零信任安全架构涉及多个核心技术:
1、策略引擎基于多源数据 的信任评估技术
2、实现访问行为安全控制的安全代理技术
3、细粒度访问控制的网络隔离技术
4、用于身份认证和访问的身份安全技术
5、为多样化终端提供安全防护的终端安全技术
同时,零信任核心组件与内外部信任源协同,也将覆盖多种较成熟的安全技术。
多源数据信任评估技术
零信任策略引擎具有多评估源,由内部和外部数据源提供:
1、访问请求
包括使用的操作系统版本、应用研发公司和交互协议等信息。
2、用户主体的标识信息
包括用户的账户状态、权限、历史用户行为模式等信息, 以及根据时间、用户地理位置和接入网络等信息推算出来的置信度水平。
3、资产状态
记录企业资产的物理(位置) 和虚拟(运行时间、补丁程序级别、操作 系统) 状态,用以与请求的资产状态进行对比。
4、资源访问要求
包括资源敏感级别、访问者级别、IP 黑白名单和存储方式等定义访问资源的最低要求,用以快速排除完全不符合要求的访问者。
5、威胁情报
当下系统中可能运行的威胁和恶意软件的信息。
安全代理关键技术
安全代理负责执行策略,通过拦截访问请求,从控制引擎处获得访问主体的权限判定,对认证成功并具有权限的访问主体建立相应安全访问通道。
根据用户访问场景的不同,安全代理可使用以下几种部署模式:
( 1 ) Web 代理网关
Web代理网关仅支持Web网站的接入,不支持 C/S 架构的应用, 其功能包括:
a、请求转发
b、身份获取
c、身份验证
d、操作执行
(2) 隐身网关+Web代理网关
SDP架构中将隐身网关放置于Web 代理网关前端,首先对访问主体进行身份验证,面向合法访问开放端口并与 Web 代理网关建立通信,面向非法访问保持端口关闭,具有隐私防护能力,有效避免非法访问主体对 Web 代理网关进行漏洞扫描或DDoS 攻击。
( 3 ) 网络隧道网关
网络隧道网关主要面向 C/S 架构的应用,弥补Web代理网关仅面向B/S架构应用能力的缺失,以实现全场景覆盖。
(4) API 网关
API 网关实现了统一接入、负载均衡、协议转换,具备限流、降级、熔断等措施以保护网关的整体稳定, 同时具备统一鉴权能力。
网络隔离关键技术
微隔离技术实现方式的本质为防火墙的访问控制能力。
1、代理防火墙模式
每台服务器安装防火墙代理,代理通过调用主机防火墙控制服务器间访问。
2、原生防火墙模式
使用云平台自身的虚拟分布式防火墙实现访问控制。
3、第三方防火墙模式
使用购置的防火墙实现访问控制。
身份安全关键技术
身份安全作为零信任安全重要的组成部分,是对资源提供可控安全保证的核心,核心能力主要包括:
IAM (Identity and Access Management):主要目标是保障用户从登录系统到授予其权限,再到登出系统的整个过程中,在适当的情况下赋予准入用户对企业内资产的访问权。
SSO (单点登录):可以实现一次登陆多次访问,有权限用户在约定期内无需为每个应用单独做身份认证,SSO 服务器会代表用户完成验证。
目录服务(如 OpenLDAP, Microsoft AD,第三方认证源) :可以维护资源与地址的映射关系,可以提供高性能的身份管理,并配合 SSO 使得用户使用一套身份即可访问企业内服务。
MFA (多因子认证):辅助建立了多层次的防御,通过多种身份验证方式验证未授权人员,从而加强身份验证的安全性。
终端安全关键技术
通过对多类型终端进行统一纳管, 从应用运行、设备管理等方面 进行全方位防护。
保证终端设备安全的手段:
1、应用安全沙箱,保障企业应用在 BYOD 上安全运行。
2、数据不落地, 保障特殊工作信息安全。
3、MDM (移动设备管理) 系统构建,助力员工开箱即用。