零信任架构要求授予对网络资源的足够访问权限,以便个人可以完成他们的工作任务-仅此而已-网络本身可以提供帮助。
简而言之,零信任要求验证每个试图访问网络的用户和设备,并执行严格的访问控制和身份管理,以限制授权用户仅访问他们需要执行其工作的那些资源。
零信任是一种体系结构,因此有许多潜在的解决方案可用,但这只是适用于网络领域的一种解决方案。
目录
最低特权
零信任的一个广泛原则是最小特权,即授予个人访问足够资源来执行其工作的权限,仅此而已。一种实现此目的的方法是网络分段,它可以基于身份验证,信任,用户角色和拓扑将网络分为未连接的部分。如果有效实施,它可以隔离某个网段上的主机,并最大程度地减少其横向或东西向通信,从而在主机受到损害时限制附带损害的“爆炸半径”。由于主机和应用程序只能访问它们有权访问的有限资源,因此分段可以防止攻击者进入网络的其余部分。
实体根据上下文被授予访问权限,并被授权访问资源:个人是谁,使用什么设备访问网络,其位置,通信方式以及为何需要访问。
还有其他强制分割的方法。最古老的方法之一是物理隔离,在物理隔离中,将具有各自专用服务器,电缆和网络设备的物理上分离的网络设置为具有不同的安全级别。尽管这是一种久经考验的方法,但为每个用户的信任级别和角色构建完全独立的环境可能会非常昂贵。
第2层细分
另一种方法是第2层分段,其中最终用户和他们的设备通过设备和访问交换机之间的内联安全过滤来隔离。但是在每个用户和交换机之间安装防火墙可能会非常昂贵。另一种方法是基于端口的网络访问控制,该方法可基于身份验证或请求方证书授予访问权限并将每个节点分配给第3层虚拟LAN(VLAN)。
这些类型的方法通常通过802.1x标准和可扩展的身份验证协议在有线和无线访问网络上使用。但是,企业可能没有利用供应商的全套最终用户角色,身份验证凭据,设备配置文件和高级流量过滤功能来根据用户的可信度对用户进行细分。用户可能会提高安全性。
第3层细分
创建应用程序隔离区的常用方法包括将访问电缆和端口分离到第3层子网(VLAN)中,并执行内联过滤。过滤可以由网络设备(如路由器)执行,也可以由对用户身份和角色有一定了解的有状态防火墙或代理服务器执行。一个典型的示例是标准的三层Web应用程序体系结构,其中Web服务器,应用程序服务器和数据库服务器位于单独的子网中。
沿着这些路线进行的是网络切片,这是软件定义的联网方法,其中网络在逻辑上分为多个切片,类似于虚拟路由和转发上下文。
现代拿到这个将每个服务器指派其自己的IPv4子网或IPv6 / 64前缀和有它宣传其子网的网络路由器作为描述在这里。该服务器子网内的所有流量都是该服务器内的本地流量,并且该主机内的虚拟网络上不会发生其他渗透。
将流量封装在IP网络顶部运行的覆盖隧道中也可以分隔网段,这可以通过多种方式来完成。其中包括虚拟可扩展LAN,使用通用路由封装的网络虚拟化,通用网络虚拟化封装,无状态传输隧道和TCP分段卸载。
数据包标记(使用内部标识符标记数据包)可用于在接口之间建立信任关系,从而根据最终用户设备的身份和授权隔离来自最终用户设备的数据包。可以标记协议,包括MPLS,802.1ad Q-in-Q,802.1AE MACsec和Cisco TrustSec。分段路由是一种现代的方法,其中在IPv6数据包中使用特殊的路由头来控制MPLS或IPv6网络上的通信路径。
NIST建议
美国国家标准技术研究院(NIST)枚举了零信任体系结构的逻辑组件,并提供了一些部署样式的定义。这包括基于策略决策点和策略执行点来验证和认证用户。这类似于云安全联盟最初设想的软件定义边界(SDP)的方式。
此方法涉及一个SDP控制器,该控制器对用户进行身份验证,然后根据用户的角色和授权通知SDP网关允许访问特定的应用程序。该过程可以使用老式的用户名和密码,也可以使用带有一次性密码,软件令牌,硬令牌,移动应用程序或文本消息的新型的多因素身份验证(MFA)方法。另一种称为单数据包授权或端口敲除的方法是使用客户端浏览器或应用程序将一组数据包发送到SDP控制器,以识别用户及其设备。
有各种各样的微分段,主机隔离和零信任网络方法。有些是在网络设备中,在服务器本身中,在身份和访问控制系统中或在中间盒(例如代理服务器和防火墙)中实现的。零信任方法的范围广泛,可以在主机操作系统,软件容器虚拟网络,虚拟机管理程序或具有SDP或IAP的虚拟云基础架构中实施。
许多零信任方法还涉及最终用户节点上的软件代理以及X.509证书,相互TLS(mTLS),单数据包身份验证(SPA)和MFA。网络,服务器或安全管理员无法独自完全实现所有这些功能。为了实现健壮的零信任网络架构,可以通过与跨学科的IT团队协作来实现这些技术。