作为网络安全零信任方法的一部分,应先对网络流进行身份验证,然后再对其进行处理,并通过动态策略确定访问权限。旨在永不信任并始终验证所有连接的网络,需要一种可以确定信任度并授权连接并确保将来的交易仍然有效的技术。
零信任体系结构(ZTA)的核心是授权核心,涉及网络控制平面内的设备,该核心确定此信任度并不断评估每个请求的信任度。假设授权核心是控制平面的一部分,则需要在逻辑上将其与用于应用程序数据通信的网络部分(数据平面)分开。
基于设计的ZTA和整体方法,授权核心的组件可以组合为一个解决方案,也可以通过基于硬件和/或软件的单个解决方案完全独立。这些组件包括:
- Communication Agent –访问源应提供足够的信息来计算置信度。增强的身份属性,例如用户和资产状态,位置,身份验证方法和信任评分,应包含在每个通信中,以便可以对其进行正确评估。
- 强制引擎 –也称为强制点。应将其放置在尽可能靠近保护元素(数据)的位置。您可以将其视为数据的保镖。强制引擎将根据策略授权所请求的通信,并根据策略引擎的要求,持续监视流量以停止通信。例如,执行引擎可以防止发现带有保护元素的系统。
- 策略引擎 –做出授予资产访问权限的最终决定,并通知执行引擎。策略规则取决于实现的技术,但通常涉及涉及网络服务,端点和数据类的访问者,身份,时间,地点,原因以及访问方式。
- 信任/风险引擎 –分析请求或行动的风险。信任/风险引擎将已实施的信任算法中的偏差通知策略引擎,对照数据存储评估通信代理的数据,并使用静态规则和机器学习来不断更新代理分数以及代理中的组件分数。实施信任算法可根据企业设置的标准,值和权重以及座席历史记录和其他数据的上下文视图来计算基于分数的置信度,从而提供最佳,最全面的方法来消除威胁。与不考虑历史数据和其他用户数据的算法相比,基于分数和基于上下文的信任算法将识别可能停留在用户角色内的攻击。例如,分数和基于上下文的信任算法可能会以异常方式或从无法识别的位置访问正在正常工作时间以外访问数据的用户帐户或角色。仅依赖于一组特定的合格属性的替代算法可能会评估得更快,但不会具有历史背景来了解该访问请求看起来很奇怪-并建议策略引擎在进行下一步操作之前要求进行更好的身份验证。
- 数据存储 –如上所述,一种首选方法是实施评分和基于上下文的信任算法。因此,信任/风险和策略引擎必须引用一组存储的数据,以便对访问请求或通信行为的更改做出策略决定。包含与用户,设备,工作负载以及与这些元素的历史数据和行为分析相关的分类数据相关的各种元素的库存存储,将通知决策者做出适当的访问决策。
可以根据组织的用例,业务流程和风险状况以多种方式实施ZTA。根据网络的业务功能, ZTA的授权核心设计不同。例如,在数据资源上具有代理的模型可能足以用于本地客户端到服务器的通信。但是,在云环境中,在虚拟私有云(VPC)内的每个数据资源上放置一个Enforcement Engine可能并不现实。在这种情况下,可以通过微分段从相同分类下的相等数据资产中创建资源组,并使用网关来处理策略实施。
制定的路线图或行动计划,与确定公司目前在实现“零信任”方面的结果的成熟度评估相结合,将有助于指导企业进一步投资于授权核心技术,以填补空白。在评估补充技术时,过去一直对业务有效的特定供应商的投资可能包括同一供应商。由于尚未针对授权核心的关键部分(例如,通信代理提供的数据元素,评分等)建立开放标准,因此,认真评估供应商的解决方案以填补在成熟度评估中发现的空白很重要。 。
信任算法是一个供应商的解决方案可能支持的关键组件,但另一个供应商的解决方案则不支持,或者一个供应商的解决方案的策略组成可能与其他供应商不同。而且,如果在此领域没有特定的标准,则由于将极高的迁移成本切换到另一种解决方案,企业可能会被锁定在供应商手中。对任何解决方案的评估都应包括对供应商的解决方案以及供应商的业务的整体看法,该解决方案如何与体系结构中的其他组件链接,寿命以及解决方案如何动态扩展以抵消增加的负载