整體架構
上篇介紹了零信任的基礎知識,這篇主要介紹下零信任的架構。
NIST 《零信任架構》白皮書定義的邏輯架構圖
零信任架構主要分為三個核心邏輯架構,三個核心分別為策略決策點PDP(PE+PA)、策略執行點PEP和外部支撐系統。
策略決策點PDP(PE+PA)
策略決策點主要有策略引擎(PE)和策略管理器(PA)組成,策略決策點的主要作用就是對每個訪問請求的身份以及安全狀態做訪問控制決策,
策略引擎
負責最終決定是否授權指定客戶端對服務端的訪問權限。
注:這里的客戶端在零信任中指的是訪問的主體,而服務端就是訪問的客體,這里我使用客戶端和服務端做代替是為了更好的理解。
策略管理器
負責建立客戶端與服務端的邏輯連接,負責生成客戶端訪問服務端的所有身份認證令牌或者憑證,並且依賴策略引擎的決定來確定最終允許或者拒絕連接。
策略引擎和策略管理器兩個組件配合使用,策略引擎根據日志信息,結合身份庫、權限庫數據等做出決策並進行記錄,策略管理器執行策略引擎做出的決策(拒絕或批准)
策略執行點
負責啟用、監視並且最終終止客戶端與服務端直接的連接,是零信任中單個邏輯組件,也可能分為兩個不同的組件,分別是安裝在客戶端的agent以及在服務端之前控制訪問的網關組件。
信任算法
策略引擎使用企業安全策略以及來自外部源的輸入作為信任算法來決定客戶端對服務端的訪問
- 請求訪問:來自客戶端的實際請求
- 用戶標識、屬性:訪問資源的源,也就是客戶端的標識、屬性
- 系統數據庫:企業自有系統的已知狀態
- 資源訪問要求:對用戶標識和屬性的補充策略集
- 威脅情報:關於互聯網上運行的威脅活動的惡意軟件信息源
外部支撐系統
CDM系統
CDM系統是持續診斷和緩解系統,主要收集關於企業的系統當前狀態信息,並向策略引擎提供發起訪問請求的系統的信息,策略引擎針對CDM系統反饋的信息來判斷客戶端的風險
行業合規
確保企業遵守任何監管制度,包括企業為了確保合規制定的所有策略
威脅情報
關於互聯網上運行的威脅活動的惡意軟件信息源,向策略引擎提供外部來源信息,幫助策略引擎做出訪問決策
活動日志
這個系統集合了資產日志、網絡流量、資源訪問操作和其他事件,這些事件提供了企業信息系統實時安全態勢。
數據訪問策略
這個主要是針對企業的資源創建的數據訪問的屬性、規則和策略,是客戶端對資源訪問權限的起始,這些可以在策略引擎手動編輯,也可以由策略引擎動態生成。
PKI
負責生成企業給資源、客戶端和應用程序頒發的證書,也包括全球CA生態系統和聯邦PKI,也可以是基於X.509數字證書構建的KI體系。
ID管理
負責創建、存儲和管理企業用戶賬戶和身份記錄,主要包含姓名、電子郵件、證書等等。
SIEM系統
該系統收集以安全為核心、可用於后續分析的信息。這些數據可被用於優化策略並預警可能對企業系統進行的主動攻擊。