正文

CSA发布|《面向IAM的零信任原则与指南》

admin
admin V管理员 /0 评论 /88 阅读
0313
此篇文章发布距今已超过244天,您需要注意文章的内容或图片是否可用!

零信任框架近年在国内发展趋于成熟,落地案例也越来越多,在抵御诸如网络钓鱼的常见、勒索病毒等攻击中起到了重要作用,其中身份和验证、决策和授权是零信任框架落地过程中至关重要的挑战。云安全联盟大中华区发布报告《面向IAM的零信任原则与指南》(以下简称指南), 旨在通过零信任的视角来审视现存和新的身份、访问管理和云解决方案,提出身份和验证、决策和授权的最佳实践。

文末附《白皮书》获取方式

依据美国国家安全电信咨询委员会(NSTAC)对零信任实施方法论明确了零信任实施过程,包括了五个步骤:

本指南围绕NSTAC零信任实施方法论从主体访问客体资源的过程,透过零信任的视角来审视身份和访问管理;从身份的认证和确认,到策略定义和决策方法。下面从用户访问资源的完整过程,从身份识别、身份验证、决策因子和决策策略分别阐述怎么通过面向身份来架构零信任。

01

身份识别

零信任策略对于访问决策,不再仅依赖静态凭证或角色,而是先评估身份属性和标识,然后基于动态属性评估每个请求的上下文,主体访问过程的上下文包括这些属性:

  • 用户及其所属的群组(谁 Who)

  • 位置(在哪 Where)

  • 设备(什么 What)

  • 时间(何时 When)

  • 应用程序类型(如何 How)

  • 用户和资源的行为和风险水平

在任何零信任架构中的挑战在于,正确管理组织中真正具有权威性的实体和属性的数据。同样重要的是,确保组织及其拥有管理权限的系统(如云系统)能够从其权威身份来源中获取具有已知可信度的受信任身份属性和标识。

02

身份验证

零信任的核心理念是要求‘先认证,后连接’,一个良好的验证过程和可靠性变的至关重要,验证过程包含了3个阶段,第一阶段收集核心身份属性和标识;第二阶段验证身份属性和标识;第三阶段经核实的身份属性和标识;

(来自NIST SP 800-63A)

在这个方案实施过程中,将基于环境中数据源、资产、应用程序和服务(DAAS)组件进行风险控制。这意味着要求每个DAAS组件应该提供相应的验证和确认流程。

#

功能

说明

阶段步骤

1

身份认证

验证身份凭证的真实性

●验证可以是手动的、自动的,或两者的结合

●定义可接受的身份证明类型(例如,驾驶执照、护照、X509数字证书、令牌等)

●定义验证身份真实性所需的流程、基础设施和工具

2

身份配置

将经过验证的身份信息提供给权威身份源(AD、IdP)

●除了用户名和密码(MFA、SSO、无密码等)之外,定义用于验证用户身份的身份属性。

●定义对这些选定属性的限制策略(密码长度、MFA技术、无密码等)

●定义一项尽职调查流程,以确保提供的身份不是内部或外部黑名单的一部分(例如,PKI吊销列表)。

3

凭证配置

将用户纳入通用访问解决方案中

●定义解决方案将如何与规则引擎集成,以便进行授权标识的交换

●安全地将AD/IdP与解决方案集成

● *更多信息详见“参考”部分

4

身份取消配置

_

●由管理员或代码触发

●由来自AD/IdP身份属性变更的事件触发

03

决策因子

主体被验证完成后,需要基于决策因子来完成访问控制的决策过程,那么需要收集整个访问过程每个阶段详细的信息,包括主体、网络、资源相关属性和标签,甚至结合第三方威胁情报和日志,把身份属性、访问上下文、决策因子全部动态和静态数据转化为策略代码,然后被规则引擎使用,对访问过程进行访问控制,下图清晰的展示了如何将决策因子定义便捷地转化为策略代码。

04

决策策略

通常基于组织管理的单一可信权威身份源,通过基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)来对访问过程进行控制;而在零信任中我们寻求基于风险的访问控制,在请求者和资源之间的交互流程中我们创建更加精细的策略,策略就是在零信任环境中定义明确的授权方式,利用决策因子进行访问控制和策略决策;对于决策失败的情况需要事先定义不满足授予访问条件时采用的解决方案,加强策略决策过程的逻辑闭环。

总结

本指南展示了基于身份来控制对数据或系统(资源授权)的访问可以获得的商业业务价值,包括提高安全性、提高合规性、减少摩擦、提高敏捷性、提高生产力和降低成本。零信任模型秉持“永不信任、持续验证”的理念,对访问的数据和业务系统进行安全风险评估验证,并且这种验证不仅仅针对访问者本身,也包括基于身份的设备标识、组织标识、代码标识和代理标识。

零信任架构解决方案势必会与IAM技术结合更加紧密,而IAM技术发展路径上也会借鉴零信任思想构建一个更加安全的访问控制方案,本指南结合零信任对身份和访问管理进行了细致说明,为企业实施零信任架构或策略时提供了访问控制过程中的最佳实践。

致谢

《面向IAM的零信任原则与指南》(中文版)报告支持单位:

上海派拉软件股份有限公司成立于2008年,是国内最早从事身份安全研发的原厂商,致力于为企业和机构提供以“数字身份”为核心的数字化能力底座与安全基石,覆盖身份安全、应用安全、数据安全,在上海、北京、广州、武汉、成都、长春、深圳、济南、厦门、合肥、杭州、西安等地设有研发中心和服务机构,拥有600+行业专家和资深团队,服务能力遍布全国。派拉软件已成功为全球范围内的金融、制造、医疗、教育、零售、政府、地产、科研院所等多行业2000余家企业和机构提供极致体验的“全域数字身份统一安全管控”专业服务,覆盖五百强客户300余家。

派拉软件是 CSA大中华区会员单位,支持该报告内容的翻译,但不影响 CSA 研究内容的开发权和编辑权。

报告主要贡献专家:

茆正华 徐安哲 王育恒 王磊

(以上排名不分先后)

本文作者:

茆正华,解决方案总监

关注公众号,回复关键词 “零信任”

即可获取报告完整版

课程推荐

云安全联盟大中华区于2020年发布推出了零信任认证专家 ( Certified Zero Trust Professional,简称“CZTP”) ,经过3年的发展,零信任课程再度刷新升级零信任认证专家2.0版本。

零信任认证专家2.0(Certified Zero Trust Professional 2.0,CZTP 2.0 )持续保持课程国际领先性、知识系统完整性,培养具有数字安全战略思维,架构思维及零信任安全实战能力的产业级专业人才,为数字安全的创新、零信任产业发展,提供人才支撑保障。

CZTP零信任认证专家部分章节试看片段

推荐阅读


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网