导语:
企业的网络基础设施日益复杂,安全边界逐渐模糊。一方面,云计算、移动互联等技术的采用让企业的人和业务、数据“走”出了企业的边界;另一方面,大数据、物联网等新业务的开放协同需求导致了外部人员、平台和服务“跨”过了企业的数字护城河。企业的安全边界正在逐渐瓦解,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施,亟需新的网络安全架构应对现代复杂的企业网络基础设施,应对日益严峻的网络威胁形势,零信任安全架构在这种背景下应运而生,学术界和产业界投入了大量精力进行研究。
一、零信任安全架构
1.持续身份认证
零信任架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高的多因子认证,也需要通过持续认证进行信任评估。
2.以身份为中心
零信任的本质是以身份为中心进行动态访问控制,全面身份化是实现零信任的前提和基石。基于全面身份化,为用户、设备、应用程序、业务系统等物理实体建立统一的数字身份标识和治理流程,并进一步构筑动态访问控制体系,将安全边界延伸至身份实体。
3 .动态访问控制
零信任架构下的访问控制基于持续度量的思想,是一种微观判定逻辑,通过对业务访问主体的信任度、环境的风险进行持续度量并动态判定是否授权。
4.智能身份分析
零信任架构提倡的持续认证、动态访问控制等特性会显著地增加管理开销,只有引入智能身份分析,提升管理的自动化水平,才能更好地实现零信任架构的落地。审计员工行为,及时二、零信任安全架构组件
基于零信任模型架构,以搭建面向实际应用的零信任系统为目标,需要依赖于四个核心组件①可信代理,②动态访问控制引擎,③信任评估引擎,④身份安全基础设施。
(一)可信代理
可信代理是零信任架构的数据平面组件,是确保业务安全访问的第一道关口,是动态访问控制能力的策略执行点。可信代理拦截访问请求后,通过动态访问控制引擎对访问主体进行认证,对访问主体的权限进行动态判定。只有认证通过、并且具有访问权限的访问请求才予以放行。
(二) 动态访问控制引擎
动态访问控制引擎和可信代理联动,对所有访问请求进行认证和动态授权,是零信任架构控制平面的策略判定点。动态访问控制引擎对所有的访问请求进行权限判定,权限判定不再基于简单的静态规则,而是基于上下文属性、信任等级和安全策略进行动态判定。
(三)信任评估引擎
信任评估引擎是是零信任架构中实现持续信任评估能力的核心组件,和动态访问控制引擎联动,为其提供信任等级评估作为授权判定依据。信任评估引擎持续接收可信代理、动态访问控制引擎的日志信息,结合身份库、权限库数据,对身份进行持续画像,对访问行为进行持续分析,对信任进行持续评估,为动态访问控制引擎提供决策依据。
(四)身份安全基础设施
身份基础设施是是实现零信任架构以身份为基石能力的关键支撑组件。身份基础设施至少包含身份管理和权限管理功能组件,通过身份管理实现各种实体的身份化及身份生命周期管理,通过权限管理,对授权策略进行细粒度的管理和跟踪分析。
七、总结
指掌易在零信任安全架构领域有着较强的技术优势、丰富的制造行业的项目建设经验以及行业口碑,以及更贴合用户实际应用场景的技术方案,最终帮助用户构建了“零信任安全架构防护”极大提升了网络安全防控水平,进一步降低了网络安全风险。
