作者| Malcolm Heath 、Sander Vinberg
了解什么是零信任架构(ZTA)以及如何将其应用于你的环境
上周推出的上篇《什么是零信任架构(ZTA)》介绍了零信任的概念、优势及劣势;本文将着重介绍零信任整体战略、部署的变体和情景模拟。
01方法
这些方法代表了高层次的企业架构的关注,并表现了整体的零信任战略。
1
强化身份治理
这种方法将政策决定的大部分放在用户身份上。其他请求参数,如设备状态和行为可以作为因素,但它们不是主要的标准。这意味着政策决定的关键将取决于所申请身份的分配权限。这种方法是相对集中的,由单一或少数身份供应服务控制所有身份的访问。
2
微分割
这种方法主要使用网关组件(如智能路由器或防火墙)作为类似资产组的 PEP,而这些组件的管理则起到 PDP 的作用。这种方法是相对分散的,如果使用基于软件的执行代理,网段可以小到一个资产。
3
网络基础设施和软件定义的界限
这种方法也使用网络基础设施来执行政策,类似于上面的微分割方法,但通过动态配置网络来允许批准的连接。
02
部署的变体
这些部署的变体规模较小,用于设置单个组件或组件组,比上述方法能够提供更多战术指导。
1
基于设备代理/网关的部署
这种部署方式将 PEP 分成两个代理,一个在请求方,一个在资源方,它们在请求时相互通信。请求资产上的代理负责将请求路由到适当的网关;资源方的网关与 PDP 进行通信,以评估资产的要求。这种部署通常与上面列出的微分割和软件定义的界限方法配合得很好。
2
基于飞地的部署
这种部署模式类似于我们刚才讨论的设备代理/网关模式,只是网关保护的是一个资源飞地,即类似资源或功能的组合。
这种方法代表了对零信任原则的某种妥协(信任架构的一点一滴),因为它在理论上使在飞地内有权限的行为者有可能对该飞地内的任何资源采取行动。这代表了一种在系统上实现零信任的方式,这种方式不适合一些更细化的方法,但它给权限和基于角色的访问控制带来了必须精准的额外负担。
3
资源门户
这种部署是相对集中的,由一个单一的系统代表所有资产(或一大组资产)的PEP。这种方法具有灵活性的优势,因为它不需要所有客户资产上的代理,但与其他方法相比,它也限制了对用户姿态和行动的可视化和控制。
4
设备应用虚拟化
这种方法使用虚拟化,如虚拟机或容器,将应用与它所运行的资产隔离。虚拟化在很大程度上被看作是保护服务器不受工作负载影响的一种方式,而在零信任架构中,这种方法保护工作负载不受其需要运行的不可信任的资产影响。
03
情景模拟
NIST的方案是他们提供的最具战略性的商业领域的例子,对于帮助商业利益相关者理解零信任的实际意义很有帮助。
1
拥有卫星设施的企业
在这种情况下,一个拥有单一主要设施的企业可能需要向次要设施或远程工作人员授予访问权。虽然对卫星工作人员来说,访问一些资源是必要的,但更重要的资产可能在现场访问被限制,其他控制措施可以促进整体态势。
在这种情况下,PDP 最有可能是一个云服务,而 PEP 将表现为用户端点上的代理,或表现为一个资源门户,如 Webtop。许多企业已经实施了实现这一目标所需的架构,只需要进一步扩展他们的认证流程,就可以实现真正的 ZTA。
2
多云/云端对云端企业
在这种情况下,一个企业的资源可能被托管在两个独立的云环境中,这使得所有流量通过一个集中的企业内部接入点进入。因此,每个应用、服务或数据源将有一个控制访问的 PEP,用户将连接到每个 PEP,PEP 将与基于云的 PDP 通信。
3
有合同服务/非员工访问的企业
这是一个特定的场景,来自外部企业的员工需要访问某些资源(可能只是简单地访问互联网),但不应该访问企业局域网中的所有资产。
资源门户或安装在经过审查的资产上的代理将作为 PEPs,那些在门户上缺乏正确凭证或正确代理的用户将可以访问互联网和任何面向公众的资源,但不能访问企业资产。
4
跨企业边界的协作
这代表了这样一种情况:一个企业的员工需要访问合作伙伴控制下的特定资源,但合作伙伴需要控制与开放其环境有关的风险。基于云的 PDP,与本地代理或 PEP 的网络门户配对,将允许企业授予对特定资源的访问,而不必改变他们的网络或企业架构。
5
拥有面向公众/客户的服务的企业
在这种情况下,企业需要授予用户对完全不受企业控制的资产的访问权。如果资源是完全公开的,没有访问控制,就没有风险,因此不需要零信任,但一旦用户或客户要认证访问特定的资源,分散环境中的用户管理就变得费力了。
鉴于控制用户资产安全状况的困难,在这种情况下,ZTA 将大量使用行为指标来评估请求是否是无害的。在实践中,这看起来像一个资源门户网站或 Webtop,但在幕后有增强的 PEP 功能。
04
总结
希望这篇文章已经解决了一些围绕零信任的困惑,以及将原则转化为架构、将架构转化为运营所需的具体要素。
也许理解零信任概念的关键是关注 PEPs、PDPs、它们的集中化程度,以及验证和授权请求而不是用户的基本目标。零信任可以是一种控制风险的变革性方法,也可以成为另一种没有多少实质内容的趋势,而我们理解其理论和实践之间差异的能力将决定它的走向。