构建零信任架构通常需要提供足够的网络资源访问权限,以便用户可以完成他们的工作任务,网络本身也可以提供帮助。简而言之,零信任要求对每个试图访问网络的用户和设备进行身份验证,并实施严格的访问控制和身份管理措施,以便授权用户只能访问他们完成工作所需的资源。零信任作为一种架构有许多潜在的解决方案可供选择,但这只是适用于网络领域的一种。最小权限最小权限是零信任原则,允许用户有足够的资源来完成他们的工作。实现这一点的一种方法是网络分段,它根据身份验证、信任、用户角色、拓扑将网络划分为断开连接的部分。如果有效实施,它会隔离网段上的主机并最大限度地减少它们的东西向流量,从而限制主机受到攻击时附带损害的范围。由于主机和应用程序只能访问它们有权访问的有限资源,因此分段可以防止网络攻击者破坏网络的其余部分。组织根据上下文被授予对资源的访问权限和授权访问权限:用户是谁、用于访问网络的设备、网络所在的位置、网络的通信方式以及需要访问的原因。还有其他方法可以强制分割。最传统的方法之一是物理隔离,即使用专用服务器、电缆和网络设备将网络物理隔离,以达到不同级别的安全性。虽然这是一种行之有效的方法,但为每个用户的信任级别和角色构建完全独立的网络环境可能成本过高。第2层分段另一种方法是第2层分段,它通过设备和接入交换机之间的内联安全过滤将最终用户与其设备隔离开来。但是在每个用户和交换机之间安装防火墙的成本可能高得令人望而却步。另一种方法是基于端口的网络访问控制,它根据身份验证或请求者凭据授予访问权限,并将每个节点分配给第3层虚拟局域网(VLAN)。这些方法通常通过802.1x标准和可扩展身份验证协议用于有线和无线接入网络。然而,组织可能无法利用提供商更全面的功能,例如最终用户角色、身份验证凭证、设备配置文件和高级流量过滤,以根据用户的可信度级别对用户进行细分。第3层分段创建应用程序隔离区的常用方法包括将接入电缆和端口分成第3层子网(VLAN)并执行内联过滤。过滤可以由路由器等网络设备执行,也可以由了解用户身份和角色的防火墙或代理服务器执行。一个典型的例子是标准的三层Web应用程序体系结构,其中Web服务器、应用程序服务器和数据库服务器位于不同的子网上。可以采取网络切片的方式,这是一种软件定义的网络方式,将网络在逻辑上分成多个部分,类似于虚拟路由和转发场景。当前流行的方法是为每个服务器分配自己的IPv4子网或IPv6/64前缀,并将其子网通告给网络路由器。该服务器子网中的所有流量都是该服务器的本地流量,并且该主机内的虚拟网络上没有其他渗漏发生。将流量封装在IP网络之上运行的覆盖隧道中也可以分隔网段,这可以通过多种方式完成。其中包括虚拟可扩展LAN、使用通用路由封装的网络虚拟化、通用网络虚拟化封装、无状态传输隧道和TCP分段卸载。数据包标记(使用内部标识符标记数据包)可用于在接口之间建立信任关系,并根据终端用户设备的身份和授权来隔离数据包。组织可以为协议添加标签,包括MPLS、802.1adQ-in-Q、802.1AEMACsec和CiscoTrustSec。另一种方法是分段路由,它使用IPv6数据包中的特殊路由标头来控制MPLS或IPv6网络上的通信路径。美国国家标准与技术研究院(NIST)建议美国国家标准与技术研究院(NIST)列举了零信任架构的逻辑组件,并提供了一些部署方式的定义。这包括基于策略决策点和策略执行点对用户进行身份验证和身份验证。类似于云安全联盟最初构想的软件定义边界(SDP)。此方法采用软件定义边界(SDP)控制器对用户进行身份验证,然后通知软件定义边界(SDP)网关允许根据用户的角色和授权访问特定应用程序。该过程可以使用传统的用户名和密码,或使用一次性密码、软件令牌、硬令牌、移动应用程序或短信的多重身份验证(MFA)方法。还有一种称为单数据包授权或端口中断的替代方法,它使用客户端浏览器或应用程序将一组数据包发送到软件定义的边界(SDP)控制器,以识别用户及其设备。还有各种微分段、主机隔离和零信任网络方法。有些在网络设备、服务器、身份和访问控制系统或代理服务器和防火墙等中间设备中实现。零信任方法多种多样,可以在主机操作系统、软件容器虚拟网络、管理程序或具有软件定义边界(SDP)或IAP的虚拟云基础设施中实施。许多零信任方法还包括最终用户节点上的软件代理以及X.509证书、双向TLS(mTLS)、单数据包身份验证(SPA)和多因素身份验证(MFA)。并非所有这些都可以完全由网络或服务器或安全管理员自己实施。这些技术可以与跨学科IT团队合作实施,以实现强大的零信任网络架构。
