零信任網(wǎng)絡(luò)的概念建立在以下5個(gè)基本假定之上。
? 網(wǎng)絡(luò)無時(shí)無刻不處于危險(xiǎn)的環(huán)境中����。
? 網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅��。
? 網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的可信程度��。
? 所有的設(shè)備����、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)。
? 安全策略必須是動(dòng)態(tài)的��,并基于盡可能多的數(shù)據(jù)源計(jì)算而來��。
傳統(tǒng)的網(wǎng)絡(luò)安全結(jié)構(gòu)把不同的網(wǎng)絡(luò)(或者單個(gè)網(wǎng)絡(luò)的一部分)劃分為不同的區(qū)域�,不同區(qū)域之間使用防火墻進(jìn)行隔離。每個(gè)區(qū)域都被授予某種程度的信任���,它決定了哪些網(wǎng)絡(luò)資源允許被訪問。這種安全模型提供了非常強(qiáng)大的縱深防御能力����。比如��,互聯(lián)網(wǎng)可訪問的Web服務(wù)器等高風(fēng)險(xiǎn)的網(wǎng)絡(luò)資源,被部署在特定的區(qū)域(一般稱為“隔離區(qū)”, DMZ)��,該區(qū)域的網(wǎng)絡(luò)流量被嚴(yán)密監(jiān)控和嚴(yán)格控制。這是一種常見的網(wǎng)絡(luò)安全架構(gòu)���,如圖1-1所示。
零信任模型徹底改變了這種安全架構(gòu)�。傳統(tǒng)的網(wǎng)絡(luò)分區(qū)與隔離安全模型在過去發(fā)揮了積極作用,但是現(xiàn)在卻疲于應(yīng)對(duì)高級(jí)的網(wǎng)絡(luò)攻擊���。傳統(tǒng)的安全模型主要有以下缺點(diǎn)���。
? 缺乏網(wǎng)絡(luò)內(nèi)部的流量檢查����。
? 主機(jī)部署缺乏物理及邏輯上的靈活性。
? 存在單點(diǎn)故障���。
需要關(guān)注的是�,如果基于網(wǎng)絡(luò)位置劃分區(qū)域的需求消失了,那么對(duì)VPN的需求也就消失了��。VPN的作用是對(duì)用戶進(jìn)行身份認(rèn)證并分配IP地址����,然后建立加密的傳輸隧道���。用戶的訪問流量通過隧道傳輸?shù)竭h(yuǎn)程網(wǎng)絡(luò)�,然后進(jìn)行數(shù)據(jù)包的解封裝和路由���。或許人們從來沒有想過����,在某種程度上,VPN是一種不會(huì)遭人懷疑的后門����。
如果網(wǎng)絡(luò)的位置對(duì)于網(wǎng)絡(luò)安全失去價(jià)值,那么諸如VPN等網(wǎng)絡(luò)安全設(shè)備也會(huì)失去其原有的價(jià)值�。當(dāng)然����,這也迫使我們把安全控制的實(shí)施點(diǎn)盡可能地前推到網(wǎng)絡(luò)邊緣���,這同時(shí)也減輕了網(wǎng)絡(luò)核心設(shè)備的安全責(zé)任��。此外,大多數(shù)主流的操作系統(tǒng)都支持狀態(tài)防火墻�,交換和路由技術(shù)的進(jìn)展也為在網(wǎng)絡(luò)邊緣部署高級(jí)功能創(chuàng)造了機(jī)會(huì)����。將所有這些改變帶來的收益匯集在一起��,得出一個(gè)結(jié)論:是時(shí)候進(jìn)行網(wǎng)絡(luò)安全架構(gòu)的范式轉(zhuǎn)換了。
利用分布式策略實(shí)施和應(yīng)用零信任原則��,可以構(gòu)建如圖1-2所示的網(wǎng)絡(luò)安全架構(gòu)����。
零信任的控制平面
零信任架構(gòu)的支撐系統(tǒng)稱為控制平面�����,其他部分稱為數(shù)據(jù)平面,數(shù)據(jù)平面由控制平面指揮和配置����。訪問受保護(hù)資源的請(qǐng)求首先經(jīng)過控制平面處理��,包括設(shè)備和用戶的身份認(rèn)證與授權(quán)。細(xì)粒度的控制策略也在這一層進(jìn)行����,控制平面可以基于組織中的角色、時(shí)間或設(shè)備類型進(jìn)行授權(quán)�。
如果用戶需要訪問安全等級(jí)更高的資源���,那么就需要執(zhí)行更高強(qiáng)度的認(rèn)證。一旦控制平面完成檢查���,確定該請(qǐng)求具備合法的授權(quán)����,它就會(huì)動(dòng)態(tài)配置數(shù)據(jù)平面�����,接收來自該客戶端(且僅限該客戶端)的訪問流量��。此外,控制平面還能夠?yàn)樵L問請(qǐng)求者和被訪問的資源協(xié)調(diào)配置加密隧道的具體參數(shù)���,包括一次性的臨時(shí)憑證�、密鑰和臨時(shí)端口號(hào)等����。
雖然上述措施的安全強(qiáng)度有強(qiáng)弱之分�,但基本的處理原則是不變的�,即由一個(gè)權(quán)威的、可信的第三方基于多種輸入來執(zhí)行認(rèn)證�、授權(quán)���、實(shí)時(shí)的訪問控制等操作。
建站咨詢