零信任解决方案的SDP 微隔离 IAM介绍

该模型围绕一个应用程序或一组应用程序创建基于身份和上下文的逻辑访问边界。这种情况下，应用程序隐藏起来无法发现，并且通过受信任的代理限制对一组命名实体的访问。这会将应用程序资产从公共可见性中移除并减少攻击面。
云安全联盟 (CSA) 在其 2020 年报告《软件定义边界》 (SDP) 和《零信任》 中也支持这一演变，将 SDP 视为“网络层零信任”。

网络分段

尽管软件定义边界（SDP）提供了一种实现零信任架构的方法，但必须同时进行如下工作：采取分段（在零信任文献中常称为微隔离）的方法，用默认拒绝模型减小攻击面并防止横向移动特征造成的数据泄露问题。网络分段功能允许访问之前强制执行身份验证和授权，而SDP正是该功能的一种进阶——在网络分段的基础上对共享网络链接使用密钥加密。另一种基于主机的分段方法则不需要使用密钥：通过控制主机防火墙建立认证信道，以在大规模异构计算系统平台（私有部署、公共和私有云、容器）上实施动态策略和分段控制，同时允许策略随工作负载变化。
为了保证安全性，使用网络分段时需要创建多个安全分区，这些安全分区根据服务类型及其通信关系、用户身份、每个分区的数据敏感程度定义^22 。传统的网络安全分区模式受到资源开销、防火墙规则管理的复杂性和集成风险的限制，从而导致可选用的安全分区数量受限且粒度较大，这与“减小攻击面/最小权限”的零信任准则相悖。此外，一些先进的组织机构采用了最新应用架构，其工作负载可能运行在虚拟机、容器、无状态服务器上，导致传统方法可能很难在应用了容器、无服务器和托管云服务等新兴技术的环境下有效分段。
软件定义网络（SDN）将管理流量的网络控制平台与转发平台分离，可以通过API编辑网络控制，允许更多的动态流量调整和微分段链路的分段控制。通过SDN实现的分段使人们可以创建更细粒度的安全分区。
一套完整的分段解决方案需要提供关于工作负载、设备/端点和用户识别信息的全面和统一的可视化集成。理想情况下，它还可以在预防性和响应性的安全事件场景中自动、协调地分段。随着零信任技术的成熟，合并元数据标签治理的功能将帮助实现分段的自动化与协调化。
云服务提供商（CSP）为许多IT组织提供安全、可扩展性、敏捷的计算以及存储业务，其地位至关重要，因此在零信任框架中普遍采用SDP和SDN的情况尤其值得关注。如今，云服务提供商使用SDN作为设计、搭建、运营全球范围IPv 4 和IPv 6 网络的零信任方法。这也反过来促使云服务商提升其安全性和本地服务的可用性，以便更好地支持庞大的客户与合作伙伴群体的零信任环境。每个组织需要考虑如何将本地资源和第三方服务提供商的作用发挥到最大程度，从而依照路线图稳步推进零信任架构的研发和部署工作。

服务网格

零信任框架的另一项重要技术考量是基于容器实现的服务网格——一种实现配置和管理集中化的架构技术。在现代云计算环境中，容器已经成为首选的应用架构。因为现有的容器已经能以很高的效率部署，所以很有可能在IT架构中大量增加端点数量。如果不使用服务网格技术，将很难实现在跨容器环境广泛部署安全策略的目标。
现在大多数新的容器环境都由Kubernetes，RedHat OpenShift，DockerSwarm，Nomad以及AWS的云容器服务等容器平台提供 。容器平台通常不支持容器内通信安全，而服务网格已经发展为支持容器环境下安全地管理、部署和实时业务流的一种解决方案。边车容器（Sidecar Container）或边车进程（SidecarProcess）是实现服务网格的主要方法。边车容器或进程常部署为策略执行点(PEP)，为基于容器的工作负载提供前端安全性保证。Kubernetes集群中的策略执行点应具有高性能和安全代理的特点，用以承担策略执行和安全保护（如web应用防火墙）工作。集中化的配置管理服务可以作为网络安全规则的策略决策点（PDP），通常与访问控制和事件监测模块关联。这种Kubernetes内部架构应该与控制界面和企业的ICAM服务良好地集成，同时支持传统与新兴的认证标准。将零信任扩展到容器化的微服务端点的一个创新实践是实现一个ISTIO之类的服务网格。ISTIO是一种开源的服务网格搭建方案，提供一种为已部署的服务快捷建立服务网格的方法，对基于Kubernetes的容器化应用产品是透明的 。正如美国国防部一号平台（DepartmentofDefensePlatformOne）所证实的那样，它非常适合支持今天的DevSecOps环节 。ISTIO解决方案可以为容器环境提供与NIST零信任架构SP 800 - 207 标准草案一致的零信任架构解决方案。

