implementing-identity-verification-for-zero-trust

为零信任实现身份验证

---

domain: cybersecurity subdomain: zero-trust-architecture author: mahipal tags: [zero-trust, identity, authentication, mfa, identity-verification] difficulty: advanced estimated_time: 4-6 hours prerequisites:

• 了解零信任原则（NIST SP 800-207）
• 熟悉身份提供商（Azure AD、Okta、Ping Identity）
• 了解身份验证协议（SAML 2.0、OIDC、FIDO2）
• 了解多因素认证（MFA）和无密码身份验证

---

概述

身份是零信任架构（Zero Trust Architecture）的基础支柱。NIST SP 800-207 要求所有资源的身份验证和授权在允许访问之前必须动态执行且严格落实。零信任中的身份验证超越了传统的用户名/密码方式，通过结合设备状态、行为生物特征、位置和网络上下文等多维信号，实现持续的、风险自适应的身份验证。

本技能涵盖实施抗钓鱼的多因素认证（MFA）、持续身份验证、基于风险的条件访问，以及符合 CISA 零信任成熟度模型（Zero Trust Maturity Model）身份支柱的身份治理。

架构

身份验证流程

用户访问请求
    │
    v
┌───────────────────────┐
│ 主要身份验证           │
│ - FIDO2/WebAuthn 密钥  │
│ - 基于证书的身份验证   │
│ - 无密码身份验证       │
└──────────┬────────────┘
           v
┌───────────────────────┐
│ 上下文评估             │
│ - 设备状态             │
│ - 网络位置             │
│ - 地理速度检查         │
│ - 访问时间             │
│ - 行为基线             │
└──────────┬────────────┘
           v
┌───────────────────────┐
│ 风险评分引擎           │
│ - 聚合信号             │
│ - 计算风险评分         │
│ - 与阈值比较           │
└───┬──────────┬────────┘
    │          │
  低风险      高风险
    │          │
    v          v
┌────────┐  ┌──────────────┐
│ 授予   │  │ 升级身份验证  │
│ 访问   │  │ - 硬件密钥    │
│        │  │ - 生物特征    │
│        │  │ - 管理员审批  │
└────────┘  └──────────────┘

身份提供商架构

1. 主要 IdP：Azure AD / Okta / Ping Identity，用于集中化身份管理
2. FIDO2 身份验证器：硬件安全密钥（YubiKey）或平台身份验证器（Windows Hello、Touch ID）
3. 风险引擎：使用身份威胁检测（Microsoft Entra ID Protection、Okta ThreatInsight）进行自适应访问
4. 身份治理：生命周期管理、访问审查、即时（just-in-time）配置
5. 特权身份：针对高权限访问的独立验证（CyberArk、BeyondTrust）

核心概念

抗钓鱼 MFA

FIDO2/WebAuthn 通过将身份验证绑定到源域，消除了可被钓鱼的凭据。硬件安全密钥和平台身份验证器提供无需传输秘密的加密身份证明。

持续身份验证

与在会话开始时一次性验证不同，零信任要求通过会话令牌评估、行为分析以及基于风险信号的定期重新验证挑战进行持续验证。

基于风险的条件访问

条件访问策略评估多维信号（用户风险等级、登录风险、设备合规性、位置），动态调整身份验证要求和访问授权。

身份威胁检测

AI 驱动的分析通过不可能行程检测、异常登录模式、凭据填充检测和令牌重放攻击来检测被攻陷的身份。

操作流程

阶段 1：身份基础设施

1. 整合身份提供商

   • 审计组织中所有身份源
   • 使用 SAML 2.0 或 OIDC 联合到单一权威 IdP
   • 配置 SCIM 以自动化配置和取消配置
   • 消除本地账户和共享凭据

2. 部署抗钓鱼 MFA

   • 为所有用户注册 FIDO2/WebAuthn 硬件安全密钥
   • 配置平台身份验证器（Windows Hello for Business、macOS Touch ID）
   • 禁用 SMS 和语音电话作为 MFA 方式（可被钓鱼）
   • 创建条件访问策略，要求所有登录使用抗钓鱼方式

3. 配置条件访问策略

   • 要求合规设备才能访问敏感应用
   • 阻止旧版身份验证协议（basic auth、IMAP、POP3）
   • 要求所有来自不受信任位置的用户使用 MFA
   • 强制执行会话时间限制并重新验证
   • 阻止或要求对高风险登录进行额外验证

阶段 2：基于风险的身份验证

4. 启用身份威胁检测

   • 激活 Microsoft Entra ID Protection 或 Okta ThreatInsight
   • 配置风险等级：低（允许）、中（要求 MFA）、高（阻止并调查）
   • 启用不可能行程检测和异常令牌告警
   • 将身份风险信号与 SIEM/SOAR 集成

5. 实施升级身份验证

   • 对敏感操作（权限提升、金融交易），要求额外验证
   • 配置升级策略：使用硬件密钥重新验证
   • 与 PAM 集成，实现特权会话审批工作流
   • 记录所有升级事件以备审计

阶段 3：持续验证

6. 部署持续访问评估（CAE）

   • 启用持续访问评估协议（CAEP）以实现实时令牌撤销
   • 配置关键事件触发器：用户被禁用、密码更改、位置变更
   • 测试安全事件发生后令牌撤销是否在几分钟内完成
   • 监控 CAE 事件日志以确保运营健康

7. 实施会话控制

   • 根据应用敏感性配置会话时长限制
   • 启用登录频率控制（每 N 小时重新验证）
   • 实施持久浏览器会话控制
   • 为非托管设备配置应用强制限制

阶段 4：身份治理

8. 自动化身份生命周期

   • 配置与 HR 系统集成的入职-调岗-离职工作流
   • 根据角色和部门自动化访问配置
   • 启用即时访问以获取临时高权限
   • 为承包商和访客配置自动访问过期

9. 实施访问审查

   • 安排季度访问认证活动
   • 配置自动提醒和升级
   • 要求管理员审批持续访问
   • 对未审查的认证自动撤销访问

验证清单

• 单一权威 IdP，所有应用已联合
• 所有用户已注册 FIDO2/WebAuthn
• SMS 和语音 MFA 方式已禁用
• 旧版身份验证协议已阻止
• 所有应用已强制执行条件访问策略
• 身份威胁检测已激活并配置基于风险的策略
• 持续访问评估已启用并测试
• 敏感操作已配置升级身份验证
• 身份生命周期已与 HR 集成自动化
• 季度访问审查已计划并运行
• 身份事件正在流式传输到 SIEM

参考资料

• NIST SP 800-207：零信任架构
• NIST SP 800-63B：数字身份指南 - 身份验证
• CISA 零信任成熟度模型 v2.0 - 身份支柱
• FIDO 联盟 WebAuthn 规范
• Microsoft Entra 条件访问文档