零信任(Zero Trust )(ZT)是一种网络安全范式。它的重心在于保护资源,动态赋予用户的资源访问权限(基于你操作的上下文,基于你的设备,ip,身份认证等综合信息不断调整你的访问权限)。相比之下,传统的网络防御更关注网络边界,并且赋予用户账户或者设备权限的隐式信任。零信任网络架构的兴起很大程度上起源于当下移动端用户,云资产等的大量使用,这些资产和用户常常是不位于传统的网络边界保护之内。例如:居家办公,远程访问校园网等常常是不受边界防御保护的。
零信任基本概念
零信任的核心是资源保护,途径是对信任进行持续的评估。它把资源访问限制在有实际访问需求的主体并且授予执行任务所需的最小权限(某个用户只有读取的需求,那么他就必然不能拥有修改与删除的权限)。相比之下,传统的网络架构专注于边界防御,一旦用户通过身份认证等进入边界内部,就会拥有广泛的资源访问权限。所以。机构会面对大量网络内未经授权的横向攻击。
所以为了达到消除对于数据和服务的非授权访问的目的,零信任网络架构的重点在于身份认证,合法授权和缩小隐含信任区域(隐含信任区域举个例子:当你登机前,会通过乘客安全检查点,一旦通过你就可以在候机室或者厕所随便闲逛,那么候机室和厕所相当于隐含信任区域,如果你需要前往其他的地方,则进一步需要身份认证)。
如此图架构:用户一开始都是在非可信区域,如果通过了策略决策/执行点(PDP/PEP(相当于上述例子中的乘客安全检查点))那么就会被对于隐含可信区域访问资源(相当于上述例子中的候机室)的权限,就可以访问其中的系统,数据,应用等。
而实际上策略决策/执行点是十分复杂的,它的主要目的是做出合适的判断是否允许主体访问资源。其中涉及两个方面:身份验证与授权。身份验证:用户的身份信任等级是什么级别,对于资源的访问是否拥有足够的权限?用户的设备是否处于安全状态等?
零信任原则## 标题 1所有数据源和计算服务均被视为资源
2.无论网络位置如何,所有通信都必须是安全的:网络位置并不意味着隐式信任,无论用户的网络位置来源于企业内部还是企业外部都必须进行安全验证(通过上述架构的策略决策/执行点),一视同仁。
3…对企业资源的访问授权是基于每个链接的。
这段话没有看懂??好奇怪,什么是此特定事务,希望有人能解答一下
4.对资源的访问权限由动态策略(客户身份,应用和请求资产的可观测状态)决定,也可能包括其他行为属性。我的理解:零信任架构中需要一个动态信任评估引擎,这个引擎的输入可以是用户身份,应用,资产的可观测状态,用户操作的上下文等,然后实时更新用户的访问权限。
5.企业应该监控并且测量其所有自有或关联的资产的完整性和安全状态。我的理解:企业应该建立一个大型系统或者数据库来记录自己企业资产的状态(需要补丁,修复,存在漏洞,可以正常访问)
6.所有资源的身份认证和授权是动态的,并且在资源访问被允许之前严格强制实施。实施零信任网络架构的公司应该具有一个身份,凭证和访问管理系统以及资产管理系统,通过这个系统与用户之间的交互来进行持续信任评估。
7.企业应该尽可能收集关于资产,网络基础和通信的当前状态信息,并将其应用于改善网络安全态势.