边缘计算

基于Kubernetes的新式应用程序架构日渐普及的同时，企业持续将IT基础设施分散部署到多个云服务提供商，对多个部署位置的零信任架构ZTA进行管理的需求将会涌现（如在本地、多云、甚至在最接近用户的网络边缘）。“边缘”(Edge)计算是另一个不断发展的考虑要点，在未来几年，它对于机器人、自动驾驶汽车、增强现实（AR）等互联行业将变得越来越至关重要。由高度分布式应用程序组成的世界将需要现代堆栈中的所有组件。然而，对用户来说，安全且透明的边缘计算将引入加强安全性的需求，例如在分布式应用程序及其应用程序源（云端或本地）的“网格（Mesh）”上建立零信任架构ZTA的能力。这种分布式应用程序的概念可能认为是“边缘 2. 0 ”(Edge 2. 0 )^26 ，考虑到对处理本地遥测和/或双向数据交换请求的传统云基础设施的扩展日趋复杂，它将需要更成熟的ZTA设计。

策略即代码

本文最后的技术考虑要点是策略即代码（PolicyasCode）的重要性。策略即代码的目标是跨越不同的技术实现统一的策略执行（不局限于云原生）。这一目标通过CI/CD环节以及基于单声明策略的ABAC和RBAC中对合规性和配置自动实施。这使得它非常适合正在尝试零信任架构ZTA成熟化的混合和云环境。
策略即代码实现了一个声明性机制，以执行服务的合规验证和访问规则，通过对部署前检查/测试（企业和/或监管架构）进行标准化评估实现所需的状态运行时控制。这是零信任架构ZTA中包含的一种赋能的技术方法。因为策略是以代码的形式实现的，使用和源代码控制相同的方法，即创建文档化的审计轨迹，因此可根据应用程序和服务接口的严格要求，对定义操作性访问和服务依赖关系的规则进行标记或映射，实现了在云原生环节中编写策略实例化的框架。
开放策略代理（OPA）是一个于 2018 年启动的项目，并于 2021 年 2 月通过云原生计算基金会（CNCF）^27 完成，帮助定义和实践策略即代码。如图 6 所示，OPA实际上是一个准入控制器，也是一个PEP，通过声明性规则引擎和自动化在集成和部署环节中实施特定的需求和检查。OPA可以作为库或守护进程实现，与Kubernetes、API AuthZ和Linux PAM环境集成。在处理每个API请求时，需要执行该策略的应用程序或服务向OPA请求以获得PEP决策。因此，它通过强制访问和配置策略一致性增强ZTA

身份感知代理

策略即代码的一个例子是身份感知代理（IAP）。身份和上下文感知是零信任架构ZTA中访问控制的基石；身份、上下文和访问意图结合，也是IAP的基础。IAP要求使用可信的身份根认证用户及其设备，以及用户可以授权访问的内容，这就是身份感知访问。IAP使用代理层提供经认证和授权的对特定资源的安全访问，因此，IAP允许企业使用零信任改造传统网络，在应用程序之前放置一个智能代理执行企业安全策略。
IAP关注于应用层的身份和访问，依赖于访问控制，而不是防火墙规则。配置的策略反映了用户和访问意图，而不是端口和IP地址。此外，IAP基于最小特权访问原则建立了一个中央授权层，并基于每个单独的请求执行访问控制，为零信任提供了实践治理模型。使用IAP，任何访问请求都可被终止、检查或重新检查、修改和授权。

参考材料
安全牛 现代企业零信任安全构建应用指南研究报告 2021
CSA 实战零信任架构
CSA 软件定义边界(SDP)标准规范2.0