【翻译】零信任架构准则(三)Assess user behaviour

在寻求建立系统安全性的信任值时，用户行为，服务或设备的健康状况是非常重要的指标，我们应该持续监控来自用户和设备的身份和健康信息，并把这些动态信息也输入到策略引擎中，让其动态的做出访问决策。例如，我们想知道我们的用户试图从哪里访问我们的服务，然后这些行为（用户访问时间或频次或关注点）或访问的位置信息都可以作为signal帮助策略引擎做出访问决策。

设备评估

评估设备的健康状况可以从三方面，一是设备是否强制遵守了配置策略，然后不断检查设备是否合规，策略配置可以是如下几种：

1. 外部接口，包括有线和无线外围设备（例如，在设备锁定时禁用 USB 配件）
2. 生物识别技术的使用，以及密码和身份验证策略
3. 您希望允许的 Google Cloud 服务
4. 设备操作系统和应用程序更新，包括自动更新
5. 配置设备密码策略以符合组织的身份验证策略
6. 应禁用开发人员和测试版功能，例如 Linux 子系统和 Google 助理，以防止通过 MDM 绕过强制技术控制。
7. 安全启动。比如Ubuntu 会验证启动过程，但不验证所有与启动相关的文件是否被篡改。我们可以通过配置UEFI的版本，GRUB 密码，内核锁定等，确保获得安全优势
8. 配置 LUKS/dm-crypt 磁盘加密设置，以提供全卷加密并防止使用物理攻击提取数据
9. 应用程序允许列表。不应允许用户在设备上安装任意应用程序。第三方应用程序应由管理员授权，并通过受信任的机制（如 Ubuntu Landscape）进行部署。

其次是设备本身的健康状况，包括设备固件，端点安全套件和操作系统内核等等。最后是流经设备的网络流量或设备日志记录信息，这可以帮助我们发现网络上的流氓设备，或未经授权的数据流等等，这些如果出现，可能表明系统存在恶意软进程偷偷的在后台启动了。

我们应该确保为合法用户提供明确且清晰的设备健康补救途径，当他们的设备在某些情况低于要求的认证信任值时，可以恢复到良好的设备健康状态，否则用户可能因被阻拦而无法访问服务或数据时不明所以。例如，如果设备已经离线了一段时间并且没有及时更新操作系统补丁，那么当它无法通过设备策略认证时，则应该告诉客户，如何更新其设备的安全能力和所需要升级步骤。

服务评估

评估服务监控状况，不仅需要考虑用户访问服务的时候，还需要考虑跨域的情况，即该服务与其他服务通信时。零信任基础设施，例如策略引擎和策略执行点，在这里也要归于服务。服务的防护应该采取零信任架构+传统安全功能协同，例如IPS，或强大的身份验证机制。

我们负责的服务必须与最新的软件补丁保持同步，及时确定服务的版本和补丁级别，尽早修复漏洞。当服务运行状况突然发生变化，可能是已经发生了未经授权的恶意活动，我们应该根据动态策略终止这次连接，其次静态配置也不可少，例如，容器不能以特权身份运行，构成服务的代码源也应该被验证为来自可信源，即服务包要从release的分支流水线打包出来。

用户评估

我们应该持续监控用户行为及地理位置变化，并通过这些信息进行建模。因此，用户从不同的地理区域连接到我们的服务，而不在它们通常访问的地方，或者突然深夜访问，或者一个从来没有访问过某代码仓库这次疯狂下载代码等等这些出乎意料的情况，我们都需要进行加权评估。当发现这些组合因素达到不可信阈值时，我们就需要终止这次连接，或注销用户登录，或提示用户进行身份补救，比如短信认证或MFA等等，这些都可以提高操作的安全性。

翻译：zhihu于顾而言

Reference

zero-trust-architecture/3-Assess-user-behaviour-service-and-device-health.md at main · ukncsc/zero-trust-architecture · GitHub

Platform Guides - NCSC.GOV.UK