大咖谈安全 | 零信任架构2.0的进化：基于身份的自动行为识别

零信任架构2.0是在零信任架构1.0的四大基本原则和六大实践原则基础上的进化版本，能够更适应“云大物移”等这些不断开放的网络环境。相较于零信任架构1.0版，零信任架构2.0版的变革和创新之处主要体现在以下三点：

本篇主要讲述零信任架构2.0中基本支撑点之一：基于身份的自动行为模式识别。

身份是零信任架构的核心锚点，以人为中心的身份管理可以更好地让身份成为基本支撑点。但即使完全是真实世界中的人，依然可能存在类似双胞胎、易容等识别差错问题，存在着被挟持、被诱惑、情绪失控、疲倦等等各种安全威胁问题。在网络世界和现实世界中所存在的这些识别问题，反映在人的行为问题上，不仅存在，而且会更突出。

当我们认为身份是正确身份的时候，则需要进一步确认以下问题：

( 1 ) 身份是否是高度仿真的？

( 2 ) 身份是否是非盗用的？

( 3 ) 身份是否是非挟持的？

( 4 ) 行为是否符合真实意愿的？

生活中的每个自然人总是有规律地工作、娱乐和社交。因此，人的行为在网络世界中也一样遵循着某种规律在运作。通常情况下不变总是占据着主导，故我们可以认定多数情况下是安全的，而变化则是偶发性的，如此，只需要在变化时再执行二次验证即可，并非每次都需要二次验证才能通过用户身份的验证，这样可以最大程度上降低对用户体验的影响，提升效率。

举个例子，一个高度相似的双胞胎在静止不说话时，绝大部分情况下，即使是身边最亲近的人也无法准确对二人进行区分，但当其说话、有具体行为表现时，则很容易被准确辨认。

此类现象或许可以用前两年较为流行的UEBA这个词来近似表述。当然，这也可以认为是美创零信任架构1.0版中四大基本原则之一的知白守黑原则在身份确认中的一种实现。可以说寻找确定性，是零信任架构的基本思想。人的行为模式具有高度的确定性，因此，我们通过身份链、作用域和行为链三个要素来构造身份行为的确定性支架。

当身份作用最终访问资产上，在资产上的持续性访问就构成了行为链。行为链和基于资产的自动行为模式识别产生高度交叉。行为链主要由四部分构成：行为集合，基于概率的行为拓扑链，基于正常行为特征的特征库，基于异常行为特征的特征库。

原文来源：第59号