导语:
安全圈近期的共识是:攻击面从“边界”转向“身份与设备”。VPN 和口令早已不够,凭证泄露、鱼叉钓鱼、被盗设备都可能成为入口。要把零信任落到工程层,需要三件套:多因素认证(MFA)、设备信任、敏感操作门禁与审计。本文给出可直接执行的落地方案与SOP。
1. 目标与关键指标
- MFA 覆盖率:关键系统/管理员 100%,高价值业务 ≥ 95%
- 设备信任:注册/合规设备占比 ≥ 90%,高敏感操作只允许受信设备
- 敏感操作门禁:风险评分≥阈值时强制二次校验或阻断
- 审计可回放:关键操作具备完整链路与证据包
2. 架构最小闭环
- 身份提供者(IdP)统一:SAML/OIDC 统一入口,集中策略下发。
- MFA 与设备信任:OTP/Push/WebAuthn,设备注册与姿态检查(合规配置、磁盘加密、补丁状态)。
- 风险引擎:基于设备、地理、网络、行为做评分,触发额外校验/阻断。
- 敏感操作门禁:对高风险动作(提权、导数、改配置、发布)做二次确认与审计。
3. 落地步骤(可直接照抄)
3.1 身份与MFA
- 统一 IdP:迁移高价值系统到统一身份源。
- 强制 MFA:管理员、生产环境登录、CI/CD控制面、堡垒机默认强制。
- 宽限/豁免策略:仅限低风险场景且需审批,设置过期时间。
3.2 设备信任与合规
- 设备注册:序列号/硬件指纹/证书,绑定用户与用途。
- 姿态检查:加密、锁屏、补丁、EDR、越狱/Root 检测。
- 访问策略:高敏感系统仅允许受信设备;不合规设备仅访问低敏资源或直接阻断。
3.3 风险引擎与门禁
- 信号:IP信誉、地理异常、时间异常、设备变更、行为基线偏移。
- 动作:风险高时触发 MFA、Step-up Auth,或阻断 + 工单。
- 敏感操作目录:发布、变更访问控制、导出数据、访问生产数据库、重置凭证。
- 门禁实现:在前端/后端接口层做“风险评分 + 二次确认/验证码”,并记录结果。
3.4 审计与证据包
- 记录字段:
who/when/where/device_id/ip/risk_score/action/params/result/policy_version. - 输出格式:结构化日志 + 人类可读摘要;关键操作自动生成工单。
- 保留策略:按合规要求(如 180 天/1 年)归档,并支持快速检索。
4. 运维SOP(每周/每月)
- 周:审查高风险事件与失败登录,调整风险规则。
- 月:审计敏感操作日志,抽样验证证据包完整性。
- 季:演练账号接管响应流程,验证封禁/恢复闭环。
5. 常见坑与解法
- MFA“体验差”导致绕过:为低风险场景保留自适应认证,但对高风险强制。
- 设备信任只做“登记”不做“姿态”:注册只是开始,必须持续检测补丁/加密/EDR。
- 审计不可检索:证据包应结构化存储,可索引、可回放。
结语:
零信任的关键在“身份与设备先行”,再结合风险引擎与敏感操作门禁,把安全做成默认的基础设施。只要流程与证据包跑通,MFA 和设备信任不会是负担,而是上线速度的保障。
