从数字化业务发展看零信任身份安全治理

传统的IAM将身份认证作为一个独立服务，主要提供账号、认证、授权、审计功能，典型的是IAM。用户只要认证通过，登录进来了，用户控制权就交给业务系统，IAM就不再管了。

在零信任的应用中，Gartner对IAM功能进行了重新定义，要求从管理、保证、授权、分析维度对身份的整个生命周期进行管理，包括用户身份的注册、创建、转移及在各个应用系统中的权限控制。零信任也是利用IAM身份验证和权限控制的能力，对所有业务系统及身份、权限、数据的全生命周期进行治理。首先，SDP要采用身份定义边界。不管是客户端还是设备要进入零信任的网络，首先要有身份验证，通过身份验证你才能进来。其次，增强IAM，它不仅要有传统4A的能力，还要有持续认证的能力，包括能够对用户访问的所有会话进行用户行为分析。当用户访问后端资源时，不只是要做身份鉴别，还要对其行为进行鉴别，对更细粒度的权限进行鉴别。最后，关于MSG，我们看到Gartner将MSG改为身份定义微隔离（Identity-Based segmentation），注重用身份来鉴别服务与服务之间的访问以做到更加细粒度的访问控制能力。

核心能力是实时访问控制和细粒度的权限策略定义。但这部分其实在倡导零信任之前IAM就已经做过细粒度权限定义的模型，并有独立的权限控制组件（策略实施点PEP）和执行组件（策略决策点PDP），这与目前零信任架构的核心组件具有异曲同工的能力，主要包括：

（一）高性能、高稳定、高扩展性

零信任架构或者系统要对所有的访问设备以及服务进行验证，IAM要具备高性能、高稳定、高扩展的性能才能支撑零信任架构下的IAM增强要求。

（二）持续性、自动化、智能化分析

零信任系统中默认不信任，用户的每一次请求，每一次访问，都需要认证，信任评估要覆盖业务全生命周期；另外，零信任要跟云原生的应用集成在一起，相关的人、设备、应用、服务数量会几何倍增长，涉及上百万级或者上千万级用户身份的管理，需要有相应的智能化和自动化能力对资源或者访问做更加智能的权限分配和收回，并且能够对用户访问服务或者服务之间的访问行为进行分析，在行为当中发现风险并且能做到自适应。

持续信任评估方面，目前市场上的技术都相对保守。因为真正持续的信任评估，对IAM的性能要求非常高，甚至会导致部分业务性能下降。目前了解，还没有哪一个实践能够做到对所有访问的每一次请求包都进行持续信任评估。多数厂商采用的是：无风险短时间内无需重复验证的方式，即，如果用户本次被评估是受信任的，在未来一个短的时间内（比如30s或者50s）没有新的风险事件、设备或者服务的变化，可以同用之前的信任凭据。从成熟度的角度看，目前持续信任评估能力主要是解决了从无到有的问题。进一步持续评估能力的增强，还要通过新技术的探索来找一个安全和性能的平衡点。

细粒度访问控制方面，相对成熟的方案和架构目前主要集中于少数几个IAM厂商。因为，细粒度访问控制，重要的是做好权限定义和权限执行。这需要与客户实际业务深度耦合，并从实际应用中提炼出更多维度的权限模型，加上国内对权限、角色的控制更复杂、更灵活，仅靠RBAC、RBAC不能满足客户端实际场景应用的需求。这对于没有长时间投入IAM技术理论研究的厂商，或者做SDP、微隔离等没有太多 身份治理客户案例的零信任厂商，试图用一些开源技术做IAM产品基本上没有办法很好的实现细粒度权限控制。

首先，零信任的身份治理，从对人的管理转向了全域的身份治理，要解决真实的人或者物理世界中设备/服务在数字世界中对应身份的安全问题。传统IAM验证的实体主要是人，不管是企业雇员内部办公的EIAM还是C端的CIAM都是面向人的管理。但零信任中定义的主体不仅是人，还要管理客户端、网络、中间件、微服务、容器节点，这些身份的使用、认证、信任验证都各有不同的方法、不同的理论，这在技术结合业务的方面给厂商提出了更多挑战。

此外，零信任还要解决实时业务中的细粒度控制问题。传统的IAM只有允许访问或者不访问，类似大门级的访问控制。但零信任无论是权限控制还是身份治理，都要深入到业务系统中。这要求我们对企业本身的业务及整体的业务系统有所了解，了解实际的业务场景是什么样子，以及在不同的场景下各个节点需要做到什么粒度的控制。这从业务深度上对IAM提出了更高的要求。

这些挑战进一步要求身份安全治理不仅要实现技术一体化，还要实现业务一体化。目前行业、标准组织、协会针对一体化的零信任系统中各个业务系统如何更好地治理提出了一些标准和最佳实践，从接口标准化、场景化方面也在做细度权限控制方式和方法的探索。

