簡單地說,零信任要求驗證每個試圖訪問網絡的用戶和設備,并實施嚴格的訪問控制和身份管理措施,讓授權用戶只能訪問他們工作所需的資源。
零信任作為一種架構有許多潛在的解決方案可供選擇,但這只是適用于網絡領域的一種解決方案。
最小特權
最小特權是零信任的一個原則,即允許用戶獲得足夠的資源來完成他們的工作。實現這一點的一種方法是網絡分段,它根據身份驗證、信任、用戶角色、拓撲將網絡分割成不相連的部分。如果有效實施,它可以隔離網段上的主機,并將其東西流向的通信最小化,從而在主機遭到攻擊時限制附帶損害的范圍。由于主機和應用程序只能訪問其被授權訪問的有限資源,因此分段可防止網絡攻擊者損害網絡的其余部分。
組織被授予訪問權限,并根據場景授權訪問資源:例如用戶是誰,使用什么設備訪問網絡,網絡位于何處,如何通信,以及為什么需要訪問。
還有其他強制分段的方法。最傳統的方法之一是物理隔離,也就是使用專用服務器、電纜和網絡設備對網絡進行物理隔離,以達到不同的安全級別。雖然這是一種行之有效的方法,但為每個用戶的信任級別和角色構建完全獨立的網絡環境在成本方面可能很高昂。
第二層分段
另一種方法是第二層分段,通過設備和接入交換機之間的內聯安全過濾將終端用戶和他們的設備隔離開來。但是在每個用戶和交換機之間安裝防火墻的成本可能會非常昂貴。另一種方法是基于端口的網絡訪問控制,它基于身份驗證或請求方證書授予訪問權限并將每個節點分配給第三層虛擬局域網(VLAN)。
這些方法通常通過802.1x標準和可擴展認證協議在有線和無線接入網絡上使用。然而,組織可能無法利用供應商的最終用戶角色、身份驗證憑據、設備配置文件和高級流量篩選等更全面的功能,并根據用戶的可信度級別對其進行分段。
第三層分段
創建應用程序隔離區的常用方法包括將訪問電纜和端口分離到第三層子網(VLAN)中,并執行內聯過濾。過濾可以通過網絡設備(例如路由器)執行,也可以通過對用戶身份和角色有所了解的防火墻或代理服務器執行。一個典型的示例是標準的三層Web應用程序體系結構,其中Web服務器、應用程序服務器和數據庫服務器位于不同的子網中。
可以采取網絡切片的方法,這是一種軟件定義網絡的方法,網絡在邏輯上被分成多個部分,類似于虛擬路由和轉發場景。
當前主要的做法是為每臺服務器分配自己的IPv4子網或IPv6/64前綴,并讓它向網絡路由器公布其子網。該服務器子網中的所有通信量都是該服務器的本地通信量,并且該主機內的虛擬網絡上不會發生其他滲透。
將流量封裝在IP網絡頂部運行的覆蓋隧道中也可以分隔網段,這可以通過多種方式實現。其中包括虛擬可擴展局域網、使用通用路由封裝的網絡虛擬化、通用網絡虛擬化封裝、無狀態傳輸隧道和TCP分段卸載。
數據包標記(使用內部標識符標記數據包)可用于在接口之間建立信任關系,并根據其身份和授權隔離最終用戶設備的數據包。組織可以在包括MPLS、802.1ad Q-in-Q、802.1AE MACsec和Cisco TrustSec在內的協議中添加標簽。還有一種方法是分段路由,在IPv6包中使用一個特殊的路由報頭來控制MPLS或IPv6網絡上的通信路徑。
美國國家標準技術研究院(NIST)的建議
美國國家標準與技術研究所(NIST)列舉了零信任體系結構的邏輯組件,并提供了一些部署樣式的定義。這包括基于策略決策點和策略實施點驗證和驗證用戶。類似于云安全聯盟最初構想的軟件定義邊界(SDP)。
這種方法采用一個軟件定義邊界(SDP)控制器,該控制器對用戶進行身份驗證,然后根據用戶的角色和授權通知軟件定義邊界(SDP)網關允許訪問特定的應用程序。該過程可以使用傳統的用戶名和密碼,也可以使用帶有一次性密碼、軟件令牌、硬令牌、移動應用程序或文本消息的多因素身份驗證(MFA)方法。還有一種稱為單數據包授權或端口斷開的替代方法,該方法使用客戶端瀏覽器或應用程序將一組數據包發送到軟件定義邊界(SDP)控制器,以識別用戶及其設備。
還有各種各樣的微分段、主機隔離和零信任網絡方法。有些是在網絡設備、服務器,以及在身份和訪問控制系統中或在中間設備(例如代理服務器和防火墻)中實現的。零信任方法種類繁多,可以在主機操作系統、軟件容器虛擬網絡、虛擬機管理程序或具有軟件定義邊界(SDP)或IAP的虛擬云基礎設施中實施。
許多零信任方法還包括終端用戶節點上的軟件代理以及X.509證書、相互TLS(mTLS)、單包認證(SPA)和多因素身份驗證(MFA)。并非所有這些都可以完全由網絡或服務器或安全管理員自己實現。為了實現一個健壯的零信任網絡架構,這些技術可以通過與跨學科的IT團隊的協作來實現。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號