作為網(wǎng)絡(luò)安全零信任方法的一部分，應(yīng)先對網(wǎng)絡(luò)流進行身份驗證，然后再對其進行處理，并通過動態(tài)策略確定訪問權(quán)限。旨在永不信任并始終驗證所有連接的網(wǎng)絡(luò)，需要一種可以確定信任度并授權(quán)連接并確保將來的交易仍然有效的技術(shù)。

零信任體系結(jié)構(gòu)(ZTA)的核心是授權(quán)核心，涉及網(wǎng)絡(luò)控制平面內(nèi)的設(shè)備，該核心確定此信任度并不斷評估每個請求的信任度。假設(shè)授權(quán)核心是控制平面的一部分，則需要在邏輯上將其與用于應(yīng)用程序數(shù)據(jù)通信的網(wǎng)絡(luò)部分(數(shù)據(jù)平面)分開。

基于設(shè)計的ZTA和整體方法，授權(quán)核心的組件可以組合為一個解決方案，也可以通過基于硬件和/或軟件的單個解決方案完全獨立。這些組件包括：

• Communication Agent –訪問源應(yīng)提供足夠的信息來計算置信度。增強的身份屬性，例如用戶和資產(chǎn)狀態(tài)，位置，身份驗證方法和信任評分，應(yīng)包含在每個通信中，以便可以對其進行正確評估。

• 強制引擎 –也稱為強制點。應(yīng)將其放置在盡可能靠近保護元素(數(shù)據(jù))的位置。您可以將其視為數(shù)據(jù)的保鏢。強制引擎將根據(jù)策略授權(quán)所請求的通信，并根據(jù)策略引擎的要求，持續(xù)監(jiān)視流量以停止通信。例如，執(zhí)行引擎可以防止發(fā)現(xiàn)帶有保護元素的系統(tǒng)。

• 策略引擎 –做出授予資產(chǎn)訪問權(quán)限的最終決定，并通知執(zhí)行引擎。策略規(guī)則取決于實現(xiàn)的技術(shù)，但通常涉及涉及網(wǎng)絡(luò)服務(wù)，端點和數(shù)據(jù)類的訪問者，身份，時間，地點，原因以及訪問方式。

• 信任/風(fēng)險引擎 –分析請求或行動的風(fēng)險。信任/風(fēng)險引擎將已實施的信任算法中的偏差通知策略引擎，對照數(shù)據(jù)存儲評估通信代理的數(shù)據(jù)，并使用靜態(tài)規(guī)則和機器學(xué)習(xí)來不斷更新代理分數(shù)以及代理中的組件分數(shù)。實施信任算法可根據(jù)企業(yè)設(shè)置的標準，值和權(quán)重以及座席歷史記錄和其他數(shù)據(jù)的上下文視圖來計算基于分數(shù)的置信度，從而提供最佳，最全面的方法來消除威脅。與不考慮歷史數(shù)據(jù)和其他用戶數(shù)據(jù)的算法相比，基于分數(shù)和基于上下文的信任算法將識別可能停留在用戶角色內(nèi)的攻擊。例如，分數(shù)和基于上下文的信任算法可能會以異常方式或從無法識別的位置訪問正在正常工作時間以外訪問數(shù)據(jù)的用戶帳戶或角色。僅依賴于一組特定的合格屬性的替代算法可能會評估得更快，但不會具有歷史背景來了解該訪問請求看起來很奇怪-并建議策略引擎在進行下一步操作之前要求進行更好的身份驗證。

• 數(shù)據(jù)存儲 –如上所述，一種首選方法是實施評分和基于上下文的信任算法。因此，信任/風(fēng)險和策略引擎必須引用一組存儲的數(shù)據(jù)，以便對訪問請求或通信行為的更改做出策略決定。包含與用戶，設(shè)備，工作負載以及與這些元素的歷史數(shù)據(jù)和行為分析相關(guān)的分類數(shù)據(jù)相關(guān)的各種元素的庫存存儲，將通知決策者做出適當?shù)脑L問決策。

可以根據(jù)組織的用例，業(yè)務(wù)流程和風(fēng)險狀況以多種方式實施ZTA。根據(jù)網(wǎng)絡(luò)的業(yè)務(wù)功能， ZTA的授權(quán)核心設(shè)計不同。例如，在數(shù)據(jù)資源上具有代理的模型可能足以用于本地客戶端到服務(wù)器的通信。但是，在云環(huán)境中，在虛擬私有云(VPC)內(nèi)的每個數(shù)據(jù)資源上放置一個Enforcement Engine可能并不現(xiàn)實。在這種情況下，可以通過微分段從相同分類下的相等數(shù)據(jù)資產(chǎn)中創(chuàng)建資源組，并使用網(wǎng)關(guān)來處理策略實施。

制定的路線圖或行動計劃，與確定公司目前在實現(xiàn)“零信任”方面的結(jié)果的成熟度評估相結(jié)合，將有助于指導(dǎo)企業(yè)進一步投資于授權(quán)核心技術(shù)，以填補空白。在評估補充技術(shù)時，過去一直對業(yè)務(wù)有效的特定供應(yīng)商的投資可能包括同一供應(yīng)商。由于尚未針對授權(quán)核心的關(guān)鍵部分(例如，通信代理提供的數(shù)據(jù)元素，評分等)建立開放標準，因此，認真評估供應(yīng)商的解決方案以填補在成熟度評估中發(fā)現(xiàn)的空白很重要。 。

信任算法是一個供應(yīng)商的解決方案可能支持的關(guān)鍵組件，但另一個供應(yīng)商的解決方案則不支持，或者一個供應(yīng)商的解決方案的策略組成可能與其他供應(yīng)商不同。而且，如果在此領(lǐng)域沒有特定的標準，則由于將極高的遷移成本切換到另一種解決方案，企業(yè)可能會被鎖定在供應(yīng)商手中。對任何解決方案的評估都應(yīng)包括對供應(yīng)商的解決方案以及供應(yīng)商的業(yè)務(wù)的整體看法，該解決方案如何與體系結(jié)構(gòu)中的其他組件鏈接，壽命以及解決方案如何動態(tài)擴展以抵消增加的負載