零信任体系架构的逻辑组件
图一中的策略判定点(PDP)被分解为两个逻辑组件:策略引擎(PE)和策略管理器(PA),零信任体系架构的逻辑组件使用单独的控制平面进行通信,而应用数据则在数据平面上通信。
策略引擎:该组件决定是否授予访问主体对资源的访问权限。策略引擎使用企业安全策略以及外部信息源(IP黑名单,威胁情报服务)的输入作为“信任算法”的输入,以决定授予或拒绝对资源的访问作为输出。
策略管理器:该组件负责建立和切断主体与资源之间的通信路径(通过对策略执行点PEP下达命令),如果策略引擎同意授予资源访问权限,那么策略执行点就会生成用于访问资源的身份验证令牌或凭证。如果策略引擎拒绝用户对资源的访问,那么策略管理器就会向PEP发出信号,切断用户与资源之间的通信路径。
策略执行点:此系统负责启用,监视并最终终止访问主体和企业资源之间的连接。PEP与PA通信,以转发请求和/或从PA接收策略更新。
上述三个 是最核心的组件还有一些数据源负责提供输入和决策规则,以供策略引擎在做出访问决策时使用,例如:威胁情报源,数据访问策略,身份管理系统等。
零信任架构的常见方案
一个完整的ZT解决方案将包括所有三种方案的要素,这些方案包括增强的身份治理,逻辑微隔离和基于网络的隔离(这句话 没看懂 是啥子意思呦)
基于增强身份治理的ZTA
基于增强身份治理的ZTA使用参与者身份作为策略创建的关键组件。对于这种方案,企业资源的访问策略主要基于身份和分配的属性。资源访问的主要诉求是基于给定主体身份的访问授权,但还有一些其他因素比如:使用的设备,资产状态和环境因素也会作为一部分权重进行评分计算,以此来最终决定是否授予其资源访问权限。注意:此种方案 保护资源的PEP组件必须有能力能够将请求转发到策略引擎服务,在访问授权之前进行主体身份认证和请求核准。
这种方案通常使用开放网络模型,允许外部访问者访问的企业网络或者允许网络上的常见非企业设备。也就是 网络访问始终被授权在具有访问权限的资产上,仅限于具有适当访问权限的身份。
基于微隔离的ZTA
企业将单个或一组资源放在由网关组件保护的私有网段上来实施ZTA。在这种方案中,企业将只能交换机(路由器),下一代防火墙(NGFWS)等或特殊用途的网关设备作为保护每个资源的PEP。此外,企业可以选择使用软件代理或端点资产上的防火墙来实现基于主机的微隔离,这些网关设备动态授权访问来自客户端资产的各个请求。网关可以是唯一的PEP,也可以是由网关和客户端代理组成的多部份PEP的一部分。
基于网络基础设施和软件定义边界SAP的ZTA
完全没看懂,但看起来很重要
抽象架构的常见部署方案
基于设备代理/网关的部署
如上图:PEP分为了两个组件一驻留在资源上(代理程序),一个直接位于资源前面(网关)。举个例子:用户假设发出访问访问数据库的请求,那么这个请求首先被代理程序收到,然后代理程序将请求转发到策略管理器和策略引擎进行评估给予是否授权的判定,如果请求被授权 那么就建立代理程序与数据资源前的网关之间的连接,以此来进行通信。
附:上面这段话是我理解的 我感觉实际上就是这个意思,但实际上应该更加的复杂.
基于飞地的部署
这个模型和上面的基于设备代理/网关模型是差不多的,只不过在此模型中,网管组件不驻留在资产上或在某个资源的前面,而是驻留在资源飞地上。 我的理解是:这里网关与资源可以建立一个通讯链路。
基于资源门户的部署
(没能理解这段话的意思 呜呜呜呜)
设备应用沙箱
太累了 截个图 以后有时间再看看
信任算法
对于ZTA而言,策略引擎PE可以看作是大脑,PE的信任算法(TA)则是其主要的思维过程。TA是策略引擎PE用来最终授权或者拒绝对资源访问的进程。策略引擎PE接收来自多个源的数据输入,如下图
访问请求:一些有关请求者的信息,如:操作系统版本,使用的软件(请求的应用程序是否出现在批准的应用程序列表中?),补丁级别等
主体数据库与历史记录:一组用户属性/权限
资产数据库:包含每个企业拥有的资产已知状态(包括物理和虚拟)的数据库。
资源访问请求:定义了资源访问的最低要求,如:拒绝海外ip地址的访问等
威胁情报:这是一个或多个有关一般威胁和活动恶意软件的信息源。
每个数据源都有重要性的不同权重值。通过由企业配置不同权重值或者通过专有算法得出,可以提高不同数据源对于访问策略的重要性.
信任算法的常见实施方法
有两个主要特性。第一:以上的这些因素如何被评估,无论是作为二元决策或是作为整个“得分”或信任级别的加权部分。第二:是对比来自同一主体,应用或设备的请求的差异性来评估请求。
基于条件与基于分值:
基于条件的信任算法TA假设在授予对资源的访问或允许操作(例如读/写)之前必须满足一组合格属性。这些条件由企业为每个资源独立配置。只有在满足所有条件时,才授予对资源的访问权或对资源应用操作
基于分值的信任算法TA基于每个数据源的值和企业配置的权重计算信任等级。如果得分大于资源的配置阈值,则授予访问权限或执行操作。否则,请求被拒绝或者访问权限降低。
独立与基于上下文
一个独立的信任算法TA将每个请求独立处理,在进行信任评估时并不考虑用户/应用程序的历史。这种评估的优点是速度快,但是无法检测攻击在在用户允许的角色范围内的攻击。
基于上下文的信任算法TA在评估时考虑用户或网络代理的最近历史记录。这表明PE必须维护所有用户和应用程序的某些状态信息。当攻击者使用被盗的凭据以一种被PE感知到的不同平常的模式访问信息时,攻击能被检测到或者寻求更加可靠的身份验证方式。
8852
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
