构建零信任架构通常要求对网络资源给予足够的访问权限,这样用户就可以完成他们的工作任务,网络本身也可以提供帮助。
简单地说,零信任要求验证每个试图访问网络的用户和设备,并实施严格的访问控制和身份管理措施,让授权用户只能访问他们工作所需的资源。
零信任作为一种架构有许多潜在的解决方案可供选择,但这只是适用于网络领域的一种解决方案。
最小特权
最小特权是零信任的一个原则,即允许用户获得足够的资源来完成他们的工作。实现这一点的一种方法是网络分段,它根据身份验证、信任、用户角色、拓扑将网络分割成不相连的部分。如果有效实施,它可以隔离网段上的主机,并将其东西流向的通信最小化,从而在主机遭到攻击时限制附带损害的范围。由于主机和应用程序只能访问其被授权访问的有限资源,因此分段可防止网络攻击者损害网络的其余部分。
组织被授予访问权限,并根据场景授权访问资源:例如用户是谁,使用什么设备访问网络,网络位于何处,如何通信,以及为什么需要访问。
还有其他强制分段的方法。最传统的方法之一是物理隔离,也就是使用专用服务器、电缆和网络设备对网络进行物理隔离,以达到不同的安全级别。虽然这是一种行之有效的方法,但为每个用户的信任级别和角色构建完全独立的网络环境在成本方面可能很高昂。
第二层分段
另一种方法是第二层分段,通过设备和接入交换机之间的内联安全过滤将终端用户和他们的设备隔离开来。但是在每个用户和交换机之间安装防火墙的成本可能会非常昂贵。另一种方法是基于端口的网络访问控制,它基于身份验证或请求方证书授予访问权限并将每个节点分配给第三层虚拟局域网(VLAN)。
这些方法通常通过802.1x标准和可扩展认证协议在有线和无线接入网络上使用。然而,组织可能无法利用供应商的最终用户角色、身份验证凭据、设备配置文件和高级流量筛选等更全面的功能,并根据用户的可信度级别对其进行分段。
第三层分段
创建应用程序隔离区的常用方法包括将访问电缆和端口分离到第三层子网(VLAN)中,并执行内联过滤。过滤可以通过网络设备(例如路由器)执行,也可以通过对用户身份和角色有所了解的防火墙或代理服务器执行。一个典型的示例是标准的三层Web应用程序体系结构,其中Web服务器、应用程序服务器和数据库服务器位于不同的子网中。
可以采取网络切片的方法,这是一种软件定义网络的方法,网络在逻辑上被分成多个部分,类似于虚拟路由和转发场景。
当前主要的做法是为每台服务器分配自己的IPv4子网或IPv6/64前缀,并让它向网络路由器公布其子网。该服务器子网中的所有通信量都是该服务器的本地通信量,并且该主机内的虚拟网络上不会发生其他渗透。
将流量封装在IP网络顶部运行的覆盖隧道中也可以分隔网段,这可以通过多种方式实现。其中包括虚拟可扩展局域网、使用通用路由封装的网络虚拟化、通用网络虚拟化封装、无状态传输隧道和TCP分段卸载。
数据包标记(使用内部标识符标记数据包)可用于在接口之间建立信任关系,并根据其身份和授权隔离最终用户设备的数据包。组织可以在包括MPLS、802.1ad Q-in-Q、802.1AE MACsec和Cisco TrustSec在内的协议中添加标签。还有一种方法是分段路由,在IPv6包中使用一个特殊的路由报头来控制MPLS或IPv6网络上的通信路径。
美国国家标准技术研究院(NIST)的建议
美国国家标准与技术研究所(NIST)列举了零信任体系结构的逻辑组件,并提供了一些部署样式的定义。这包括基于策略决策点和策略实施点验证和验证用户。类似于云安全联盟最初构想的软件定义边界(SDP)。
这种方法采用一个软件定义边界(SDP)控制器,该控制器对用户进行身份验证,然后根据用户的角色和授权通知软件定义边界(SDP)网关允许访问特定的应用程序。该过程可以使用传统的用户名和密码,也可以使用带有一次性密码、软件令牌、硬令牌、移动应用程序或文本消息的多因素身份验证(MFA)方法。还有一种称为单数据包授权或端口断开的替代方法,该方法使用客户端浏览器或应用程序将一组数据包发送到软件定义边界(SDP)控制器,以识别用户及其设备。
还有各种各样的微分段、主机隔离和零信任网络方法。有些是在网络设备、服务器,以及在身份和访问控制系统中或在中间设备(例如代理服务器和防火墙)中实现的。零信任方法种类繁多,可以在主机操作系统、软件容器虚拟网络、虚拟机管理程序或具有软件定义边界(SDP)或IAP的虚拟云基础设施中实施。
许多零信任方法还包括终端用户节点上的软件代理以及X.509证书、相互TLS(mTLS)、单包认证(SPA)和多因素身份验证(MFA)。并非所有这些都可以完全由网络或服务器或安全管理员自己实现。为了实现一个健壮的零信任网络架构,这些技术可以通过与跨学科的IT团队的协作来实现。