到目前为止，零信任已成为一种著名的网络安全方法，可以防御基于身份的入侵。正如身份定义安全联盟（IDSA）的“零信任之路始于身份”白皮书中所举例说明的那样，零信任就是承认威胁参与者将进入组织环境，因此，防御必须以这种想法为基础心里。

许多企业在遇到违规或审核失败后，便开始建立零信任的道路。零信任以身份管理和访问控制为重点，自然而然地满足了合规性法规和网络安全的许多要求。尽管如此，许多组织仍缺乏与身份相关的关键密钥的安全控制。实际上，IDSA最近的一项研究表明，基于凭证的数据泄露既普遍（94％的受访者经历了与身份相关的攻击），又是高度可预防的（99％）。

严肃的事实是，黑客不再入侵，而是使用弱的、默认的、被盗或其他方式受到破坏的凭据登录。

当今的经济气候加剧了这些网络风险，并且COVID-19流行病的影响导致数字化转型和技术变革的加速，将进一步对组织的身份和访问管理（IAM）做法进行压力测试。这在最小化传统数据中心，云和DevOps环境中与访问相关的风险方面提出了新的挑战。

对于安全性采用以身份为中心的方法的公司通常将重点放在人类用户（客户、员工、IT管理员、顾问或业务合作伙伴）上。但是，这与现实不符。如今，身份不仅包括人员，还包括工作负载、微服务和应用程序。

实际上，在许多组织中，非个人身份（也称为机器身份）代表了大多数“用户”。机器身份通常与特权帐户相关联，并且通常比现代IT基础结构中的传统人类特权帐户具有更大的占用空间。在任务自动化起主导作用的DevOps和云环境中，尤其如此。

最终，这些新型的机器和现代的云原生应用程序架构正在推动组织重新考虑其IAM策略，否则它们将暴露于其网络对手可以轻易利用的盲点。在Gartner的最新报告“管理机器身份、秘密、密钥和证书”中，作者证实“通常会有充分的理由感到不受控制的不安和缺乏责任心。” Gartner提到存在可发布、管理和控制密钥，机密和证书的影子IAM部署。在组织的不同设备和工作负载中出现幻影安全外壳（SSH）密钥；以及缺乏有关使用计算机身份的良好指导，这是一些公司如何努力处理计算机身份的示例。

除了低估数据泄露情况下非个人身份的相关性外，许多组织还迅速意识到，传统的静态密码概念（通常需要手动和耗时的配置）不适用于快速移动的多云和混合环境，其中访问需求通常是临时的，并且变化是恒定的。那么，这对于密码的未来意味着什么，以及组织如何采取措施控制对其敏感资源的访问？

零信任：从基础开始

Gartner建议重新考虑并制定企业范围内的身份，机密和密钥管理策略，其中应包括以下基本步骤：

• 定义机器标识的通用命名法。
  

  
  

• 区分机器身份如何存储在中央和本地身份存储库（例如Active Directory或数据库）和机器使用的凭据之间。

  
  

• 了解组织必须满足的不同业务部门的需求和法规要求。

  
  

• 评估可以帮助管理机器凭据的不同技术，例如：

• 硬件安全模块（HSM）
  

• 密钥管理系统（KMS）
  

• 秘密管理系统
  

• 特权访问管理（PAM）
  

• IaaS / PaaS提供商提供的内置功能和工具
  




• 建立计算机的所有权和凭证。

  
  

• 向整个组织的利益相关者提供最佳实践和指导（例如，DevOps）。

推进身份验证模型

一旦组织实施了这些基本步骤，他们就必须放弃对静态密码模型的依赖，而转而采用动态密码方法。这些基于证书的临时访问凭据解决了困扰静态密码的主要安全问题，而又不影响高度数字化的IT环境中的可用性和敏捷性。

实施基于临时证书的授权时，无需永久访问凭据即可访问目标系统，并基于零信任原则建立“零站立特权”立场，以确保必须对所有对服务的访问进行身份验证、授权和加密。对于每个会话（适用于人还是机器），临时证书都是由证书颁发机构（CA）颁发的，CA是受信任的第三方，并基于行业标准（例如临时X.509证书）。它出于安全目的对用户身份进行编码，并且生存期短，避免了中间人攻击的风险。

最终，CA根据基于规则创建的用户角色（包括分配给工作负载、服务和计算机的角色）控制对目标系统的访问。特定角色的规则是根据安全策略和访问要求生成的。然后，CA从传统企业目录（例如，Microsoft Active Directory）中获取每个角色的规则，并使用它们来确定适当的身份验证。这种方法减轻了为每个单独的用户/计算机设置访问权限的可能性，并简化了对用户/计算机组的更新。

结论

身份与安全性的集成仍在进行中，根据IDSA的研究，只有不到一半的企业完全实施了与身份相关的关键密钥访问控制。开始这条道路的关键是要认识到，基于零信任原则的以身份为中心的安全方法不仅适用于人类，而且还适用于机器。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 数据安全的未来是什么

• 机器学习如何加速并提高敏感数据分类的准确性

• Thales和谷歌云合作将生成式人工智能功能引入 CipherTrust数据安全平台

• 现代身份和访问安全：让好人进来，让坏人出去

• 零信任安全的演变