导语:
身份与设备仍是攻击入口,零信任不该停留在口号。本文给出工程化落地方案:强身份、设备信任、敏感操作门禁、风险引擎与审计证据包,并附可执行的核查清单。
1. 目标与指标
- 强身份覆盖率:高价值系统/管理员 100%,关键业务 ≥ 95%。
- 设备信任:注册/合规设备占比 ≥ 90%,高风险操作仅允许受信设备。
- 门禁命中:敏感操作触发二次校验/阻断,误报率可观测。
- 审计可回放:关键操作链路、策略决策可检索。
2. 强身份与设备信任
- 统一 IdP(OIDC/SAML),集中策略下发。
- MFA 默认开启:管理员、生产访问、CI/CD 控制面、堡垒机。
- 设备注册:证书/硬件指纹/姿态(加密、补丁、EDR),过期与异常自动降级。
- 身份-设备绑定:高风险操作需“人+设备”共同信任。
3. 风险引擎与敏感操作门禁
- 信号:IP 信誉、地理/时间异常、设备变更、行为基线偏移。
- 动作:风险高触发 Step-up Auth/MFA/阻断;生成工单与审计。
- 敏感操作目录:发布、提权、导数、改配置、访问生产 DB、重置凭证。
- 门禁实现:接口层风险评分+二次确认/验证码,记录决策。
4. 审计与证据包
- 字段:
who/when/where/device_id/ip/risk_score/action/params/result/policy_version. - 结构化存储:日志入索引/数据仓,支持按用户/设备/动作查询。
- 保留策略:按合规要求归档,支持导出审计材料。
5. 运维与演练
- 周审计:高风险事件、失败登录、异常设备;调整规则。
- 月演练:账号接管/凭证泄露响应;验证封禁/恢复闭环。
- 例外管理:审批有期限,自动到期提醒与禁用。
6. 快速核查清单
- IdP 统一,MFA 默认开启;高风险操作强制 Step-up Auth。
- 设备注册/姿态检查启用,过期/不合规自动降级。
- 风险引擎与敏感操作门禁上线,告警通道已验证。
- 审计证据包可检索,导出合规材料无障碍。
7. 运行看板与演练
- 看板:401/429、风控命中、重放拒绝、成本超限、误报趋势。
- 事件复盘:异常飙升时生成证据包(链路、策略决策、处置),并更新规则。
- 周演练:固定撞库/重放模拟,验证策略有效与告警可用。
8. 补充检查表
- IdP 统一、MFA 强制、设备姿态检测开启。
- 风控与配额策略上线,签名/重放校验在灰度验证误报后全量开启。
- 审计日志可检索并可导出合规报告。
9. 报表与改进
- 周报:401/429、风控命中、重放拒绝、误报与成本超限趋势。
- 改进项:误报高的规则、缺失的 Step-up 场景、设备姿态覆盖率提升计划。
- 演练记录:每次对抗演练的结果与改进动作入库,便于复用。
10. 例外与合规
- 例外审批必须带到期时间与责任人,自动提醒与禁用。
- 合规导出:审计日志可导出,包含身份/设备/风险决策/处置动作。
- 外部接入:第三方调用也必须签名与速率限制,避免“信任链断裂”。
结语:
零信任要“有 teeth”——强身份、设备信任、风险门禁、审计闭环。把这些做成默认工程能力,攻击面才真正收敛。
