利用强认证来支持零信任的实施

作者丨Zac Amos

译者 | 陈峻

出品 | 51CTO技术栈（微信号：blog51cto）

据不完全统计，2022年全球已发生了1862起数据泄露事件，而2021年也有1108起，逾4.22亿人因此受到了影响。企业在面对不断出现的内、外部威胁和违规风险的时候，往往需要上马零信任架构。截至2022年，全球约有80%的公司已经使用或计划采用零信任安全架构。当然，其核心目标是为了保护企业资产，而并非加强其外围安全。

而在零信任架构中，最根本、最重要的部分便是强大的身份认证功能。它可以被用来建立各项安全策略，以及监控权限是否被合理使用。不过，零信任身份认证并不是一个现成的解决方案，而只是一套战略和政策系统。如果你想让其真正保护重要的系统和资产的话，则需要遵从一些相关的优秀实践。

一、为什么身份认证对零信任至关重要?

从概念上说，零信任建议企业在默认情况下，不去相信任何个人或设备，即便它们曾经享有访问权限或已在网络中运行。要想正确地部署和实践这一安全理念，企业必须构建强大的身份认证机制。

通过用户身份认证，系统可以判断对方是否冒充他人身份，来提升自己的权限，以决定是否允许其使用公司的资产或相应的服务资源。也就是说，强大的身份认证实践能够通过最大限度地减少非法访问和加速威胁的识别，来保护公司免受内部威胁和数据泄露的损害。除了限制攻击的横向移动（Lateral Movement），它还有助于信息技术部门对攻击者予以追踪。强认证机制切实能够给企业的系统与服务提供全方位的防护。可以说，没有身份认证，零信任就没法在企业真正落地，并实现其保护数字资产的功能。

二、用户身份认证的优秀实践

尽管目前业界并没有针对零信任身份认证的应用行业标准，但是如下七项优秀实践已被各大企业广泛接受和采用。

1.持续重新认证用户

与其他一次性的安全防护措施不同，此处的身份认证需要形成一种持续的重复性机制。毕竟，零信任的核心就是根据具体的情况与使用场景，细粒度地授予访问权限。也就是说，仅靠一轮身份认证，不足以、也不适合授予用户访问所有资源的权限。相反，根据“按需与必要”原则，在用户访问某个资源之前，谨慎地验明正身是非常有必要的。例如：用户在每次登录时，都应获得一次性密码，而不是靠记住其个人固定密码。毕竟，就算用户曾经成功通过认证，但是后续沦为恶意软件、社交工程、以及设备劫持的受害者，那么他们预先获得的访问权限，就会给企业的敏感数据和系统构成潜在的威胁。可见，为了确保组织的持续安全，重新认证是至关重要的。

2.利用反自动化（Anti-Automation）实践

随着人工智能的兴起，自动化攻击也随之增多。企业可以考虑通过速率限制机制，来防止攻击者使用暴力破解、以及信任凭证填充之类的攻击。毕竟，那些过于频繁的身份认证尝试，很容易被人工审查发现进而阻止。

除了人工，我们还可以采取其他反自动化的手段。例如，多因素身份认证可以防止上文提到的横向移动攻击，即：攻击者通过成功攻破某个节点，进而跳转到与之相邻的其他节点上。

3.践行最小特权原则

原则上说，即使用户成功通过了身份认证，他们也应该只能获得最小的权限。此类设置可以确保用户无法在恶意或无意的情况下，更改或共享敏感数据，进而减少了人为错误、以及内部威胁的暴露面。

通过梳理，我们可能会发现：某些数据集或系统对于某类用户开展和完成当前的任务并非必要，那么他们就没有理由持续持有相应的查看、以及操作权限。总体而言，将他们的访问范围限制在最基本的范围内，既可以防止其“黑化”后从事危险行为，又能够在攻击者攻破网络现有防御时，最大限度地减少其横向移动的成功几率。

4.禁止旁路

当有人利用开发环境或部署漏洞，找到身份认证的规避方法时，就会出现所谓的身份认证旁路漏洞。尽管许多安全工具号称是万无一失的，但漏洞还是会发生。如你所知，员工一直是任何完备的安全措施的最大薄弱环节。他们为了图方便，会采取各种变通的方法，不自觉地将敏感数据和系统置于危险境地。对此，企业应着力维护一套无法绕过的身份认证机制，以补齐可能出现的短板。

5.执行设备身份认证

在制定各项优秀的实践时，许多企业往往会忽略针对设备的身份认证。尽管许多公司都使用了统一镜像的计算机，但是随着它们所处环境和使用者的变更，其安全态势会逐渐大不如前。同时，有些主机由于疏于更新、疲于补丁，而可能受到外部的干扰、以及内部的威胁。此外，远程办公的人员也可能需要用自己的个人电脑或手机连接到企业的系统中，收发邮件或是读写数据。因此，我们需要对各种从物理上和逻辑上接入系统的设备，持续进行身份认证。

6.利用多种工具

为了市场营销目的，一些安全公司会一味地夸赞其针对零信任架构的工具，具有“全栈”能力。例如，微软曾在其2018年的报告中声称，其多因素身份认证可防止99%的网络攻击。甚至连美国网络安全和基础设施安全局等权威机构也断言，多因素身份认证可以将黑客攻击的成功率降低99%。这些过于夸夸其谈的结论，会促使企业过于信任某个厂商的单一解决方案。

常言道，术业有专攻。不同服务提供商的产品往往拥有各自的擅长之处。我们常说身份认证有“三宝”：对方知道什么、对方拥有什么、以及对方是谁。我们完全可以将不同认证密码、一次性口令、以及生物识别技术的工具集成到一起使用，最大程度地保护系统安全。

7.允许无密码身份认证

在上面提到的“三宝”中，强密码机制往往是任何安全策略的基石，但它们终究并不完全可靠。因此，企业可以与时俱进地采用一次性密码和随机生成的代码等无密码的身份认证与登录方法，以降低系统以及员工对于固定密码的依赖。

三、小结

综上所述，鉴于未经授权的访问是造成数据泄露和网络攻击的主要原因之一，企业纷纷采取了各种以零信任为基础的安全防护策略。不过，仅部署零信任架构，而不采取强有力的身份认证措施，就像馅饼没有了馅一样，毫无意义。因此，我们需要通过参考上述七项优秀实践，来切实为企业降低风险，提高保护水平与能力。