整体架构
上篇介绍了零信任的基础知识,这篇主要介绍下零信任的架构。
NIST 《零信任架构》白皮书定义的逻辑架构图
零信任架构主要分为三个核心逻辑架构,三个核心分别为策略决策点PDP(PE+PA)、策略执行点PEP和外部支撑系统。
策略决策点PDP(PE+PA)
策略决策点主要有策略引擎(PE)和策略管理器(PA)组成,策略决策点的主要作用就是对每个访问请求的身份以及安全状态做访问控制决策,
策略引擎
负责最终决定是否授权指定客户端对服务端的访问权限。
注:这里的客户端在零信任中指的是访问的主体,而服务端就是访问的客体,这里我使用客户端和服务端做代替是为了更好的理解。
策略管理器
负责建立客户端与服务端的逻辑连接,负责生成客户端访问服务端的所有身份认证令牌或者凭证,并且依赖策略引擎的决定来确定最终允许或者拒绝连接。
策略引擎和策略管理器两个组件配合使用,策略引擎根据日志信息,结合身份库、权限库数据等做出决策并进行记录,策略管理器执行策略引擎做出的决策(拒绝或批准)
策略执行点
负责启用、监视并且最终终止客户端与服务端直接的连接,是零信任中单个逻辑组件,也可能分为两个不同的组件,分别是安装在客户端的agent以及在服务端之前控制访问的网关组件。
信任算法
策略引擎使用企业安全策略以及来自外部源的输入作为信任算法来决定客户端对服务端的访问
- 请求访问:来自客户端的实际请求
- 用户标识、属性:访问资源的源,也就是客户端的标识、属性
- 系统数据库:企业自有系统的已知状态
- 资源访问要求:对用户标识和属性的补充策略集
- 威胁情报:关于互联网上运行的威胁活动的恶意软件信息源
外部支撑系统
CDM系统
CDM系统是持续诊断和缓解系统,主要收集关于企业的系统当前状态信息,并向策略引擎提供发起访问请求的系统的信息,策略引擎针对CDM系统反馈的信息来判断客户端的风险
行业合规
确保企业遵守任何监管制度,包括企业为了确保合规制定的所有策略
威胁情报
关于互联网上运行的威胁活动的恶意软件信息源,向策略引擎提供外部来源信息,帮助策略引擎做出访问决策
活动日志
这个系统集合了资产日志、网络流量、资源访问操作和其他事件,这些事件提供了企业信息系统实时安全态势。
数据访问策略
这个主要是针对企业的资源创建的数据访问的属性、规则和策略,是客户端对资源访问权限的起始,这些可以在策略引擎手动编辑,也可以由策略引擎动态生成。
PKI
负责生成企业给资源、客户端和应用程序颁发的证书,也包括全球CA生态系统和联邦PKI,也可以是基于X.509数字证书构建的KI体系。
ID管理
负责创建、存储和管理企业用户账户和身份记录,主要包含姓名、电子邮件、证书等等。
SIEM系统
该系统收集以安全为核心、可用于后续分析的信息。这些数据可被用于优化策略并预警可能对企业系统进行的主动攻击。