1. 信任管理

1.1. 信任源自于人，并通過計(jì)算機(jī)可以執(zhí)行的信任機(jī)制流入其他系統(tǒng)

1.1.1. 只有使用系統(tǒng)的人確信它確實(shí)按照其意愿忠實(shí)地運(yùn)行，該系統(tǒng)才能被認(rèn)為是可信的

1.2. 信任管理是零信任網(wǎng)絡(luò)的一個(gè)重要功能

1.3. 信任是如何產(chǎn)生的？

1.3.1. 你確實(shí)了解自己的家人

1.3.1.1. 你確實(shí)了解自己的家人

1.3.2. 你只是簡單地把所有能夠辨識的環(huán)境、與陌生人相關(guān)的所有信息等，都納入考慮的范圍，然后判斷他們的可信度有多高

1.3.3. 在某些情況下，人們甚至可能連自己都無法完全信任，但是至少可以確信所采取的行動的確是自己所為

1.4. 零信任網(wǎng)絡(luò)中的信任往往源自系統(tǒng)管理員

1.4.1. 如果不存在與生俱來的信任，那么就必須從某個(gè)地方產(chǎn)生信任并小心地管理它

1.4.2. 系統(tǒng)管理員并不是總能有機(jī)會進(jìn)行授權(quán)和授予信任

1.4.3. 當(dāng)用戶數(shù)量急劇增多時(shí)，信任管理的工作量會非常大，而系統(tǒng)管理員的數(shù)量卻不可能無限制地隨之增加

1.5. 信任委托

1.5.1. 借助信任委托，人們可以構(gòu)建自動化系統(tǒng)，在無須人為干預(yù)的情況下，以安全可信的方式管理大規(guī)模增長的零信任網(wǎng)絡(luò)

1.5.2. 系統(tǒng)管理員是可信的

1.5.3. 管理員就必須將責(zé)任委托給供應(yīng)系統(tǒng)（Provisioning System），授予它創(chuàng)建新主機(jī)和為新主機(jī)授予信任的能力

1.5.4. 能夠返回給系統(tǒng)管理員的這一串信任通常被稱為信任鏈（Trust Chain），而系統(tǒng)管理員被稱為信任錨（Trust Anchor）

2. 威脅模型

2.1. 定義威脅模型是設(shè)計(jì)安全架構(gòu)的第一步

2.2. 描述潛在的攻擊者及其能力、資源以及意圖攻擊的目標(biāo)

2.3. 明確攻擊者的范圍

2.3.1. 按照攻擊者的能力高低進(jìn)行排序，以便于人們按照從易到難的順序，合理部署相應(yīng)的攻擊緩解措施

2.4. 薄弱的環(huán)節(jié)恰恰是攻擊者關(guān)注的地方

2.4.1. 聚焦于某個(gè)具體的威脅，并仔細(xì)思考緩解該威脅的具體措施

2.5. 流行的建模工具

2.5.1. STRIDE

2.5.2. DREAD

2.5.3. PASTA

2.5.4. Trike

2.5.5. VAST

2.5.6. 目標(biāo)是一致的，都需要盡可能地枚舉針對系統(tǒng)的威脅，然后進(jìn)一步枚舉能夠緩解這些威脅的系統(tǒng)和流程

2.6. 不同的威脅模型處理問題的視角也不盡相同

2.6.1. 聚焦于被攻擊者視為目標(biāo)的資產(chǎn)

2.6.2. 獨(dú)立地審視每一個(gè)軟件組件，枚舉針對每個(gè)組件的所有可能的攻擊

2.6.3. 使用與攻擊者相同的視角，把系統(tǒng)看作一個(gè)整體，分析攻擊者使用何種手段滲透進(jìn)這個(gè)系統(tǒng)

