零信任體系架構(gòu)圖本質(zhì)上是零信任的概念拼圖，今天講“零信任模式”的“訪問控制組件”。該架構(gòu)圖已經(jīng)更新到1.4版。

圖：零信任體系架構(gòu)圖V1.4

今天咱們就談?wù)劇霸L問控制組件”的演化過程，很明顯，訪問控制組件是隨著訪問控制策略的變化而演化的。

如果我們把視野再拉回到《NIST SP800-207 零信任架構(gòu)》，可能對美國國家標準化委員會（NIST）零信任架構(gòu)里的兩個核心組件印象深刻：策略執(zhí)行點（PEP，Policy Enforcement Point）和策略決策點（PDP, Policy Decision Point）。

這兩個P，其實是沿襲了“可擴展的訪問控制標記語言（XACMLL，Extensible Access Control Markup Language）”里的定義。

XACML中的4P

2006年，NIST在對訪問控制系統(tǒng)研究過程中特別是RBAC的研究中，引用了“可擴展的訪問控制標記語言（XACML）”。該語言是由“結(jié)構(gòu)化信息標準推進組織（OASIS，The Organization for the Advancement of Structured Information Standards)”定義的。

圖：XACML架構(gòu)

這里面除了策略執(zhí)行點（PEP）和策略決策點（PDP）外，還定義了“策略訪問點（PAP，Policy Access Point）”和“策略信息點（PIP，Policy Information Point）”。

策略執(zhí)行點（PEP）基于用戶的屬性、請求的資源、指定的動作構(gòu)造請求，通過策略信息點（PIP）獲取其他環(huán)境信息。

策略決策點（PDP）接收構(gòu)造的請求，通過策略接入點（PAP）將其適用的策略和系統(tǒng)狀態(tài)進行比較，然后將允許訪問或拒絕訪問的結(jié)果返回給策略執(zhí)行點（PEP）。

策略決策點（PDP）和策略執(zhí)行點（PEP）即可以集成在一個應(yīng)用里，也可以分散在網(wǎng)絡(luò)中。

企業(yè)級ABAC訪問控制機制中的4P

2014年，NIST在對ABAC的專題研究中，將企業(yè)級ABAC的訪問框架與XACML架構(gòu)的基本邏輯保持了一致，只是把“策略訪問點（PAP，Policy Access Point）”換成了“策略管理點（PAP，Policy Administration Point）”。

圖：企業(yè)級ABAC的訪問控制機制（ACM）示例

NIST零信任架構(gòu)里的2P與4P

2019年，NIST定義了零信任架構(gòu)。

圖：NIST零信任架構(gòu)的核心組件

其中，把前面提到的“策略信息點（PIP）”變成了“策略引擎（PE，Policy Engine）”；把前面提到的“策略管理點（PAP）”變成了“策略管理器（PA，Policy Administrator）”。

然后把“策略引擎（PE）”和“策略管理器（PA）”裝進了“策略決策點（PDP）”組件里。

CSA的通用零信任抽象架構(gòu)

2024年，云安全聯(lián)盟（CSA）把零信任進一步抽象成了下面的架構(gòu)：

圖：通用零信任抽象架構(gòu)

其中，零信任安全控制中心就是SDP里的Controller、谷歌 BeyondCorp里的“訪問控制引擎（ACE,Access Control Engine）”和NIST 的“策略決策點（PDP）”的抽象。

其中，零信任安全代理就是SDP里的連接接受主機（AH，Accepting Host）、谷歌 BeyondCorp里的“訪問代理（Access Proxy）”和NIST的“策略執(zhí)行點（PEP）”的抽象。

圖：通用零信任抽象架構(gòu)與其它零信任架構(gòu)的關(guān)系

所以你會發(fā)現(xiàn)，零信任模式其實就是基于兩大平面的信任管理與基于ABAC的訪問控制，這就是零信任的內(nèi)核與靈魂。