零信任网络访问技术专题汇报PPT

零信任网络的概念传统模型假设：组织网络内的所有事物都应受到信任。事实上，一旦进入网络，用户（包括威胁行为者和恶意内部人员）可以自由地横向移动、访问甚至泄露...

零信任网络的概念传统模型假设：组织网络内的所有事物都应受到信任。事实上，一旦进入网络，用户（包括威胁行为者和恶意内部人员）可以自由地横向移动、访问甚至泄露他们权限之外的任何数据。这显然是个很大的漏洞。零信任网络访问(Zero-Trust Network Access，以下称ZTNA)则认为：不能信任出入网络的任何内容。应创建一种以数据为中心的全新边界，通过强身份验证技术保护数据。在图1的抽象模型中，当主体需要访问企业资源时，其需要通过策略决策点（PDP）和相应的策略执行点（PEP）授予访问权限。零信任网络的基本假定• 网络无时无刻不处于危险的环境中• 网络中自始至终存在外部或内部威胁• 网络的位置不足以决定网络的可信程度• 所有的设备、用户和网络流量都应当经过认证和授权• 安全策略必须是动态的，并基于尽可能多的数据源计算而来零信任架构的基本原则所有数据源和计算服务均被视为资源网络可以由几种不同类别的设备组成。网络可能还拥有小微型设备，这些设备将数据发送到聚合器/存储、软件即服务（SaaS），还有将指令发送到执行器的系统等。此外，如果允许个人自带的设备访问企业拥有的资源，则企业也可以决定将其归类为资源无论网络位置如何，所有通信都必须是安全的网络位置并不意味着隐式信任。来自位于企业自有网络基础设施上的系统的访问请求（例如，在传统概念中内网）必须与来自任何其他非企业自有网络的访问请求和通信采用相同的安全要求。换言之，不应对位于企业自有网络基础设施上的设备自动授予任何的信任。所有通信应以最安全的方式进行，保证机密性和完整性，并提供源身份认证对企业资源的访问授权是基于每个连接的在授予访问权限之前，需要对请求者的信任进行评估。这意味着此特定事务只能在“以前某个时间”发生，并且在启动会话或使用资源执行事务之前不应该直接发生。但是，对某一个资源访问的身份认证和授权不会自动授予到其他不同的资源访问对资源的访问权限由动态策略（包括客户身份、应用和请求资产的可观测状态）决定，也可能包括其他行为属性一个组织通过定义其所拥有的资源、其成员是谁（或对来自联盟的用户进行身份认证的能力）、这些成员需要哪些资源访问权等方式来保护资源。对于零信任模型，用户身份包括使用的用户账户和由企业分配给该帐户或组件以认证自动化任务获取的任何相关属性。请求发送者的资产状态包括设备特征，例如：已安装的软件版本、网络位置、请求时间和日期、以前观测到的行为、已安装的凭证等。行为属性包括自动化的用户分析、设备分析、度量到的与已观测到的使用模式的偏差。策略是一系列基于组织机构分配给用户、数据资产或应用的属性的访问规则集。这些属性基于业务流程的需要和可接受的风险水平。资源访问和操作权限策略可以根据资源/数据的敏感性而变化。最小特权原则应该被应用于限制可视性和可访问性企业应该监控并且测量其所有自有或关联的资产的完整性和安全态势没有设备是天生可信的。当企业评估一个资源请求时，也应该同时评估资产的安全态势。实施ZTA战略的企业应建立一个CDM或类似的系统来监控设备和应用的状态，并根据需要应用补丁/修复程序。那些被攻陷、具有已知漏洞和/或不受企业管理的设备（包括拒绝与企业资源的所有连接设备），与那些企业所拥有的或与企业关联的被认为处于最安全状态的设备相比，应该被区别对待。这种要求也应该适用于允许访问某些资源但不允许访问其他资源的关联设备（例如，个人自带的设备）。因此，需要一个强大的监控和报告系统来提供关于企业资源当前状态的可操作数据所有资源的身份认证和授权是动态的，并且在资源访问被允许之前严格强制实施这是一个不断的访问请求、扫描和评估威胁、自适应、在通信中进行持续信任评估的循环过程。实施ZTA策略的企业具有身份、凭证和访问管理系统（ICAM）以及资产管理系统。这其中包括使用多因子身份验证（MFA）访问某些（或所有）企业资源。整个用户交互过程应该持续地监视，根据策略（如基于时间的、新的资源请求、检测到异常用户活动）的定义和执行，可能进行重新的身份认证和重新授权，以努力实现安全性、高可用性、易用性和成本效率之间的平衡企业应该尽可能收集关于资产、网络基础设施和通信的当前状态信息，并将其应用于改善网络安全态势一个企业需要收集关于网络流量和访问请求的数据，并将这些数据用于提高安全策略的创建和改进。这些数据还可以作为某个主体的访问请求的上下文信息零信任架构的逻辑组件图2中的概念框架模型显示了组件及其相互作用的基本关系。