2.7. 把攻擊者按照能力（造成的損害）從低到高排列

2.7.1. 碰運(yùn)氣攻擊者

2.7.1.1. 腳本小子

2.7.1.2. 利用那些眾所周知的漏洞和工具發(fā)起攻擊，廣撒網(wǎng)，碰運(yùn)氣

2.7.2. 定向的攻擊者

2.7.2.1. 對特定的目標(biāo)發(fā)起針對性的攻擊

2.7.2.2. 通過魚叉郵件、社交工程等手段發(fā)起攻擊

2.7.3. 內(nèi)部人員

2.7.3.1. 擁有合法憑據(jù)的系統(tǒng)用戶

2.7.3.2. 外包人員、非特權(quán)的企業(yè)員工

2.7.4. 可信內(nèi)部人員

2.7.4.1. 可信度很高的系統(tǒng)管理員

3. 零信任的威脅模型

3.1. RFC 3552描述了互聯(lián)網(wǎng)的威脅模型

3.2. 零信任網(wǎng)絡(luò)遵循互聯(lián)網(wǎng)威脅模型來描述安全態(tài)勢，規(guī)劃緩解威脅的措施

3.3. 假設(shè)參與協(xié)議交互的端點(diǎn)系統(tǒng)自身并沒有被攻陷

3.3.1. 如果其中一個(gè)端點(diǎn)系統(tǒng)被攻陷，那么阻止攻擊就變得非常困難了

3.3.2. 通過仔細(xì)設(shè)計(jì)安全協(xié)議，還是有可能縮小損害的范圍，降低損害的程度

3.4. Protocol Data Unit，協(xié)議數(shù)據(jù)單元

3.5. 即使與之通信的端點(diǎn)系統(tǒng)本身是安全的，互聯(lián)網(wǎng)環(huán)境的特點(diǎn)也使得我們無法確認(rèn)通信數(shù)據(jù)包真的源自該端點(diǎn)系統(tǒng)

3.5.1. 零信任網(wǎng)絡(luò)需要控制網(wǎng)絡(luò)中的端點(diǎn)設(shè)備，所以它對互聯(lián)網(wǎng)威脅模型進(jìn)行了擴(kuò)展，充分考慮了端點(diǎn)設(shè)備被攻陷的情形

3.5.2. 面對端點(diǎn)設(shè)備可能遭受的攻擊，通常的應(yīng)對方式是首先對端點(diǎn)操作系統(tǒng)進(jìn)行安全加固，然后采用端點(diǎn)系統(tǒng)安全掃描、系統(tǒng)活動行為分析等方式來進(jìn)行攻擊檢測

3.5.3. 定期升級端點(diǎn)設(shè)備中的軟件，定期更換端點(diǎn)設(shè)備的登錄憑證，甚至定期更換端點(diǎn)設(shè)備本身等，也能夠緩解針對端點(diǎn)設(shè)備的攻擊

3.6. 擁有無限資源的攻擊者本質(zhì)上是無法防御的，零信任網(wǎng)絡(luò)充分考慮了這一因素

3.6.1. 零信任網(wǎng)絡(luò)的防御目標(biāo)是那些常見類型（不是所有類型）的攻擊者

3.7. 零信任網(wǎng)絡(luò)能夠防御的攻擊者包括從低級別的“碰運(yùn)氣攻擊者”到高級別的“可信內(nèi)部人員”

3.7.1. 制定緩解措施具有更廣泛的適用性，能夠抵御組織面臨的絕大多數(shù)攻擊，顯著提升組織的安全態(tài)勢

3.8. 零信任模型僅需要保證用于認(rèn)證和授權(quán)操作的信息的機(jī)密性，如存儲在磁盤上的憑據(jù)的機(jī)密性

3.8.1. 對端點(diǎn)系統(tǒng)安全性的進(jìn)一步要求，如全盤加密等，是其他安全策略需要考慮的問題

3.9. 很難防御的、相對小眾的威脅

3.9.1. 利用虛擬機(jī)管理程序的漏洞復(fù)制虛擬機(jī)內(nèi)存等

3.9.2. 防御這類威脅需要付出相當(dāng)大的代價(jià)，可能需要專用的物理硬件

3.9.3. 多數(shù)零信任網(wǎng)絡(luò)的威脅模型排除了這類攻擊

4. 強(qiáng)認(rèn)證

4.1. 如果沒有辦法把物理世界中的人與其數(shù)字世界中的身份聯(lián)系起來，那么無論采用什么方法都無法真正建立對一個(gè)人身份的信任

4.2. 人類多種感官的組合很難被欺騙

4.3. 計(jì)算機(jī)場景下的身份認(rèn)證更像是通過電話與某人交談

4.3.1. 管理員采用檢查遠(yuǎn)程系統(tǒng)的IP地址，并要求對方輸入口令的方式來完成身份認(rèn)證

4.3.2. 僅僅采用這些方法進(jìn)行身份認(rèn)證是遠(yuǎn)遠(yuǎn)不夠的

4.3.2.1. 攻擊者能夠使用任意IP地址進(jìn)行通信，還能夠?qū)⒆约褐糜趦膳_遠(yuǎn)程通信的計(jì)算機(jī)之間發(fā)起中間人攻擊

