑繞過這些安全強制要求
5.4. 透過認證機制獲取信任
-
5.4.1. 認證使用者實際上就是系統驗證使用者是否是他聲稱的那個人
-
5.4.2. 不同的認證操作賦予不同的信任等級,根據情況靈活選擇認證方式
-
5.4.3. 登入音樂訂閱服務僅需要密碼
-
5.4.4. 登入投資賬戶不僅需要密碼,還需要額外的驗證碼
-
5.4.5. 使用者可以透過額外的認證方式提高其信任等級
-
5.4.6. 如果一個使用者的信任評分低於當前訪問請求要求的最低信任評分,就需要進行額外的認證
-
5.4.7. 若透過該認證,那麼使用者的信任等級將提升至該請求要求的水平
-
5.4.8. 透過二次認證提高信任等級這種機制並不陌生,如今它已經被廣泛應用
-
5.4.9. 僅透過認證機制獲取的信任等級始終是有限的,如果沒有這一原則,裝置安全性和其他一些危險訊號可能導致的潛在安全問題就可能被忽略
5.5. 透過信任驅動認證機制
-
5.5.1. 認證的目的是獲取信任
-
5.5.1.1. 切記不要毫無目的地讓使用者透過各種認證挑戰
-
5.5.1.2. 應該根據期望的信任等級設定認證需求的機制
-
5.5.1.3. 當使用者的信任評分足夠高時,則不需要對他進行進一步認證
-
5.5.1.4. 當使用者的的信任評分太低時,則要求進一步認證
-
5.5.2. 系統不需要對特定操作設定額外的認證要求,而是設定一個信任評分閾值來驅動認證流程和需求
-
5.5.3. 系統可以選取任意的認證方式進行組合來滿足信任評分要求,掌握每種認證方式的可信度及可訪問資訊的敏感度,有助於設計對攻擊更免疫的系統
5.6. 通道安全
-
5.6.1. 通訊通道本身就有不同的信任等級
-
5.6.2. 各種通道的認證強度也不相同
-
5.6.3. 使用多通道模式時,理解通道本身的信任度非常重要,這決定了在不同場景下對通道的選擇
-
5.6.4. 硬體動態令牌的安全性和其分發系統的安全性一致
-
5.6.4.1. 如果令牌是透過當面領取的方式分發的,則其安全性取決於領取令牌時,管理員對領取人的身份確認是否足夠可靠
-
5.6.5. 企業聊天系統的推送通知功能,其安全性和登入該聊天系統時所使用的憑證安全性相
5.7. 使用多通道通訊
-
5.7.1. 在對請求進行認證和授權時,使用多通道通訊是非常高效的
-
5.7.2. 可以選擇多種通道,並將其有機整合,形成完整的數字認證方案
-
5.7.3. 當使用者請求某些高風險操作時,可以透過某種通道提示使用者進行二次確認
-
5.7.4. 當決定什麼時候、在哪裡應用多通道通訊時,必須將使用者體驗作為重要的因素考慮在內
-
5.7.5. 第二通道應該與認證/授權的第一通道不同
-
5.7.6. 破壞一個通道可能很容易,可是同時破壞多個通道的難度將大大增加,這就是多通道帶來安全性提升的根本原因
5.8. 快取身份及其信任等級
-
5.8.1. 會話快取技術已經相當成熟
-
5.8.2. 對授權進行頻繁驗證有非常重要的意義,這是當信任等級發生變化時,控制平面對資料平面應用程式進行有效干預的唯一機制
-
5.8.3. 一般認為授權驗證的頻率越高越好
-
5.8.3.1. 在某些實現方案中,每個請求的授權都會透過控制平面實時處理
-
5.8.4. 許多應用只會在會話初始階段驗證SSO令牌,驗證透過後,會給此會話設定一個和應用繫結的令牌
-
5.8.5. 對請求進行授權時若採用控制平面令牌代替應用令牌,那麼當信任等級波動時,可以更方便高效地更改授權判定,及時撤銷授權