关键技术助力零信任安全架构落地应用

零信任安全架构涉及多个核心技术：

1、策略引擎基于多源数据 的信任评估技术

2、实现访问行为安全控制的安全代理技术

3、细粒度访问控制的网络隔离技术

4、用于身份认证和访问的身份安全技术

5、为多样化终端提供安全防护的终端安全技术

同时，零信任核心组件与内外部信任源协同，也将覆盖多种较成熟的安全技术。

多源数据信任评估技术

零信任策略引擎具有多评估源，由内部和外部数据源提供：

1、访问请求

包括使用的操作系统版本、应用研发公司和交互协议等信息。

2、用户主体的标识信息

包括用户的账户状态、权限、历史用户行为模式等信息， 以及根据时间、用户地理位置和接入网络等信息推算出来的置信度水平。

3、资产状态

记录企业资产的物理(位置) 和虚拟(运行时间、补丁程序级别、操作 系统) 状态，用以与请求的资产状态进行对比。

4、资源访问要求

包括资源敏感级别、访问者级别、IP 黑白名单和存储方式等定义访问资源的最低要求，用以快速排除完全不符合要求的访问者。

5、威胁情报

当下系统中可能运行的威胁和恶意软件的信息。

安全代理关键技术

安全代理负责执行策略，通过拦截访问请求，从控制引擎处获得访问主体的权限判定，对认证成功并具有权限的访问主体建立相应安全访问通道。

根据用户访问场景的不同，安全代理可使用以下几种部署模式：

( 1 ) Web 代理网关

Web代理网关仅支持Web网站的接入，不支持 C/S 架构的应用， 其功能包括：

a、请求转发

b、身份获取

c、身份验证

d、操作执行

(2) 隐身网关+Web代理网关

SDP架构中将隐身网关放置于Web 代理网关前端，首先对访问主体进行身份验证，面向合法访问开放端口并与 Web 代理网关建立通信，面向非法访问保持端口关闭，具有隐私防护能力，有效避免非法访问主体对 Web 代理网关进行漏洞扫描或DDoS 攻击。

( 3 ) 网络隧道网关

网络隧道网关主要面向 C/S 架构的应用，弥补Web代理网关仅面向B/S架构应用能力的缺失，以实现全场景覆盖。

(4) API 网关

API 网关实现了统一接入、负载均衡、协议转换，具备限流、降级、熔断等措施以保护网关的整体稳定， 同时具备统一鉴权能力。

网络隔离关键技术

微隔离技术实现方式的本质为防火墙的访问控制能力。

1、代理防火墙模式

每台服务器安装防火墙代理，代理通过调用主机防火墙控制服务器间访问。

2、原生防火墙模式

使用云平台自身的虚拟分布式防火墙实现访问控制。

3、第三方防火墙模式

使用购置的防火墙实现访问控制。

身份安全关键技术

身份安全作为零信任安全重要的组成部分，是对资源提供可控安全保证的核心，核心能力主要包括：

IAM (Identity and Access Management)：主要目标是保障用户从登录系统到授予其权限，再到登出系统的整个过程中，在适当的情况下赋予准入用户对企业内资产的访问权。

SSO (单点登录)：可以实现一次登陆多次访问，有权限用户在约定期内无需为每个应用单独做身份认证，SSO 服务器会代表用户完成验证。

目录服务(如 OpenLDAP, Microsoft AD，第三方认证源) :可以维护资源与地址的映射关系，可以提供高性能的身份管理，并配合 SSO 使得用户使用一套身份即可访问企业内服务。

MFA (多因子认证)：辅助建立了多层次的防御，通过多种身份验证方式验证未授权人员，从而加强身份验证的安全性。

终端安全关键技术

通过对多类型终端进行统一纳管， 从应用运行、设备管理等方面 进行全方位防护。

保证终端设备安全的手段：

1、应用安全沙箱，保障企业应用在 BYOD 上安全运行。

2、数据不落地， 保障特殊工作信息安全。

3、MDM (移动设备管理) 系统构建，助力员工开箱即用。