作者丨Zac Amos

譯者 | 陳峻

審校 | 重樓

出品 | 51CTO技術棧（微信號：blog51cto）

據不完全統計，2022年全球已發生了1862起數據泄露事件，而2021年也有1108起，逾4.22億人因此受到了影響。企業在面對不斷出現的內、外部威脅和違規風險的時候，往往需要上馬零信任架構。截至2022年，全球約有80%的公司已經使用或計劃采用零信任安全架構。當然，其核心目標是為了保護企業資產，而并非加強其外圍安全。

而在零信任架構中，最根本、最重要的部分便是強大的身份認證功能。它可以被用來建立各項安全策略，以及監控權限是否被合理使用。不過，零信任身份認證并不是一個現成的解決方案，而只是一套戰略和政策系統。如果你想讓其真正保護重要的系統和資產的話，則需要遵從一些相關的優秀實踐。

一、為什么身份認證對零信任至關重要?

從概念上說，零信任建議企業在默認情況下，不去相信任何個人或設備，即便它們曾經享有訪問權限或已在網絡中運行。要想正確地部署和實踐這一安全理念，企業必須構建強大的身份認證機制。

通過用戶身份認證，系統可以判斷對方是否冒充他人身份，來提升自己的權限，以決定是否允許其使用公司的資產或相應的服務資源。也就是說，強大的身份認證實踐能夠通過最大限度地減少非法訪問和加速威脅的識別，來保護公司免受內部威脅和數據泄露的損害。除了限制攻擊的橫向移動（Lateral Movement），它還有助于信息技術部門對攻擊者予以追蹤。強認證機制切實能夠給企業的系統與服務提供全方位的防護。可以說，沒有身份認證，零信任就沒法在企業真正落地，并實現其保護數字資產的功能。

二、用戶身份認證的優秀實踐

盡管目前業界并沒有針對零信任身份認證的應用行業標準，但是如下七項優秀實踐已被各大企業廣泛接受和采用。

1.持續重新認證用戶

與其他一次性的安全防護措施不同，此處的身份認證需要形成一種持續的重復性機制。畢竟，零信任的核心就是根據具體的情況與使用場景，細粒度地授予訪問權限。也就是說，僅靠一輪身份認證，不足以、也不適合授予用戶訪問所有資源的權限。相反，根據“按需與必要”原則，在用戶訪問某個資源之前，謹慎地驗明正身是非常有必要的。例如：用戶在每次登錄時，都應獲得一次性密碼，而不是靠記住其個人固定密碼。畢竟，就算用戶曾經成功通過認證，但是后續淪為惡意軟件、社交工程、以及設備劫持的受害者，那么他們預先獲得的訪問權限，就會給企業的敏感數據和系統構成潛在的威脅?？梢?，為了確保組織的持續安全，重新認證是至關重要的。

2.利用反自動化（Anti-Automation）實踐

隨著人工智能的興起，自動化攻擊也隨之增多。企業可以考慮通過速率限制機制，來防止攻擊者使用暴力破解、以及信任憑證填充之類的攻擊。畢竟，那些過于頻繁的身份認證嘗試，很容易被人工審查發現進而阻止。

除了人工，我們還可以采取其他反自動化的手段。例如，多因素身份認證可以防止上文提到的橫向移動攻擊，即：攻擊者通過成功攻破某個節點，進而跳轉到與之相鄰的其他節點上。

3.踐行最小特權原則

原則上說，即使用戶成功通過了身份認證，他們也應該只能獲得最小的權限。此類設置可以確保用戶無法在惡意或無意的情況下，更改或共享敏感數據，進而減少了人為錯誤、以及內部威脅的暴露面。

通過梳理，我們可能會發現：某些數據集或系統對于某類用戶開展和完成當前的任務并非必要，那么他們就沒有理由持續持有相應的查看、以及操作權限。總體而言，將他們的訪問范圍限制在最基本的范圍內，既可以防止其“黑化”后從事危險行為，又能夠在攻擊者攻破網絡現有防御時，最大限度地減少其橫向移動的成功幾率。

4.禁止旁路

當有人利用開發環境或部署漏洞，找到身份認證的規避方法時，就會出現所謂的身份認證旁路漏洞。盡管許多安全工具號稱是萬無一失的，但漏洞還是會發生。如你所知，員工一直是任何完備的安全措施的最大薄弱環節。他們為了圖方便，會采取各種變通的方法，不自覺地將敏感數據和系統置于危險境地。對此，企業應著力維護一套無法繞過的身份認證機制，以補齊可能出現的短板。

5.執行設備身份認證

在制定各項優秀的實踐時，許多企業往往會忽略針對設備的身份認證。盡管許多公司都使用了統一鏡像的計算機，但是隨著它們所處環境和使用者的變更，其安全態勢會逐漸大不如前。同時，有些主機由于疏于更新、疲于補丁，而可能受到外部的干擾、以及內部的威脅。此外，遠程辦公的人員也可能需要用自己的個人電腦或手機連接到企業的系統中，收發郵件或是讀寫數據。因此，我們需要對各種從物理上和邏輯上接入系統的設備，持續進行身份認證。

6.利用多種工具

為了市場營銷目的，一些安全公司會一味地夸贊其針對零信任架構的工具，具有“全棧”能力。例如，微軟曾在其2018年的報告中聲稱，其多因素身份認證可防止99%的網絡攻擊。甚至連美國網絡安全和基礎設施安全局等權威機構也斷言，多因素身份認證可以將黑客攻擊的成功率降低99%。這些過于夸夸其談的結論，會促使企業過于信任某個廠商的單一解決方案。 

常言道，術業有專攻。不同服務提供商的產品往往擁有各自的擅長之處。我們常說身份認證有“三寶”：對方知道什么、對方擁有什么、以及對方是誰。我們完全可以將不同認證密碼、一次性口令、以及生物識別技術的工具集成到一起使用，最大程度地保護系統安全。

7.允許無密碼身份認證

在上面提到的“三寶”中，強密碼機制往往是任何安全策略的基石，但它們終究并不完全可靠。因此，企業可以與時俱進地采用一次性密碼和隨機生成的代碼等無密碼的身份認證與登錄方法，以降低系統以及員工對于固定密碼的依賴。

三、小結

綜上所述，鑒于未經授權的訪問是造成數據泄露和網絡攻擊的主要原因之一，企業紛紛采取了各種以零信任為基礎的安全防護策略。不過，僅部署零信任架構，而不采取強有力的身份認證措施，就像餡餅沒有了餡一樣，毫無意義。因此，我們需要通過參考上述七項優秀實踐，來切實為企業降低風險，提高保護水平與能力。

參考鏈接：https://hackernoon.com/support-zero-trust-with-strong-authentication-practices