零信任里最硬核的概念,今天讲完!

安全 零信任
零信任安全控制中心就是SDP里的Controller、谷歌 BeyondCorp里的“访问控制引擎(ACE,Access Control Engine)”和NIST 的“策略决策点(PDP)”的抽象。

零信任体系架构图本质上是零信任的概念拼图,今天讲“零信任模式”的“访问控制组件”。该架构图已经更新到1.4版。

图:零信任体系架构图V1.4图:零信任体系架构图V1.4

今天咱们就谈谈“访问控制组件”的演化过程,很明显,访问控制组件是随着访问控制策略的变化而演化的。

如果我们把视野再拉回到《NIST SP800-207 零信任架构》,可能对美国国家标准化委员会(NIST)零信任架构里的两个核心组件印象深刻:策略执行点(PEP,Policy Enforcement Point)和策略决策点(PDP, Policy Decision Point)。

这两个P,其实是沿袭了“可扩展的访问控制标记语言(XACMLL,Extensible Access Control Markup Language)”里的定义。


XACML中的4P

2006年,NIST在对访问控制系统研究过程中特别是RBAC的研究中,引用了“可扩展的访问控制标记语言(XACML)”。该语言是由“结构化信息标准推进组织(OASIS,The Organization for the Advancement of Structured Information Standards)”定义的。

图:XACML架构图:XACML架构

这里面除了策略执行点(PEP)和策略决策点(PDP)外,还定义了“策略访问点(PAP,Policy Access Point)”和“策略信息点(PIP,Policy Information Point)”。

策略执行点(PEP)基于用户的属性、请求的资源、指定的动作构造请求,通过策略信息点(PIP)获取其他环境信息。

策略决策点(PDP)接收构造的请求,通过策略接入点(PAP)将其适用的策略和系统状态进行比较,然后将允许访问或拒绝访问的结果返回给策略执行点(PEP)。

策略决策点(PDP)和策略执行点(PEP)即可以集成在一个应用里,也可以分散在网络中。

企业级ABAC访问控制机制中的4P

2014年,NIST在对ABAC的专题研究中,将企业级ABAC的访问框架与XACML架构的基本逻辑保持了一致,只是把“策略访问点(PAP,Policy Access Point)”换成了“策略管理点(PAP,Policy Administration Point)”。

图:企业级ABAC的访问控制机制(ACM)示例图:企业级ABAC的访问控制机制(ACM)示例

NIST零信任架构里的2P与4P

2019年,NIST定义了零信任架构。

图:NIST零信任架构的核心组件图:NIST零信任架构的核心组件

其中,把前面提到的“策略信息点(PIP)”变成了“策略引擎(PE,Policy Engine)”;把前面提到的“策略管理点(PAP)”变成了“策略管理器(PA,Policy Administrator)”。

然后把“策略引擎(PE)”和“策略管理器(PA)”装进了“策略决策点(PDP)”组件里。

CSA的通用零信任抽象架构

2024年,云安全联盟(CSA)把零信任进一步抽象成了下面的架构:

图:通用零信任抽象架构图:通用零信任抽象架构

其中,零信任安全控制中心就是SDP里的Controller、谷歌 BeyondCorp里的“访问控制引擎(ACE,Access Control Engine)”和NIST 的“策略决策点(PDP)”的抽象。

其中,零信任安全代理就是SDP里的连接接受主机(AH,Accepting Host)、谷歌 BeyondCorp里的“访问代理(Access Proxy)”和NIST的“策略执行点(PEP)”的抽象。

图:通用零信任抽象架构与其它零信任架构的关系图:通用零信任抽象架构与其它零信任架构的关系

所以你会发现,零信任模式其实就是基于两大平面的信任管理与基于ABAC的访问控制,这就是零信任的内核与灵魂。

责任编辑:武晓燕 来源: 锐安全
相关推荐

2021-01-13 10:56:37

MybatisAPIMybatis 架构

2023-07-07 00:50:28

2020-05-06 14:14:50

Linux依赖软件

2024-09-27 17:08:45

2020-08-24 09:31:59

零信任网络安全网络攻击

2021-05-04 22:31:15

零信任网络安全网络攻击

2018-12-11 11:55:21

零信任网络安全信任

2021-05-30 19:19:23

零信任网络安全身份访问

2020-12-14 09:46:12

VS Code代码编程

2022-07-20 15:56:02

零信任网络安全漏洞

2021-03-04 23:14:15

零信任网络安全信息泄露

2021-04-21 10:00:03

企业数字化

2022-07-01 09:00:00

零信任网络安全Kubernetes

2022-09-01 08:01:59

零信任TNA网络

2021-03-30 08:50:26

零信任架构零信任网络威胁

2022-08-18 23:13:25

零信任安全勒索软件

2021-04-21 10:00:25

数字化

2020-08-16 08:48:51

零信任网络安全网络攻击

2022-07-18 13:36:13

零信任网络安全

2021-09-10 15:28:43

零信任云计算防御
点赞
收藏

51CTO技术栈公众号