零信任架构下的访问控制——前序

计算机系统及其创建、处理、传输和存储的数据已成为现代企业组织不可或缺的组成部分。企业组织的IT部门使用访问控制机制来降低未经授权访问其数据、资源和系统的风险。

“云大物移”等前沿信息技术的快速发展和应用，极大地增加了网络信息基础设施的复杂性，为应对基础设施面临的复杂安全风险和日益严峻的网络安全问题，“永不信任，始终验证”的零信任安全理念开始吸引越来越多的关注。

零信任安全架构通过身份、环境、动态权限等层面定义，缓解身份滥用、高风险终端、非授权访问等安全风险，建立端到端的动态访问控制机制，极大收缩攻击面，为网络基础设施和信息安全建设提供新的理论和实践支撑。

零信任安全的本质是访问控制范式的转变，从传统的以网络为中心转变为以身份为中心进行访问控制。

在“企业数字资源云化、传统安全边界消失”的新型网络安全形势下，企业对企业（B2B）关系有时需要一个企业的用户或系统访问来自业务合作伙伴的资源。

简单的访问控制模型通常无法充分满足这种复杂的访问控制需求，因此需要更细粒度、更强大、更动态的模型和机制来解决这些新的现实问题。简言之，日益复杂的数据访问和共享需求推动了对日益复杂的访问控制模型和机制的需求（如图1）。

图1 典型的访问控制模型

图1从访问控制对不同场景的适应能力和在具体场景下的实施精细化两个角度，对典型的访问控制模型进行了对比。

其中，访问控制列表（ACL）通过一个关联主、客体及访问权限的映射表，实现对主体访问行为的限制。基于角色的访问控制（RBAC）通过“角色”概念实现了主体与权限的解耦，降低了权限管理的复杂度和管理负担。

基于属性的访问控制（ABAC）用“属性”来表达与访问控制相关的各种因素，能够通过各种条件组合表达复杂的策略，以实现精细化的访问控制。基于策略的访问控制（PBAC）通过数字策略的定义、翻译、冲突消解和分发执行，能够为整个企业组织实施更严格的安全策略和统一控制。风险自适应访问控制（RAdAC）在策略决策过程中引入环境相关的条件和风险级别，结合主体对资源访问的“操作需求”，能够为企业提供实时、自适应、风险感知的访问控制。

不同的访问控制机制在实现不同的访问控制模型时，可以采取多种形式，使用不同的技术和底层基础设施组件，并涉及不同程度的复杂性。在某些情况下，更复杂的模型扩展并增强了早期的模型，而在其他情况下，它们代表了对访问控制方式的重新思考。在许多情况下，较新、更复杂的模型不是因为早期模型提供的安全性不足，而是因为需要新模型来解决组织结构、技术、需求、技术能力和机构关系的变化所带来的问题。

在零信任体系架构下，授权中心抛弃了传统的边界信任机制，不再默认信任任何人、网络或设备，而是在认证和风险感知的基础上建立动态的信任评估。

对数据、应用和服务等资源的访问控制也需要由动态策略管控，其中影响策略判决的因素包括访问者的用户身份、应用/服务和目标资源的状态，以及与安全态势相关的行为或环境因素等，这些安全理念的转变对数字策略的定义、分发、执行和管理也都提出了新的要求：

（1） 与访问授权相关的因素种类繁多、数量巨大并且经常变化，要求采用效率更高、更加灵活的授权方式；

（2） 访问主客体经常动态变化，为适应这种动态变化，应当采用更有效的动态授权方式；

（3） 被访问资源中包含大量非结构化和半结构化数据，需要灵活地按照最小授权原则进行细粒度授权。

在零信任体系架构下，复杂多变的业务环境、多样化的用户设备类型及其数量都增加了数据暴露的风险，创建和保持访问策略的一致性成为了非常困难的事情。访问控制策略应可动态调整，以响应不断变化的风险因素，实时识别威胁并自动调整访问授权是零信任访问控制模型的主要实现目标。同时还要考虑访问控制机制在整个零信任架构和企业IT环境中的分布和管理，满足不同用户的需求、企业的规模、资源的分布以及需要访问或共享的客体的敏感性要求。在零信任架构的技术背景下，本系列文章重点讨论了当前和未来的访问控制模型，包括访问控制列表、基于角色的访问控制、基于属性的访问控制、基于策略的访问控制和风险自适应访问控制，并分别围绕各种模型的访问控制粒度、策略化程度和应用实施过程中面临的问题进行了分析总结，希望能为零信任架构下的访问控制模型研究贡献微薄之力。

本系列研究论文的组成如下：

1.前序（本文）

2.访问控制模型综述

3.ABAC相关标准在数据服务中的应用--XACML和NGAC的比较

4.策略机：一种访问控制策略定义和执行的新架构

5.“属性”在访问控制系统中的应用