事實(shí)上，無論是零信任安全在數(shù)據(jù)中心的實(shí)踐，還是通用的零信任安全架構(gòu)實(shí)踐，全面身份化都是至關(guān)重要的，是“企業(yè)邊界正在瓦解，基于邊界的安全防護(hù)體系正在失效”這一大背景下，構(gòu)筑全新的零信任身份安全架構(gòu)的基石。

本文將對(duì)“全面身份化”的必要性和范疇進(jìn)行分析，并基于Evan的演講內(nèi)容，整理、分享全面身份化在零信任數(shù)據(jù)中心網(wǎng)絡(luò)的實(shí)踐。

零信任安全的本質(zhì)是以身份為中心進(jìn)行動(dòng)態(tài)訪問控制.
要理解零信任安全架構(gòu)下“全面身份化”的必要性，首先需要理解零信任安全是什么？其本質(zhì)是以身份為中心的動(dòng)態(tài)訪問控制。

傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)某種程度上假設(shè)、或默認(rèn)了內(nèi)網(wǎng)是安全的，認(rèn)為安全就是構(gòu)筑企業(yè)的數(shù)字護(hù)城河，通過防火墻、WAF、IPS等邊界安全產(chǎn)品/方案對(duì)企業(yè)網(wǎng)絡(luò)出口進(jìn)行重重防護(hù)而忽略企業(yè)內(nèi)網(wǎng)的安全。

在“企業(yè)邊界正在瓦解，基于邊界的安全防護(hù)體系正在失效”這一大背景下，零信任安全針對(duì)傳統(tǒng)邊界安全架構(gòu)思想進(jìn)行了重新評(píng)估和審視，并對(duì)安全架構(gòu)思路給出了新的建議，其核心思想是：默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。零信任對(duì)訪問控制進(jìn)行了范式上的顛覆，引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，其本質(zhì)訴求是以身份為中心進(jìn)行訪問控制。

從技術(shù)方案層面來看，零信任安全是借助現(xiàn)代身份管理平臺(tái)實(shí)現(xiàn)對(duì)人/設(shè)備/系統(tǒng)的全面、動(dòng)態(tài)、智能的訪問控制，其核心實(shí)踐包括：

以身份為中心

通過身份治理平臺(tái)實(shí)現(xiàn)設(shè)備、用戶、應(yīng)用等實(shí)體的全面身份化，采用設(shè)備認(rèn)證和用戶認(rèn)證兩大關(guān)鍵技術(shù)手段，從0開始構(gòu)筑基于身份的信任體系，建立企業(yè)全新的身份邊界。

業(yè)務(wù)安全訪問

所有的業(yè)務(wù)都隱藏在零信任可信接入網(wǎng)關(guān)之后，只有認(rèn)證通過的設(shè)備和用戶，并且具備足夠的權(quán)限才能訪問業(yè)務(wù)。

動(dòng)態(tài)訪問控制

訪問控制需要符合最小權(quán)限原則進(jìn)行細(xì)粒度授權(quán)，基于盡量多的屬性進(jìn)行信任和風(fēng)險(xiǎn)度量，實(shí)現(xiàn)動(dòng)態(tài)自適應(yīng)訪問控制。

不難看出，以身份為中心實(shí)現(xiàn)設(shè)備、用戶、應(yīng)用、系統(tǒng)的全面身份化是零信任安全的根基，缺少了這個(gè)根基，動(dòng)態(tài)訪問控制將成為無源之水無本之木。

“全面身份化”是零信任安全動(dòng)態(tài)訪問控制的基石

傳統(tǒng)語境下，身份更多的是“人”的專屬術(shù)語，是物理世界的人在數(shù)字世界的對(duì)等物，甚至多數(shù)情況下大家將身份等同于應(yīng)用系統(tǒng)的賬號(hào)。這不難理解，畢竟在傳統(tǒng)的信息系統(tǒng)和網(wǎng)絡(luò)世界中，人、機(jī)是主要的參與實(shí)體，機(jī)器大多可以通過機(jī)器名、網(wǎng)絡(luò)地址等進(jìn)行標(biāo)識(shí)，而為了實(shí)現(xiàn)記賬和訪問控制等功能，人也需要一個(gè)標(biāo)識(shí)，那就自然而然的為每一個(gè)人在系統(tǒng)中創(chuàng)建一個(gè)賬號(hào)，并將這個(gè)賬號(hào)等同于數(shù)字身份。

