读零信任网络：在不可信网络中构建安全系统11用户组的认证和授权

1. 用户组的认证和授权

1.1. 几乎在每个系统中都有一小部分操作需要被密切关注

• 1.1.1. 每个应用对这部分操作的风险容忍度各有不同，且没有任何下限

• 1.1.2. 一部分风险是由用户个人的可信度决定的

• 1.1.2.1. 单个用户的可信度可能很低

• 1.1.2.2. 多个用户组合的可信度可能大有提高

• 1.1.3. 通过针对用户组的授权认证来减少风险

• 1.1.3.1. 有些敏感操作需要多人授权才能执行

1.2. Shamir秘密共享机制

• 1.2.1. 将秘密拆分后分发给一群人

• 1.2.2. 原始秘密以适当的方式被拆分成n部分，并将拆分后的每一部分分发给不同的参与者

• 1.2.3. 算法的配置决定了最终需要多少个参与者协作才能恢复原始秘密

• 1.2.4. 当使用Shamir秘密共享机制保护大容量数据时，一般将对称密钥拆分并进行分布式存储，而非直接针对数据运用Shamir算法

• 1.2.4.1. 待拆分的秘密容量必须小于秘密共享算法所使用的某些数据

2. 积极参与、积极报告

2.1. 在零信任网络中，用户同设备一样，都需要积极参与到系统的安全维护中

2.2. 按照惯例，企业都有一个专门的团队负责系统安全的维护

• 2.2.1. 对系统的所有更改都需要得到他们的同意以保证系统安全不受损害

• 2.2.2. 他们的首要目标就是维护企业安全，其他都为企业安全让路

2.3. 更好的一种方式是，创建一种全新的文化，安全团队与其他团队携手合作以共同维护系统安全

• 2.3.1. 用户意识到他们做了一些危险性操作或发现了一些异常现象，那么请鼓励他们进行报告，即使这些现象微不足道

• 2.3.2. 这种信息共享使得安全团队可以更好地防御对企业安全的威胁，比如报告钓鱼邮件，即使用户并未上当，也应该积极报告，这样可以让安全团队知道是否有潜在攻击者正在试图进行网络渗透

• 2.3.3. 设备丢失或被盗都应该马上报告

• 2.3.3.1. 安全团队也许会考虑给用户提供一种24小时报警机制以方便他们随时报告设备遗失情况

• 2.3.4. 响应用户的提示和报警时，安全团队应该注意，他们对事件的响应态度可能会给组织成员带来广泛的影响

• 2.3.4.1. 有些用户可能对丢失设备感到羞愧，从而不及时报告设备的丢失情况

• 2.3.5. 宁可有误报也不要放过任何可能存在的威胁

3. 信任信号

3.1. 用户的历史活动为判定其当前操作可信度提供了丰富的分析素材

3.2. 系统可以通过挖掘用户历史操作构建其行为基线，然后通过比较当前操作和其行为基线来计算用户的信任评分

3.3. 通过一些积极的防御方法进行处置，如CAPTCHA（一种自动的挑战问答机制，只有人类才能准确回答）或锁定异常账户

• 3.3.1. 为了减少异常误判率通常需要设定较高的异常阈值

• 3.3.2. 将异常访问模式判定纳入整体风险评估有助于发现可疑操作行为，但这并不适用于那些明显威胁系统的操作行为

3.4. 用户的应用程序使用模式也可以发现恶意攻击意图

3.5. 仅仅保留员工为了开展工作而明确需要的访问权，以此提高安全性

3.6. 根据用户的历史操作为其计算一个信任评分，然后基于此信任评分决定用户是否仍然具备足够的访问敏感资源的信任度

3.7. 信任度量不能取代强制验证手段，这对于系统至关重要—通过验证建立对用户的基础信任，并进一步通过活动日志进行分析，持续度量其信任度

3.8. 类似Spamhaus提供的黑名单，也可以作为评估用户信任度的有效依据

3.9. 地理位置同样是评估用户信任评分的一个很好的因素

• 3.9.1. 在用户信任度的评估中，地理位置的权重不应过高

4. 总结

4.1. 身份信息需要存放在某个位置，而身份库是非常有价值的攻击目标

4.2. 认证极有可能影响用户体验，因此认证的时机相当重要

4.3. 恰当的时机、频率是身份认证应该考虑的因素

4.4. 提高系统用户的信任度意味着多方用户共同完成一项目标

4.5. 在零信任网络中可以利用用户活动日志作为用户画像，分析用户行为基线以便与当前活动对比做出信任评估