大型企业目前多数还是会使用数据中心或私有云，这些场景仍然会以采用传统IAM进行身份治理为主。因为这些网络相对封闭，多数访问属于企业网络内部访问，使用大门级的访问控制基本可以满足企业业务应用场景的需求；对于部分用户或者设备需要从外网访问进来，采用SDP+IAM的模式也可以解决。这种方案比较成熟，也是目前大型企业的通用方案。

但在公有云、混合云场景下，网络设施由公有云提供商管理，甚至企业为自己的服务购买的两个虚机之间的网络通信，也完全由云提供商控制，租户不知道自己的网络入口和网络边界在什么地方。这种场景下，需要采用零信任架构，基于细粒度访问权限在工作负载、服务与服务之间进行访问控制。它使企业可以不依赖于公有云或私有云的实际网络，仅从业务和身份上对数据进行身份管理和控制，就可以满足公有云或者混合云环境的安全治理需求。

在公有云或混合云场景下做好身份治理，要从以下几个方面着手：

首先，要对不同网络下的资源和数据按照业务和敏感度进行分级分类。比如，哪些对安全性要求较高性能可以降低一些，哪些对性能要求更高安全性可以低一些。通过分级的方式，使安全管理者对工作目标也有一个明确定义。

其次，从业务层面做到权限最小化，把企业内部的权限梳理好，不能过度分配权限。为后续升级或者采用新架构打好基础。

第三，通过统一身份认证或者单点登录的方式把现有业务系统统一纳管起来。有了统一入口可以为下一步实施零信任或者更细粒度的身份治理打好基础；否则，在数据或者权限非常乱的情况下，实施零信任架构或者身份安全治理会有很大挑战。

第四，也是比较重要的一点，是人员的安全教育。整个组织的安全离不开所有人的贡献，不能依靠某一个产品或者某一个部门解决所有安全问题。要通过流程或者任务对实际用户、开发人员、运维人员进行安全教育，将“安全共责”的思想深入人心。

随着数字化转型，企业的业务系统越来越庞杂，像五、六百人的企业，一般都会有十几、二十多个业务系统，类型上有商业的、自研的、开源的或者买的完全SaaS化的系统，有的部署在机房有的在云端。这种环境下，业务逻辑呈网状业务入口更加开放，安全管理的挑战也更大，并且这种多云和混合环境未来会长期存在。分布的混合云环境下，没有办法每个SaaS系统都分别建一套身份管理系统，加上零信任细粒度管控与业务系统天然不可分割的特性，一体化的零信任安全建设将会成为零信任发展的一个趋势。

一体化的零信任建设中，可以考虑用IDaaS和IAM协同治理的方式解决多云或者混合云环境下的身份治理问题。通过IDaaS和IAM之间的身份互信，保证用户无论处于何种网络环境下，都不需要知道业务系统到底在什么地方，完全交给可以协同身份治理的平台实现快速、平滑、安全的访问。

其次，零信任安全建设要场景化，基于每个实际的业务场景，打造该场景下业务闭环的零信任系统。它包括该场景下相关的人、设备、流程及安全控制策略，比如，业-财-管一体化方案、数字化员工方案、数字化营销方案以及数字化隐私合规场景的方案等。然后通过单个场景化的一体化方案逐步扩展到整体的一体化。零信任安全一定要从业务出发解决业务问题。

技术方面，未来会在持续化、自动化和智能化分析方面将会有更深入的探索。目前虽然业界在零信任的持续化、自动化或者智能化分析方面已经有了一些实践或落地，但是还存在很多问题，这方面还要引入一些新的技术或者新的理念。

应用场景上，与身份安全治理发展趋势有较大关系的，一是基于区块链的个人身份自主授权DID，另一个是元宇宙。DID会涉及隐私计算、零知识证明、多方计算、联邦计算等一系列技术，此外，DID与Web3.0也会有一定的关联关系。Web2.0时代对于很多企业尤其是互联网企业来说，只要能收集到足够的个人信息，甚至都不需要再对产品功能进行优化，就能在市场上获得很好的估值。未来如果从国家层面或者社会层面能将DID推行下去，个人信息由个人自己来决策，将会颠覆整个Web2.0的商业模式。元宇宙是把真实宇宙在数字世界中完全复制一遍，这会涉及到真实世界的人、物也在元宇宙中的身份定义、身份管理等，现在还没有真正落地，可能还是一个远期的规划。

政策方面，在个人信息保护和隐私合规方面密集出台了一些政策，无论是政府，还是企业都会越来越重视个人信息保护，安全合规地使用个人信息将成为强需求，大部分企业，有规模的企业或者互联网企业都会涉及到这方面的需求。针对这一块我们也做了一些研究，想办法把政策法规的要求落实到产品设计中。

最后，随着数字化转型的深入推进，企业的数据、业务、系统会越来越多，靠人力完全没有办法来管理所有的资源，业务系统的自动发现、纳入、监管、治理，以及智能化的风险发现、用户行为分析、权限的智能分配/回收等，都要跟着数字化转型的深入推进而提速或转变。自动化和智能化发展也会成为必然趋势。

安全牛评