零信任架构

2004年成立的耶利哥论坛(Jericho Forum )，其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。

2010年，零信任这个术语正式出现，并指出所有的网络流量都是不可信的，这个时期专注于通过微隔离对网络进行细粒度的访问控制以便限制攻击者的横向移动。

以身份为基石的架构体系逐渐得到业界主流的认可。

2014年，Google基于内部项目BeyondCorp的研究成果，构建零信任架构。

2017年，Gartner将其自适应安全架构优化为持续自适应风险与信任评估构架。

二、零信任的定义

零信任本质是以身份为基石的动态可信访问控制。它需要满足五个准则：

• 网络无时无刻不处于危险的环境中;
• 网络中自始至终存在外部或内部威胁;
• 网络的位置不足以决定网络的可信程度;
• 所有的设备、用户和网络流量都应当经过认证和授权;
• 安全策略必须是动态的，并基于尽可能多的数据源计算而来。

根据零信任的定义和准则，可以提取、凝练出四个要素：分别是(1)身份为基石，(2)业务安全访问，(3)持续信任评估，(4)动态访问控制。

三、零信任架构模型

(一)以身份为基石

基于身份而非网络位置来构建访问控制体系，首先需要为网络中的人和设备赋予数字身份，将身份化的人和设备进行运行时组合构建访问主体架构关注业务保护面的构建，通过业务保护面实现对资源的保护，在零信任架构中，应用、服务、接口、数据都可以视作业务资源。通过构建保护面实现对暴露面的收缩，要求所有业务默认隐藏，根据授权结果进行最小限度的开放，所有的业务访问

（编辑：宿州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!