在零信任網(wǎng)絡(luò)中做出訪問決策時，用戶、服務(wù)和設(shè)備身份是一個非常重要的因素。

　　介紹

　　身份可以代表用戶（人）、服務(wù)（軟件過程）或設(shè)備。在零信任架構(gòu)中，每個都應(yīng)該是唯一可識別的。這是決定是否應(yīng)授予某人或某物訪問數(shù)據(jù)或服務(wù)的權(quán)限的最重要因素之一。

　　這些唯一身份是輸入策略引擎的眾多信號之一，策略引擎使用此信息做出訪問決策。例如，在允許訪問服務(wù)或數(shù)據(jù)之前，策略引擎可以評估用戶和設(shè)備身份信號以確定兩者是否真實。

　　用戶、服務(wù)和設(shè)備分配單一身份來源的重要第一步。

　　用戶身份

　　組織應(yīng)使用明確的用戶目錄，創(chuàng)建與個人相關(guān)聯(lián)的帳戶。這可以以虛擬目錄或目錄同步的形式出現(xiàn)，以呈現(xiàn)單個用戶目錄的外觀。

　　每個身份都應(yīng)該分配給一個角色，并且應(yīng)該將其配置為“最低權(quán)限”，因此用戶只能訪問他們執(zhí)行角色所需的內(nèi)容。事實上，這些特權(quán)通常源自用戶在組織內(nèi)的工作職能。

　　無論從何處訪問，用戶有一個單一的身份和登錄來源。這將允許更好的用戶體驗，但也允許所有服務(wù)具有單一的強身份。

　　用戶身份服務(wù)應(yīng)該能夠：

　　創(chuàng)建群組

　　定義已配置為“最低權(quán)限”的角色

　　支持強大的現(xiàn)代身份驗證方法，例如多因素或無密碼身份驗證。

　　安全地為用戶提供憑據(jù)

　　啟用對服務(wù)的聯(lián)合身份驗證（例如 SAML 2.0、OAuth 2.0 或 OpenID Connect）

　　在適用的情況下管理外部服務(wù)中的用戶身份（例如 SCIM 2.0）

　　支持您的加入者、移動者和離開者流程

　　支持第三方聯(lián)合 ID（接受來自其他受信任的第三方用戶目錄的身份）

　　遷移

　　如果有一個現(xiàn)有目錄，遷移到另一個目錄需要仔細規(guī)劃。某些目錄服務(wù)允許在目錄之間導(dǎo)入、同步或聯(lián)合，這將實現(xiàn)分階段遷移，或者有效地提供共享目錄。

　　外部訪問

　　應(yīng)該考慮如何向組織外部的人員提供訪問權(quán)限。服務(wù)可以與外部身份提供者聯(lián)合，以允許訪問適當?shù)姆?wù)和數(shù)據(jù)。例如，訪客可以查看午餐菜單，或者承包商只能訪問與其工作相關(guān)的文檔。

　　身份和身份驗證是一個需要仔細考慮的廣泛主題。

　　服務(wù)令牌

　　服務(wù)不應(yīng)該能夠代表用戶采取無限的行動。如果這樣的服務(wù)受到威脅，它將提供對系統(tǒng)中任何服務(wù)或任何數(shù)據(jù)的高特權(quán)訪問。

　　為服務(wù)提供適當訪問權(quán)限的更好方法是將每個操作與與用戶身份相關(guān)聯(lián)的范圍和限時訪問令牌相關(guān)聯(lián)。這樣，如果同一服務(wù)受到損害，對您的服務(wù)造成的損害將僅限于原始操作的權(quán)限。

　　如果檢測到異常行為，用戶和設(shè)備評估服務(wù)或數(shù)據(jù)的信心水平將會下降。應(yīng)立即觸發(fā)補救措施，因為由于用戶或設(shè)備健康狀況的變化，令牌的可信度低于發(fā)布時的可信度。一些補救措施的示例是終止連接或觸發(fā) MFA 提示。

　　服務(wù)標識

　　一項服務(wù)或者更準確地說，提供一項服務(wù)的軟件——應(yīng)該有自己獨特的身份，并被授予正常運行所需的最低權(quán)限。這包括根據(jù)服務(wù)的身份維護連接的允許列表，將服務(wù)之間的網(wǎng)絡(luò)通信限制為所需的最小數(shù)量。

　　示例身份驗證方法可能涉及每個服務(wù)的唯一證書。然后可以使用證書身份驗證在構(gòu)成服務(wù)的軟件進程之間形成相互的TLS（傳輸層安全）連接。

　　用戶對應(yīng)用程序或容器平臺的訪問應(yīng)聯(lián)合到單個用戶目錄中，并使用策略引擎根據(jù)多個信號授權(quán)訪問。如果滿足策略，策略引擎可以做出訪問決策并釋放令牌。

　　設(shè)備標識

　　組織擁有的每臺設(shè)備都應(yīng)在單個設(shè)備目錄中唯一標識。這可以實現(xiàn)高效的資產(chǎn)管理，并提供訪問服務(wù)和數(shù)據(jù)的設(shè)備的清晰可見性。

　　定義的零信任策略將使用設(shè)備的合規(guī)性和健康聲明來決定它可以訪問哪些數(shù)據(jù)以及它可以執(zhí)行的操作。需要一個強大的身份來確保這些聲明可以得到驗證。

　　設(shè)備身份的強度取決于設(shè)備類型、硬件和平臺：

　　設(shè)備身份應(yīng)在安全硬件協(xié)處理器（例如 TPM）上與設(shè)備緊密綁定，這將使您對設(shè)備身份充滿信心。應(yīng)盡可能使用密鑰證明來證明身份在安全硬件協(xié)處理器中受到保護。

　　與基于 TPM 的方法相比，使用基于軟件的密鑰存儲存儲在管理良好的設(shè)備上的身份對設(shè)備身份的信心較低。

　　相對于上述內(nèi)容，基于軟件的密鑰庫中的非托管設(shè)備上的身份對設(shè)備身份的可信度最低。

　　識別來自另一個組織的設(shè)備需要在兩個組織之間建立信任關(guān)系。這應(yīng)該發(fā)生在治理和技術(shù)層面。

　　自帶設(shè)備場景

　　當允許來自不擁有和管理的設(shè)備的請求時，識別可能具有挑戰(zhàn)性。BYOD 模型中的設(shè)備仍應(yīng)具有與其相關(guān)聯(lián)的身份以進行監(jiān)控，但對該設(shè)備身份的置信度可能會降低。