[[428810]]

本文轉(zhuǎn)載自微信公眾號(hào)「計(jì)算機(jī)世界」，作者Chris Hughes  。轉(zhuǎn)載本文請(qǐng)聯(lián)系計(jì)算機(jī)世界公眾號(hào)。

近年來(lái)，坊間不乏有關(guān)零信任的定義，你一定聽(tīng)到過(guò)諸如原則、支柱、基本原理和宗旨之類的術(shù)語(yǔ)。雖然對(duì)零信任還沒(méi)有一個(gè)統(tǒng)一的定義，但是業(yè)界對(duì)于一個(gè)概念有共同的理解還是很有必要的。為此，NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院)發(fā)布了NIST SP 800-207零信任架構(gòu)，描述了以下關(guān)于零信任的七大原則：

01所有數(shù)據(jù)源和計(jì)算服務(wù)都被視為資源

僅將終端用戶設(shè)備或服務(wù)器視為資源的時(shí)代早已過(guò)去了。今天的網(wǎng)絡(luò)包括一系列層出不窮的設(shè)備，從服務(wù)器和端點(diǎn)設(shè)備等傳統(tǒng)設(shè)備，到FaaS(函數(shù)即服務(wù))等更動(dòng)態(tài)的云計(jì)算服務(wù)，不一而足，它們可能需要對(duì)你環(huán)境中的其他資源擁有特定的訪問(wèn)權(quán)限才能執(zhí)行。

對(duì)于你環(huán)境中的所有數(shù)據(jù)和計(jì)算資源而言，除了最低權(quán)限訪問(wèn)控制措施外，你還必須確保已經(jīng)實(shí)施了基本的驗(yàn)證控制措施，必要時(shí)還要實(shí)施高級(jí)的驗(yàn)證控制措施。與后幾條原則密切相關(guān)的是，所有這些資源在某種程度上相互關(guān)聯(lián)，可以提供信號(hào)上下文，以幫助推動(dòng)零信任中的架構(gòu)組件做出決策，這將在第七個(gè)原則中進(jìn)行討論。

02無(wú)論網(wǎng)絡(luò)位置如何，所有通信都是安全的

零信任環(huán)境中落實(shí)了ZTNA(零信任網(wǎng)絡(luò)訪問(wèn))這個(gè)概念。這與傳統(tǒng)的遠(yuǎn)程訪問(wèn)模式形成了對(duì)比;在傳統(tǒng)的遠(yuǎn)程訪問(wèn)模式中，用戶完成身份驗(yàn)證連接至虛擬網(wǎng)絡(luò)，然后在網(wǎng)絡(luò)內(nèi)/網(wǎng)絡(luò)上可以不受限制地訪問(wèn)。

在ZTNA環(huán)境中，訪問(wèn)策略是默認(rèn)拒絕訪問(wèn)，必須對(duì)特定資源授予明確的訪問(wèn)權(quán)。此外，在ZTNA環(huán)境中操作的用戶如果沒(méi)有明確的訪問(wèn)授權(quán)，甚至不會(huì)意識(shí)到環(huán)境中存在的應(yīng)用程序和服務(wù)。你很難把注意力轉(zhuǎn)移到你不知道存在的東西上。

如今，地理位置分散的員工們因?yàn)樾鹿诜窝滓咔槎臃稚?，這使得第二條原則對(duì)企業(yè)來(lái)說(shuō)更重要，現(xiàn)在企業(yè)中有很大一部分勞動(dòng)力要從許多不同的地方和設(shè)備訪問(wèn)內(nèi)部資源。

03基于每個(gè)會(huì)話授予訪問(wèn)單個(gè)企業(yè)資源的權(quán)限

“就像季節(jié)一樣，人也在變化”。這句話對(duì)于數(shù)字化身份來(lái)說(shuō)更是如此。面對(duì)具有動(dòng)態(tài)性的分布式計(jì)算環(huán)境、云原生架構(gòu)以及不斷暴露在一連串威脅面前的分布式員工隊(duì)伍，信任應(yīng)該僅限于單一會(huì)話。

你在前一次會(huì)話中信任一個(gè)設(shè)備或身份，并不意味著你在后面的會(huì)話中能繼續(xù)信任他們。每次會(huì)話都需要同樣嚴(yán)謹(jǐn)?shù)卮_定設(shè)備和身份對(duì)你的環(huán)境構(gòu)成的威脅。與用戶相關(guān)的異常行為或設(shè)備安全態(tài)勢(shì)方面的變化都可能會(huì)發(fā)生，應(yīng)該與每個(gè)會(huì)話結(jié)合起來(lái)，以決定訪問(wèn)和訪問(wèn)程度。

04對(duì)資源的訪問(wèn)取決于動(dòng)態(tài)策略(包括客戶身份、應(yīng)用程序/服務(wù)和所請(qǐng)求資產(chǎn)的可觀察狀態(tài))，可能包括其他行為屬性和環(huán)境屬性

現(xiàn)代計(jì)算環(huán)境很復(fù)雜，遠(yuǎn)遠(yuǎn)超出了企業(yè)的傳統(tǒng)邊界。應(yīng)對(duì)這種現(xiàn)狀的方法之一是，利用所謂的“信號(hào)”，在你的環(huán)境中做出訪問(wèn)控制決策。

直觀顯示信號(hào)的一種方法是借助微軟的Conditional Access(條件訪問(wèn))圖。訪問(wèn)和授權(quán)決策應(yīng)該考慮到信號(hào)，信號(hào)可以是諸如此類的信息：用戶及位置、設(shè)備及相關(guān)的安全態(tài)勢(shì)、實(shí)時(shí)風(fēng)險(xiǎn)以及應(yīng)用程序上下文。這些信號(hào)應(yīng)支持決策過(guò)程，比如授予全面訪問(wèn)、有限訪問(wèn)或根本不允許訪問(wèn)。你還可以根據(jù)信號(hào)采取額外的措施，以請(qǐng)求更高級(jí)別的驗(yàn)證保證，比如MFA(多因子驗(yàn)證)，并根據(jù)這些信號(hào)限制授予的訪問(wèn)級(jí)別。

作者：Chris Hughes。Chris Hughes在IT/網(wǎng)絡(luò)安全行業(yè)有近15年的從業(yè)經(jīng)驗(yàn)，除了在私營(yíng)部門擔(dān)任顧問(wèn)外，還曾在美國(guó)空軍服過(guò)役，并在美國(guó)海軍和GSA(總務(wù)管理局)下設(shè)的FedRAMP (聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目)任職公務(wù)員。

原文網(wǎng)址：

https://www.csoonline.com/article/3626432/7-tenets-of-zero-trust-explained.html