NIST 标准的发布,首次提出了零信任的官方标准定义以及实践技术架构,强调零信任是个安全理念而非技术,并指出目前实现零信任架构的三大技术“SIM”,即软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)。零信任架构 软件定义边界(SDP)SDP 旨在使应用程序所有者能在需要时部署安全边界,以便将服务与不安全的网络隔离开。SDP 将物理设备替换为在应用程序所有者控制下运行的逻辑组件,仅在设备验证和身份验证后才允许访问企业应用基础架构。 从架构上讲,基于 SDP 的系统通常会实施控制层与数据层的分离,即控制流阶段,用户及其设备进行预认证来获取丰富的属性凭据作为身份主体,以此结合基于属性的预授权策略,映射得到仅供目标访问的特定设备和服务,从而可以直接建立相应安全连接。 SDP架构身份识别与访问管理(IAM)零信任强调基于身份的信任链条,即该身份在可信终端,该身份拥有权限才可对资源进行请求。传统的 IAM 系统可以协助解决身份唯一标识、身份属性、身份全生命周期管理的功能问题。通过 IAM 将身份信息(身份吊销离职、身份过期、身份异常等)传递给零信任系统后,零信任系统可以通过 IAM 系统的身份信息来分配相应权限,而通过 IAM 系统对身份的唯一标识,可有利于零信任系统确认用户可信,通过唯一标识对用户身份建立起终端、资源的信任关系,并在发现风险时实施针对关键用户相关的访问连接进行阻断等控制。 微隔离(MSG)微隔离本质上是一种网络安全隔离技术,能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载级别,然后为每个独立的安全段定义访问控制策略。它主要聚焦在云平台东西向流量的隔离,一是区别传统物理防火墙的隔离作用,二是更加贴近云计算环境中的真实需求。微隔离将网络边界安全理念发挥到极致,将网络边界分割到尽可能的小,能够很好的缓解传统边界安全理念下的边界过度信任带来的安全风险。