隨著如今IT技術(shù)的飛速發(fā)展，這個(gè)狹義的身份范疇已經(jīng)跟不上時(shí)代了，至少包括如下兩個(gè)方面：

1. 身份的實(shí)體范疇不僅僅是人

在萬物互聯(lián)的時(shí)代，物已經(jīng)成為了重要的參與實(shí)體，其基數(shù)已經(jīng)遠(yuǎn)遠(yuǎn)超出了人。因此，僅僅為人創(chuàng)建身份是遠(yuǎn)遠(yuǎn)不夠的，正如Gartner所建議的，需要建立全面的“實(shí)體”身份空間，這些“實(shí)體”包括：人、服務(wù)、設(shè)備等等。通過全面的身份化，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)參與的各個(gè)實(shí)體在統(tǒng)一的框架下進(jìn)行全生命周期管理。

2. 身份不等同于賬號(hào)

雖然在一個(gè)單一的業(yè)務(wù)系統(tǒng)內(nèi)，身份和賬號(hào)存在某種一對(duì)一的關(guān)系，但是，身份并不等同于賬號(hào)。一個(gè)身份在不同的業(yè)務(wù)系統(tǒng)內(nèi)存在不同的賬號(hào)，身份是唯一的，賬號(hào)不是唯一的。隨著云計(jì)算、移動(dòng)計(jì)算的發(fā)展，應(yīng)用越來越碎片化，一個(gè)實(shí)體的人/數(shù)字化的身份對(duì)應(yīng)的賬號(hào)越來越多，理解身份和賬號(hào)的差異至關(guān)重要。

簡單下個(gè)定義：身份是物理世界的人/物/系統(tǒng)等實(shí)體在數(shù)字世界的唯一標(biāo)識(shí)，是物理世界的實(shí)體在數(shù)字世界的對(duì)等物。

事實(shí)上，在現(xiàn)代身份治理框架下，核心邏輯之一就是關(guān)注身份、賬號(hào)、權(quán)限三個(gè)平面及其映射關(guān)系：為物理世界的人/物創(chuàng)建數(shù)字身份并關(guān)聯(lián)對(duì)應(yīng)的身份生命周期管理流程、梳理關(guān)聯(lián)各業(yè)務(wù)系統(tǒng)賬號(hào)和身份的屬主關(guān)系、控制各個(gè)賬號(hào)的權(quán)限分派實(shí)現(xiàn)基礎(chǔ)授權(quán)。如下圖所示：

另外，為了實(shí)現(xiàn)閉環(huán)的全面身份化治理，需要部署智能身份分析系統(tǒng)，對(duì)當(dāng)前系統(tǒng)的權(quán)限、策略、角色進(jìn)行智能分析，發(fā)現(xiàn)潛在的策略違規(guī)并觸發(fā)工作流引擎進(jìn)行自動(dòng)、或人工干預(yù)的策略調(diào)整，實(shí)現(xiàn)治理閉環(huán)。

如上，在零信任安全語境下，身份是為訪問控制服務(wù)的。因此，需要對(duì)參與訪問控制的各主體、客體進(jìn)行全面的身份化，包括：用戶、設(shè)備、應(yīng)用和接口等都需要具備唯一的數(shù)字身份。

Evan Gilman最新的研究方向就是工作負(fù)載的身份化，其目的就是為了基于零信任理念，解決工作負(fù)載之間的訪問控制問題，建立零信任數(shù)據(jù)中心網(wǎng)絡(luò)，是全面身份化在數(shù)據(jù)中心網(wǎng)絡(luò)場景的創(chuàng)新實(shí)踐。