简而言之,零信任要求对每个尝试访问网络的用户和设备进行身份验证,并实施严格的访问控制和身份管理机制,以将授权用户限制为他们完成工作所需的用户。那部分资源。零信任是一种架构,因此有许多潜在的解决方案,但本文介绍的是适用于网络空间的解决方案。最小权限零信任的一个广泛原则是最小权限,即授予个人执行工作所需资源的访问权限,不多也不少。一种方法是网络分段,它根据身份验证、信任、用户角色和拓扑将网络分解为断开连接的部分。如果实施得当,网络分段可以隔离网段上的主机并最大限度地减少横向或东西向通信,从而在主机受到威胁时限制附带损害的“范围”。由于主机和应用程序只能访问它们有权访问的有限资源,因此网络分段可以防止攻击者访问网络的其余部分。可以根据允许实体访问资源的上下文将访问权限授予实体:个人是谁?使用什么设备访问网络?设备位于何处?如何联系以及为什么需要访问等。还有其他方法可以进行网络分段。最古老的方法之一是物理隔离,它涉及为不同级别的安全构建物理上分离的网络,使用它们自己的专用服务器、电缆和网络设备。虽然这是一种久经考验的方法,但为每个用户的信任级别和角色构建完全独立的环境可能会非常昂贵。第2层分段另一种方法是第2层分段,其中最终用户及其设备通过设备和接入交换机之间的内联安全过滤机制分开。但是在每个用户和交换机之间安装防火墙可能会非常昂贵。另一种方法是基于端口的网络访问控制,它根据身份验证或请求者凭据授予访问权限,并将每个节点分配给第3层虚拟局域网(VLAN)。这些类型的方法通常通过802.1x标准和可扩展身份验证协议用于有线和无线接入网络。然而,企业可能没有充分利用提供商的全套最终用户角色、身份验证登录、设备配置文件和高级流量过滤来根据用户的可信度级别对用户进行细分。如果需要,用户可以提高安全性。第3层分段创建应用程序隔离的常用方法是将接入电缆和端口隔离到第3层子网(VLAN)中并实施内联过滤机制。过滤机制可以由路由器等网络设备实现,也可以由了解用户身份和角色的状态防火墙或代理服务器实现。一个典型的例子是标准的三层Web应用程序架构,其中Web服务器、应用程序服务器和数据库服务器都位于不同的子网上。采用类似思路的是网络切片,这是一种软件定义的网络方法,其中网络在逻辑上分为多个切片,类似于虚拟路由和转发上下文。一种现代方法是为每个服务器分配自己的IPv4子网或IPv6/64前缀,并将其子网通告给网络路由器。该服务器子网内的所有流量都是该服务器的本地流量,其他渗透流量根本不会在该主机内的虚拟网络上传输。在IP网络上运行的覆盖隧道中封装流量也可以起到分离网段的作用,这可以通过多种方式实现,包括虚拟可扩展LAN、使用通用路由封装的网络虚拟化、通用网络虚拟化封装、无状态传输隧道、和TCP分段卸载。数据包标记(使用内部标识符标记数据包)可用于在接口之间建立信任关系,从而根据身份和授权将来自最终用户设备的数据包隔离开来。可以使用多种协议进行标记,包括MPLS、802.1adQ-in-Q、802.1AEMACsec和CiscoTrustSec。分段路由是一种现代方法,它使用IPv6数据包中的特殊路由标头来控制MPLS或IPv6网络上的通信路径。NIST建议美国国家标准与技术研究院(NIST)列举了零信任架构的逻辑组件,并提供了一些部署方式的定义。这包括基于策略决策点和策略执行点对用户进行身份验证和身份验证。这类似于云安全联盟最初对软件定义边界(SDP)的设想。这种方式需要使用SDP控制器,它负责对用户的身份进行认证,然后根据用户的角色和权限通知SDP网关允许访问特定的应用。此过程可能会使用老式的用户名和密码,或结合使用一次性密码、软件令牌、硬令牌、移动应用程序或短信的较新的多因素身份验证(MFA)方法。另一种方法称为单数据包授权或端口敲门,使用客户端浏览器或应用程序将一组数据包发送到SDP控制器,SDP控制器负责识别用户及其设备。市场上有许多微分段、主机隔离和零信任网络的方法。一些实现在网络设备、服务器本身、身份访问控制系统或代理服务器和防火墙等中间设备中。零信任方法多种多样,可以在主机操作系统、软件容器虚拟网络、管理程序或具有SDP或IAP的虚拟云基础设施中实施。许多零信任方法还涉及最终用户节点上的软件代理以及X.509证书、双向TLS(mTLS)、单数据包身份验证(SPA)和MFA。并非所有这些方法都可以由网络管理员、服务器管理员或安全管理员完全实施。为实现稳健的零信任网络架构,可以通过与跨部门的IT团队合作来实施这些技术。
