作为网络安全零信任方法的一部分,网络流在处理之前应该经过身份验证,动态策略决定访问权限。设计为从不信任并始终验证所有连接的网络需要一种技术来确定信任级别和授权连接并确保未来交易仍然有效。零信任架构(ZTA)的核心是授权核心,涉及网络控制平面内的设备,它确定这种信任并持续评估每个请求的信任。假设授权核心是控制平面的一部分,它需要在逻辑上与用于应用程序数据通信的网络部分(数据平面)分开。基于ZTA的设计和整体方法,许可核心的组件可以组合到一个单一的解决方案中,或者通过一个单一的硬件和/或基于软件的解决方案完全独立。这些组件包括:通信代理——访问源应提供足够的信息来计算置信度。每次通信都应包含增强的身份属性,例如用户和资产状态、位置、身份验证方法和信任评分,以便对其进行适当评估。执行引擎——也称为执行点。它应该尽可能靠近受保护的元素(数据)放置。您可以将其视为数据的保镖。执行引擎将根据策略对请求的通信进行授权,并根据策略引擎的要求持续监控流量以停止通信。例如,执行引擎可以防止发现具有保护元素的系统。策略引擎——做出授予资产访问权限的最终决定并通知执行引擎。策略规则取决于正在实施的技术,但通常与网络服务、端点和访问数据的类别有关,访问者、访问者、时间、地点、原因和方式。信任/风险引擎——分析请求或操作的风险。信任/风险引擎将实施的信任算法中的偏差通知策略引擎,根据数据存储评估通信代理的数据,并使用静态规则和机器学习不断更新代理分数以及代理中的组件分数。实施信任算法可根据企业设定的标准、价值和权重以及代理历史和其他数据的上下文视图计算基于分数的置信度,从而提供消除威胁的最佳、最全面的方法。与不考虑历史和其他用户数据的算法相比,基于分数和基于上下文的信任算法将识别可能留在用户角色中的攻击。例如,基于分数和上下文的信任算法可能会访问在正常工作时间之外以异常方式或从无法识别的位置访问数据的用户帐户或角色。仅依赖一组特定的合格属性的替代算法可能会更快地评估,但不会有历史上下文来理解访问请求看起来很奇怪-并建议策略引擎要求更好的身份验证。数据存储——如上所述,首选方法是实施评分和基于上下文的信任算法。因此,信任/风险和策略引擎必须参考一组存储的数据,以便对访问请求或通信行为的变化做出策略决策。包含与用户、设备、工作负载相关的各种元素以及与这些元素的历史数据和行为分析相关的分类数据的库存存储将通知决策者做出适当的访问决策。ZTA可以通过多种方式实施,具体取决于组织的用例、业务流程和风险状况。根据网络的服务功能,ZTA的授权核心设计有所不同。例如,具有数据资源代理的模型可能足以满足本地客户端到服务器的通信。然而,在云环境中,在虚拟私有云(VPC)中的每个数据资源上放置一个执行引擎可能并不实际。在这种情况下,微分段可用于从相同分类法下的相同数据资产创建资源组,并使用网关来处理策略实施。制定的路线图或行动计划,结合确定公司当前在实现零信任方面取得的成果的成熟度评估,将有助于指导进一步投资授权核心技术以填补空白。在评估互补技术时,对过去曾为企业工作的特定供应商的投资可能包括同一供应商。由于尚未为授权核心的关键部分(例如,通信代理提供的数据元素、评分等)建立开放标准,因此仔细评估供应商的解决方案以填补成熟度评估中确定的差距非常重要。.信任算法是一个供应商的解决方案可能支持但另一个供应商的解决方案不支持的关键组件,或者一个供应商的解决方案可能具有与另一个不同的策略组合。而且,如果在该领域没有特定的标准,由于切换到另一个解决方案的迁移成本极高,企业可能会被锁定在供应商身上。对任何解决方案的评估都应包括供应商解决方案和供应商业务的整体视图、解决方案如何与体系结构中的其他组件链接、寿命以及解决方案如何动态扩展以抵消增加的负载
