在零信任網絡中做出訪問決策時，用戶、服務和設備身份是一個非常重要的因素。

　　介紹

　　身份可以代表用戶（人）、服務（軟件過程）或設備。在零信任架構中，每個都應該是唯一可識別的。這是決定是否應授予某人或某物訪問數據或服務的權限的最重要因素之一。

　　這些唯一身份是輸入策略引擎的眾多信號之一，策略引擎使用此信息做出訪問決策。例如，在允許訪問服務或數據之前，策略引擎可以評估用戶和設備身份信號以確定兩者是否真實。

　　用戶、服務和設備分配單一身份來源的重要第一步。

　　用戶身份

　　組織應使用明確的用戶目錄，創建與個人相關聯的帳戶。這可以以虛擬目錄或目錄同步的形式出現，以呈現單個用戶目錄的外觀。

　　每個身份都應該分配給一個角色，并且應該將其配置為“最低權限”，因此用戶只能訪問他們執行角色所需的內容。事實上，這些特權通常源自用戶在組織內的工作職能。

　　無論從何處訪問，用戶有一個單一的身份和登錄來源。這將允許更好的用戶體驗，但也允許所有服務具有單一的強身份。

　　用戶身份服務應該能夠：

　　創建群組

　　定義已配置為“最低權限”的角色

　　支持強大的現代身份驗證方法，例如多因素或無密碼身份驗證。

　　安全地為用戶提供憑據

　　啟用對服務的聯合身份驗證（例如 SAML 2.0、OAuth 2.0 或 OpenID Connect）

　　在適用的情況下管理外部服務中的用戶身份（例如 SCIM 2.0）

　　支持您的加入者、移動者和離開者流程

　　支持第三方聯合 ID（接受來自其他受信任的第三方用戶目錄的身份）

　　遷移

　　如果有一個現有目錄，遷移到另一個目錄需要仔細規劃。某些目錄服務允許在目錄之間導入、同步或聯合，這將實現分階段遷移，或者有效地提供共享目錄。

　　外部訪問

　　應該考慮如何向組織外部的人員提供訪問權限。服務可以與外部身份提供者聯合，以允許訪問適當的服務和數據。例如，訪客可以查看午餐菜單，或者承包商只能訪問與其工作相關的文檔。

　　身份和身份驗證是一個需要仔細考慮的廣泛主題。

　　服務令牌

　　服務不應該能夠代表用戶采取無限的行動。如果這樣的服務受到威脅，它將提供對系統中任何服務或任何數據的高特權訪問。

　　為服務提供適當訪問權限的更好方法是將每個操作與與用戶身份相關聯的范圍和限時訪問令牌相關聯。這樣，如果同一服務受到損害，對您的服務造成的損害將僅限于原始操作的權限。

　　如果檢測到異常行為，用戶和設備評估服務或數據的信心水平將會下降。應立即觸發補救措施，因為由于用戶或設備健康狀況的變化，令牌的可信度低于發布時的可信度。一些補救措施的示例是終止連接或觸發 MFA 提示。

　　服務標識

　　一項服務或者更準確地說，提供一項服務的軟件——應該有自己獨特的身份，并被授予正常運行所需的最低權限。這包括根據服務的身份維護連接的允許列表，將服務之間的網絡通信限制為所需的最小數量。

　　示例身份驗證方法可能涉及每個服務的唯一證書。然后可以使用證書身份驗證在構成服務的軟件進程之間形成相互的TLS（傳輸層安全）連接。

　　用戶對應用程序或容器平臺的訪問應聯合到單個用戶目錄中，并使用策略引擎根據多個信號授權訪問。如果滿足策略，策略引擎可以做出訪問決策并釋放令牌。

　　設備標識

　　組織擁有的每臺設備都應在單個設備目錄中唯一標識。這可以實現高效的資產管理，并提供訪問服務和數據的設備的清晰可見性。

　　定義的零信任策略將使用設備的合規性和健康聲明來決定它可以訪問哪些數據以及它可以執行的操作。需要一個強大的身份來確保這些聲明可以得到驗證。

　　設備身份的強度取決于設備類型、硬件和平臺：

　　設備身份應在安全硬件協處理器（例如 TPM）上與設備緊密綁定，這將使您對設備身份充滿信心。應盡可能使用密鑰證明來證明身份在安全硬件協處理器中受到保護。

　　與基于 TPM 的方法相比，使用基于軟件的密鑰存儲存儲在管理良好的設備上的身份對設備身份的信心較低。

　　相對于上述內容，基于軟件的密鑰庫中的非托管設備上的身份對設備身份的可信度最低。

　　識別來自另一個組織的設備需要在兩個組織之間建立信任關系。這應該發生在治理和技術層面。

　　自帶設備場景

　　當允許來自不擁有和管理的設備的請求時，識別可能具有挑戰性。BYOD 模型中的設備仍應具有與其相關聯的身份以進行監控，但對該設備身份的置信度可能會降低。