导语:
密码less 与硬件密钥(FIDO2/Passkey)正在成为身份安全的主线。要在企业里落地,需要把“强身份 + 风险引擎 + 敏感操作门禁 + 审计”做成工程闭环。本文给出可执行方案与检查表。
1. 目标与指标
- 强身份覆盖率:高价值系统/管理员 100%,关键业务 ≥ 95%。
- 风险拦截:异常登录/敏感操作触发率、误报率可观测。
- 硬件密钥使用率:管理员与高危操作 ≥ 90%。
- 审计可回放:关键操作链路与策略决策可检索。
2. 身份与设备
- IdP 统一(OIDC/SAML),Passkey/硬件密钥作为默认凭证,口令仅做备份。
- 设备信任:注册/姿态检测(加密、补丁、EDR),过期/越狱自动降级。
- 账户分级:普通/高危(生产、发布、提权),高危强制硬件密钥 + Step-up Auth。
3. 风险引擎与敏感操作门禁
- 信号:IP 信誉、地理/时间异常、设备变更、行为基线偏移。
- 动作:风险高触发 Step-up Auth/MFA/阻断;生成工单与审计记录。
- 敏感操作目录:发布、改配置、导数、重置凭证、访问生产 DB。
- 门禁实现:接口层风险评分 + 二次确认/验证码,记录决策。
4. 审计与证据包
- 字段:
who/when/where/device_id/ip/risk_score/action/params/result/policy_version. - 结构化存储:日志入索引/数据仓,支持按用户/设备/动作查询。
- 保留策略:按合规要求归档,支持导出审计材料。
5. 执行清单
- 身份:IdP 统一、Passkey/硬件密钥启用,口令仅备份;复旧凭证逐步淘汰。
- 风控:风险引擎上线,敏感操作目录与策略生效,告警通道验证。
- 审计:证据包存储可检索;高危操作自动生成工单。
- 演练:账号接管/凭证泄露演练,验证封禁/恢复闭环。
6. 看板与改进
- 看板:Passkey 覆盖率、硬件密钥使用率、风险拦截/误报、敏感操作门禁触发。
- 例外管理:例外审批有期限与责任人,到期自动提醒与禁用。
- 周/月复盘:Top 风险事件、误报规则、设备姿态缺口,输出改进项。
结语:
身份安全要真正升级,必须“强身份 + 风险引擎 + 门禁 + 审计”一起落地。用 Passkey/硬件密钥做默认,再配合风险门禁与证据包,才能把攻击面压到最小。
7. 报表与核查
- 看板:Passkey 覆盖率、硬件密钥使用率、风险拦截/误报、敏感操作门禁触发。
- 周报:异常事件、误报规则、设备姿态缺口、例外清单及到期提醒处理率。
- 快速核查:IdP 统一、MFA/Passkey 默认开启;风险引擎与门禁生效;审计可检索与导出。
8. 演练与例外
- 每月执行账号接管/凭证泄露演练,验证封禁/恢复闭环。
- 例外审批必须有期限与责任人,到期自动提醒并禁用;高危操作默认不允许例外。
- 审计导出模板:身份/设备/风险决策/处置动作四段,便于合规提交。
- 供应链加固:IdP/网关/代理组件也需签名与来源校验,防止信任链断裂。