注意，这是显示逻辑组件及其相互作用的理想模型。策略判定点（PDP）被分解为两个逻辑组件：策略引擎（PE）和策略管理器（PA）ZTA逻辑组件使用单独的控制平面进行通信，而应用数据则在数据平面上进行通信。1) 策略引擎（PolicyEngine,PE）该组件负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部信息源（例如IP黑名单、威胁情报服务）的输入作为“信任算法”（TA）的输入，以决定授予或拒绝对该资源的访问。策略引擎（PE）与策略管理器（PA）组件配对使用。策略引擎做出并记录决策，策略管理器执行决策（批准或拒绝）2) 策略管理器（PolicyAdministrator,PA）该组件负责建立和(或)切断主体与资源之间的通信路径(通过给PEP的命令)。它将生成客户端用于访问企业资源的任何身份验证令牌或凭证。它与策略引擎PE紧密相关，并依赖于其决定最终允许或拒绝会话。如果会话被授权且请求已被认证，则PA配置PEP以允许会话启动。如果会话被拒绝（或之前的批准被拒绝），PA向PEP发出信号以切断连接。一些实现可能会将PE和PA视为单独的服务；这里，它们被划分为两个逻辑组件。PA在创建连接时与策略执行点（PEP）通信。这种通信是通过控制平面完成的3) 策略执行点（PolicyEnforcementPoint,PEP）此系统负责启用、监视并最终终止访问主体和企业资源之间的连接。PEP与PA通信，以转发请求和/或从PA接收策略更新。这是ZTA中的单个逻辑组件，但也可能分为两个不同的组件：客户端（例如，用户笔记本电脑上的Agent代理程序）和资源端（例如，在资源之前部署的访问控制网关）或充当通信路径防护的单个门户组件。在PEP组件的后面就是放置企业资源的隐含信任区域零信任架构的常见方案企业可以通过多种方式为工作流引入零信任架构ZTA。这些方案因使用的组件和组织策略规则的主要来源而有所差异。每种方案都实现了零信任的所有原则，但可以使用一个或两个（或一个组件）作为策略的主要驱动元素。基于增强身份治理的ZTA基于增强身份治理的ZTA使用参与者身份作为策略创建的关键组件。如果不是请求访问企业资源的主体，则无需创建访问策略。对于这种方案，企业资源访问策略基于身份和分配的属性。资源访问的主要诉求是基于给定主体身份的访问授权。其他因素，如使用的设备、资产状态和环境因素，可以改变其最终信任评分计算（和最终访问授权），或者以某种方式调整结果（例如，基于网络位置仅授予对给定数据源的部分访问权限）。保护资源的PEP组件必须有能力可以把请求转发到策略引擎服务，在访问授权之前进行主体身份认证和请求核准。基于增强身份治理的企业ZTA方案通常使用开放网络模型，或允许外部访问者访问的企业网络，或允许网络上的常见非企业设备（如下面第4.3节中的用例）。网络访问初始被授予在具有访问权限的资产上，仅限于具有适当访问权限的身份。授予基本的网络连接有一个缺点，因为恶意行为者仍然可以尝试网络侦查和/或利用网络对内部或第三方发起拒绝服务攻击。企业仍然需要在这种行为影响工作流程之前对其进行监控和响应。基于微隔离的ZTA企业可以将单个或一组资源放在由网关安全组件保护的私有网段上来实施ZTA。在这种方案中，企业将智能交换机(或路由器)、下一代防火墙(NGFWs)等基础设施设备或特殊用途的网关设备作为保护每个资源（或一小组相关资源）的PEP。或者（或额外），企业可以选择使用软件代理或端点资产上的防火墙来实现基于主机的微隔离，这些网关设备动态授权访问来自客户端资产的各个请求。根据模式的不同，网关可以是唯一的PEP（PolicyEnforcementPoint）组件，也可以是由网关和客户端代理组成的多部分PEP的一部分。由于保护设备充当PEP，而该设备的管理充当PE/PA组件，因此该方法适用于各种用例和部署模型。此方法要求身份管理程序(IGP)完全发挥作用，但依赖网关组件充当PEP，从而保护资源免受未经授权的访问和/或发现。基于网络基础设施和软件定义边界SDP的ZTA最后一种方案是使用网络基础设施来实现ZTA。零信任的实现可以通过使用顶层网络来实现（即第7层，但也可以将其部署在更低的ISO网络协议栈）。这种方案有时称为软件定义边界（SDP）方法，并且经常包含SDN[SDNBOOK]和基于意图的联网（IBN）[IBNVN]的概念。在这种方案中，PA充当网络控制器，根据PE做出的决定来建立和重新配置网络。客户端继续请求通过PEP（由PA组件管理）进行访问。