零信任架构 (ZTA) 本身不是单一架构。它是一套系统和操作设计指南,旨在加强安全性以保护公司资产。
传统的方法是实施周边安全和保护措施,以防止未经授权的用户访问公司网络。它主要是关于保护内部资源和网络免受外部入侵。
这自然无助于防止内部攻击或冒充内部用户的外部入侵者的攻击。如果入侵者可以突破边界,从 APT 攻击历史案例来看,在网络内横向移动渗透以进一步访问公司资源是相当简单的。
随着越来越多的资源转移到云端,员工现在比以往任何时候都更远程工作,界限不再存在,传统模式不再有效。这就是 ZTA 发挥作用的地方。
本质上,在他们通过身份验证并证明他们是谁以及他们应该根据定义的访问策略访问请求的资源之前,没有人是可信的(零信任)。然后应用和实施访问策略来控制内部用户和系统可以访问的内容。
零信任是一种基于身份令牌的架构
身份验证是任何成功实施 ZTA 的关键方面。确定用户是否是内部用户、用户属于哪个组织、什么服务正在从另一个服务请求信息,甚至是什么第三方服务正在请求访问公司内部服务是关键。
基于令牌的架构正是开始实施 ZTA 所需的那种强大的身份验证服务。基于令牌的身份验证方法可以处理所有不同类型的用例,从用户访问资源到与其他服务通信的服务。它具有可扩展性和高度灵活性,是一种用于 API 安全和微服务访问控制的方法。
身份验证是关键
通过验证对内部或外部资源的每个访问请求,认证组件成为 ZTA 中的关键。为处理用户和服务而执行的身份验证类型需要很大的灵活性。所有资源都不同,因此在某些情况下,更关键的资源需要某种类型的递升身份验证,其中多因素身份验证 (MFA) 可能是首选。用户将在服务之间移动并访问不同的资源单点登录 (SSO) 将发挥重要作用。
在身份验证过程中,还要考虑身份验证的置信度。这是额外的参考条件,例如一天中的时间、地理位置、风险评分等,它们将有助于增强身份验证方法本身以计算给定身份验证的置信度。如果分数表明风险水平不可接受,则可能需要发出警报/报告并调用其他因素来增加对用户身份的信心。
结论
由于每个资源访问请求都经过身份验证,因此在实施 ZTA 时身份验证变得至关重要。基于令牌的架构映射得很好,可以为用户和服务处理这个问题。
企业组织应逐步实施 ZTA 以保护其资源。从关键资源开始,确定强身份验证的要求,包括 MFA 和 SSO 方法,以增强安全性,同时让终端用户顺利过渡。