4.3.3. 零信任網(wǎng)絡(luò)中的每個(gè)訪問請求都需要經(jīng)過強(qiáng)身份認(rèn)證

5. X.509標(biāo)準(zhǔn)

5.1. 該標(biāo)準(zhǔn)定義了數(shù)字證書的標(biāo)準(zhǔn)格式，并能夠通過信任鏈認(rèn)證身份

5.2. X.509證書是TLS協(xié)議（以前是SSL協(xié)議）用來驗(yàn)證連接的主要機(jī)制

5.3. 大多數(shù)TLS應(yīng)用實(shí)例僅配置了單向身份認(rèn)證，即只是由客戶端驗(yàn)證所訪問的資源是否可信，但是被訪問的資源沒有驗(yàn)證客戶端是否可信，這種配置在零信任網(wǎng)絡(luò)場景下來說存在明顯的問題

5.4. TLS協(xié)議本身支持雙向身份認(rèn)證，即被訪問的資源也同樣可以驗(yàn)證客戶端的身份

5.4.1. 這一步驟對私有資源的保護(hù)來說非常重要

5.5. X.509證書使用兩個(gè)密鑰：公鑰和私鑰

5.5.1. 公鑰需要被公布出去，私鑰則被嚴(yán)格保密

5.5.2. 使用公鑰加密的數(shù)據(jù)，可以用私鑰解密，反之亦然

5.5.3. 人們可以證明其擁有正確的私鑰，就能夠在不暴露秘密的情況下驗(yàn)證身份

5.6. 基于證書的身份認(rèn)證機(jī)制可以讓通信雙方確信對方擁有正確的私鑰，并且可以確信攻擊者通過搭線竊聽的方法無法竊取并重用密鑰

5.6.1. 該機(jī)制仍然依賴于一個(gè)秘密，而這個(gè)秘密可能會被竊取

5.7. 雖然身份憑據(jù)的合法性可以得到驗(yàn)證，但是其機(jī)密性無法得到保證

5.7.1. 最好使用存儲在不同位置的多個(gè)秘密，根據(jù)這些秘密的組合授予訪問權(quán)限

5.7.2. 攻擊者必須竊取多個(gè)秘密才能完成攻擊，這增加了攻擊的難度

5.8. 組合使用多個(gè)秘密的方式有助于防止未授權(quán)的訪問，但是仍然存在所有秘密都被竊取的風(fēng)險(xiǎn)

5.8.1. 所有身份認(rèn)證憑據(jù)都應(yīng)當(dāng)有時(shí)間限制

5.9. 為身份認(rèn)證憑據(jù)設(shè)定有效期限，不僅能夠最大限度地縮減憑據(jù)泄露或密鑰被盜的影響范圍，還可以給管理員更新密鑰和重建信任創(chuàng)造更多的機(jī)會，爭取更多的時(shí)間

6. 憑據(jù)輪換

6.1. Credential Rotation

6.2. 管理員更改或更新密鑰/口令的行為被稱為憑據(jù)輪換

6.3. 憑據(jù)輪換機(jī)制能夠有效防止秘密失竊，并在發(fā)生秘密失竊事件時(shí)及時(shí)將其注銷，避免更大的損失

6.4. 人們應(yīng)當(dāng)盡可能避免使用難以輪換或者輪換成本很高的身份認(rèn)證憑據(jù)，如硬件令牌/口令等

6.5. 身份認(rèn)證憑據(jù)的輪換頻率通常與輪換所需的成本成反比

6.6. 輪換代價(jià)高昂的憑據(jù)示例

6.6.1. 需要外部機(jī)構(gòu)簽發(fā)的數(shù)字證書

6.6.2. 人工配置的服務(wù)賬戶

6.6.3. 需要系統(tǒng)重啟才能重置的數(shù)據(jù)庫口令

6.6.4. 一旦更改就會導(dǎo)致所有已保存的散列值失效的密鑰種子