首页 > 编程笔记 > 通用技能 阅读:2

零信任网络是什么(通俗易懂)

零信任网络中存在如下 5 个基本断言:
  1. 网络无时无刻不在危险之中;
  2. 网络始终面临着内部和外部威胁;
  3. 仅根据网络位置不足以确定是否可信;
  4. 所有设备、用户和网络流都必须经过认证和授权;
  5. 安全策略必须是动态的,并根据尽可能多的数据源来确定。

传统的网络安全架构将不同的网络(或单一网络的不同部分)划分为不同的区域,并使用防火墙来隔离不同的区域。每个区域都被赋予不同的信任等级,而信任等级决定了可访问的网络资源。

这种模型提供了极其强大的纵深防御能力,例如,对于风险较高的资源,如面向公共网络的 Web 服务器,将其放在隔离区(DMZ),并对进出该区域的流量加以严密的监视和控制。这种做法催生了一种类似于下图所示的架构(你以前可能见过)。


图 1 传统的网络安全架构

为了改善这种传统的网络安全架构,存在很多权宜之计,但面对现今的网络攻击形势,这些措施收效甚微。传统的网络安全架构存在如下缺点:
必须指出的是,如果不再根据网络位置来确定可信度,VPN 也就没有存在的必要。

VPN 让用户能够进行认证,以获取位于远程网络中的 IP 地址;再通过隧道技术将流量传输到远程网络,流量到达远程网络后被解封装并路由。这是一个严重的安全后门,但未曾被人怀疑。如果宣称网络位置对确定可信度毫无价值,诸如 VPN 等多种现代网络通信方式将惨遭淘汰。当然,这意味着必须将安全措施实施点尽可能前推到网络边缘,同时意味着网络核心无须再承担这种职责。

另外,所有主流操作系统都提供了有状态防火墙,交换和路由技术也取得了长足进展,这让人能够在网络边缘部署高级功能。考虑到所有这些因素,可得出如下结论:转变网络安全范式正当其时。

通过分散地执行安全策略并遵循零信任原则,可构建出类似于下图所示的网络安全架构。


图 2 零信任架构

零信任模型中的控制平面

在零信任模型中,支持系统被称为控制平面。除控制平面以外的其他部分都属于数据平面,由控制平面进行协调和配置。

针对受保护资源的访问请求,将先由控制平面进行处理,对设备和用户进行认证和授权。这一层将应用细粒度的控制策略,可能考虑如下因素:在组织中的角色、在一天中的什么时间访问、地理位置和设备类型。如果要访问的是安全等级较高的资源,可能需要强制进行更高强度的认证。

确定请求得到许可后,控制平面动态地配置数据平面,使其接收来自该客户端(也仅限该客户端)的流量。另外,控制平面还可能进行协调,以确定要在请求者和资源之间建立的加密隧道的细节,这可能包括一次性的凭证、密钥和临时端口号。

需要指出的是,控制平面对于请求的许可决策是有时间限制的,而不是永久性的。这意味着,如果最初促使控制平面做出许可决策的因素发生变化,控制平面可以与数据平面进行协调,进而撤销资源访问权限。

对于上述措施,在严格程度上可以做出一些妥协,但基本理念是不变的,那就是由权威方或可信的第三方根据各种输入实时认证、授权和协调访问。

相关文章