「零信任」既不是技术也不是产品,而是一种安全理念。根据 NIST《零信任架构标准》中的定义: 「零信任(Zero Trust)」提供了一系列概念和思想,假定网络环境已经被攻陷,在执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构(ZTA)则是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。
从技术视角划分,零信任的主流技术分为三种:即 SIM:S 为 SDP(Software Defined Perimeter, 软件定义边界)、I 为 IAM(Identity and Access Management,身份识别与访问管理系统),M 为 MSG(Micro-Segmentation,微隔离)。
1.软件定义边界(SDP) 软件定义边界(SDP)是被云安全联盟采纳并推崇的一种方案。这种方案还有一个更为形象的别名——“黑云”。 之所以被称为黑云,和其预期达到的效果有关。SDP 可以为企业建立虚拟边界,利用基于身份的访问控制和权限认证机制,让企业应用和服务“隐身”。 当黑客试图进行攻击时,会发现看不到目标而无法攻击,只有获得权限的业务人员可以正常访问。 根据云安全联盟的定义,SDP 的主要组件包括发起主机(客户端),接受主机(服务端)和 SDP 控制器,客户端和服务端都会连接到这些控制器。二者间的连接通过 SDP 控制器与安全控制信道的交互来管理。
2.身份识别与访问管理(IAM) 身份识别与访问管理(IAM)是网络安全领域中的一个细分方向。IAM 产品可以定义和管理用户的角色和访问权限,即决定了谁可以访问,如何访问,访问后可以执行哪些操作。
IAM 的核心主要几个方向:
3.微隔离(MSG) 微隔离通过细粒度的策略控制,可以灵活地实现业务系统内外部主机与主机的隔离,让东西向流量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。当前微隔离方案主要有三种技术路线,分别是云原生微隔离、API 对接微隔离以及主机代理微隔离,其中主机代理微隔离更加适应新兴技术不断更迭及应用带来的多变的用户业务环境。 零信任“从不信任、持续验证”的理念契合了去边界化的安全状况,现在网络安全最大的挑战是私有应用程序的访问端口十分分散,以及内部用户权限过多,这两方面正是零信任理念可以解决的问题