零信任身份与访问管理
零信任其实不是一个新概念,早在2010年的时候Forrester的Johnkindervag就提出了zerotrustarchitecture理念,希望可以解决传统边界安全带来的问题,以后又有云安全同盟的软件定义边界(SDP)模型,和google的beyondcorpproject以各自不同的思想来实践,直到ISC2018大会后该理念在国内迅速传播开来,并愈来愈遭到行业重视,在这里对这几类架构进行简单介绍,便于后续内容理解。
(1)Zerotrustarchitecture(ZTA)
ZTA在2010年提出的时候,是希望可以解决传统边界安全模型没法防御内部要挟,或是被突破边界后的要挟而提出,主要的思想是在网络层,将网络尽量小的分段,并通过隔离网关来控制出入流量,并辅以其他安全能力来减少传统边界被突破后的风险,类似于网络微隔离。
在实现上ZTA提议将交换机扁平化便于弹性扩大,以中心化、集中化的模式进行统一管理。在网关中对网络数据实现可视分析能力,并整合传统内容过滤、访问控制、数据防泄密、web利用防火墙等能力在隔离网关上。
以现在的眼光来看,2010年的ZTA可以看做是对传统网络安全模型的一次架构升级,本质上区分其实不大,只是网络层面上划分的更细,功能整合的更多,和现在我们所谈的零信任架构的核心思想或有比较大的区分的。
(2)软件定义边界(SDP)
2013年云安全同盟推出了软件定义边界(SDP)模型,该模型抽象了client、controller、gateway、resources等几类角色,主要思想是引入了对身份和装备的辨认校验,通过controller统一授权后,将访问要求调度给SDP网关来对后面保护的资源进行访问。
在SDP中参与安全控制的核心角色是前三类,分别承当的主要功能以下:
client:部署在用户终端处,负责对装备和人的认证授权;
controller:SDP的核心认证、评估和策略管理中心,由它来分配资源;
Gateway:受保护资源的防护节点,负责隧道的加密、访问控制来实现对后面的资源保护。
一次完全的访问进程是需要经过授权的client经controller认证和评估安全性后,分配到指定的gateway上通过加密方式访问后面的资源,可以对网络到上层利用进行全面保护,云安全同盟也试图通过这类架构来解决不同的云安全模式,例如SaaS、PaaS的场景。
SDP是实际上得到了很多厂家支持的方案,很多网络安全装备公司出的零信任解决方案大多来自SDP的模型。
