【身份安全】零信任安全框架梳理（一）

零信任网络安全防护理念

一、定义

零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，用一句通俗的话来概括，就是“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则，可以保障办公系统的三个“安全”：终端安全、链路安全和访问控制安全。

零信任原则

• 显示验证：始终根据所有可用的数据点进行身份验证和授权。
• 使用最低权限访问：使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护，来限制用户访问。
• 假定数据泄露：最大限度地减少影响范围，并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。【假定出了信息泄露，所以始终不信任】

二、零信任实现方式

• 1、软件定义边界（SDP）【访问者和被访资源之间的业务通道】
• 2、身份识别与访问管理（IAM）【定义访问者的身份和访问方式】
• 3、微隔离（MSG）【内部资源隔离，实现权限最小化】

实现：业务隐身，动态访问控制和最小化权限管理

三、零信任的核心机制和思想

1. 持续验证（Continuous Verification）

• 核心思想
  零信任不依赖“一次认证，永久信任”的模式，而是在用户访问资源的全过程中持续验证身份。即使用户已通过初始认证，系统也会根据实时风险评估动态调整访问权限。
• 实现方式
  • 会话过期与重新认证
    Microsoft Entra ID的ID令牌包含exp（过期时间）声明，会话在到达时间后必须重新认证
  • 行为分析
    通过监控用户行为（如登录地点、设备、操作频率）和环境因素（如网络IP、时间），动态判断是否需要重新验证

2. 多因素认证（MFA）与强身份验证

• 核心思想
  零信任要求多因素身份验证（MFA），结合“你知道的（密码）、你拥有的（硬件令牌）、你是什么（生物特征）”等多重验证方式，降低单一凭证泄露的风险。
• 实现方式：
  • 生物特征技术：如指纹、面部识别、虹膜扫描等
  • 硬件令牌与动态验证码：如YubiKey、短信验证码、Google Authenticator生成的临时密码
  • 设备绑定：将用户身份与可信设备绑定（如企业配发的电脑或手机），确保设备状态安全

3. 细粒度权限控制（最小权限原则）

• 核心思想
  零信任遵循最小权限原则（Principle of Least Privilege, PoLP），仅授予用户完成任务所需的最低权限，避免过度授权。
• 实现方式
  • 基于角色的访问控制（RBAC）：根据用户角色动态分配权限（如管理员、普通员工）。
  • 基于上下文的动态策略：结合用户行为、设备状态、时间、地理位置等实时调整权限（如非工作时间访问敏感资源需额外验证）。

4. 统一身份管理（IAM）与标准化身份源

• 核心思想
  零信任依赖统一身份认证系统（IAM）作为身份管理的基石，整合分散的身份源（如AD、LDAP、自建系统），提供标准化的身份验证接口。
• 实现方式
  • 身份目录服务：将企业现有身份源（AD、HR系统等）统一管理，为零信任提供标准化认证源
  • 单点登录（SSO）：通过SSO减少多次输入密码的风险，同时确保所有系统共享同一身份验证结果

5. 设备与环境的持续监控

• 核心思想
  零信任不仅验证用户身份，还验证设备的安全状态，确保访问请求来自可信环境。
• 实现方式
  • 设备健康检查：验证设备是否安装最新补丁、防病毒软件是否运行。
  • 网络环境评估：检测用户是否处于可信网络（如公司内网）或公共网络，并据此调整权限。

6. 动态信任评估与实时阻断

• 核心思想
  零信任通过实时风险评估，在发现异常行为时立即终止或限制访问。
• 实现方式
  • 行为分析引擎：如UEBA（用户和实体行为分析）检测异常登录模式（如异地登录、高频失败尝试）。
  • 实时策略引擎：根据风险评分动态调整权限（如降级访问级别或强制重新认证）。

四、零信任身份认证的核心优势

五、典型应用场景

• 远程办公访问：员工通过MFA登录后，系统持续监控设备状态和行为，非工作时间访问敏感数据需额外验证
• 第三方访问控制：供应商或合作伙伴通过零信任网关接入企业资源，权限仅限于所需特定系统（如宁盾方案[2]）。
• 内部特权账户管理：管理员访问核心系统时，需通过生物特征+硬件令牌双重认证，并限制访问时段和资源范围。

参考文献：

• 论文
• 微软官方文档
• 知乎专栏文章

by 久违