零信任参考架构:SDP架构,NIST架构,微隔离架构

admin

零信任参考架构
什么样的架构来落地零信任理念，目前尚没有统一的定义，但业界已有多个组织正在为给出零信任架构设计和定义而努力。目前业界比较熟知的架构有SDP软件定义网络和NIST提出的零信任体系架构。企业可以通过多种架构方式引入零信任理念，不同的应用场景可以使用不同的架构，每种架构的侧重点有所不同。企业可以根据自身需求，使用一种或多种架构作为落地零信任理念的主要驱动元素。

SDP架构
SDP软件定义边界是国际云安全联盟（CSA）于2013年提出的新一代网络安全架构，CSA《SDP标准规范1.0》给出的SDP的定义是：“SDP旨在使应用程序所有者能够在需要时部署安全边界，以便将服务与不安全的网络隔离开来，SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件并仅在设备验证和身份验证后才允许访问企业应用基础架构。”–“应用程序/应用/服务”在本文语境下均指资源

架构图如下：

SDP架构主要包括三大组件：SDP控制器（SDP Controler）、SDP连接发起主机（IH，Initial host）、SDP连接接受主机（AH，Accept host）。
SDP控制器根据安全、及权限数据动态控制 AH 和 IH 的连接情况。该结构使控制层与数据层保持分离，保证更好的可扩展的性。也可以通过组件冗余，用于扩容或提高稳定运行时间

NIST架构
架构及核心组件图如下：

用户访问企业资源时，需要通过策略决策点(PDP)和相应的策略执行点(PEP)授予访问权限。
NIST给出的架构图更接近ISO国际标准中经典的访问管理（Access management-AM）架构，将访问控制分为PDP和PEP。PEP定义决策（如定义规则 角色A只能访问指定系统A），PEP执行决策，如通过PDP定义的规则判断某一次访问是否合法。

通用参考架构
对比看SDP的架构和NIST提出的架构，可以发现，SDP的控制器功能上类似于NIST的PDP，SDP的AH功能上类似于NIST的PEP。综合SDP、NIST的架构图，以及实践经验，我们认为目前业界对零信任架构的理解正在趋于一致，总结的通用零信任架构如下:

零信任安全控制中心组件作为SDP的Controller和NIST的PDP的抽象，零信任安全代理组件作为SDP的AH和NIST的PEP的抽象。
零信任安全控制中心核心是实现对访问请求的授权决策，以及为决策而开展的身份认证（或中继到已有认证服务）、安全监测、信任评估、策略管理、设备安全管理等功能；
零信任安全代理的核心是实现对访问控制决策的执行，以及对访问主体的安全信息采集，对访问请求的转发、拦截等功能。

微隔离架构
微隔离本质上是一种网络安全隔离技术，能够在逻辑上将数据中心划分为不同的安全段，一直到各个工作负载（根据抽象度的不同，工作负载分为物理机、虚拟机、容器等）级别，然后为每个独立的安全段定义访问控制策略。
微隔离提出以来主要聚焦在东西向流量的隔离上，一是有别于传统物理防火墙的隔离作用，二是更贴近云计算环境中的真实需求。
微隔离将网络边界安全理念发挥到极致，将网络边界分割到尽可能的小，能很好的缓解传统边界安全理念下边界内过度信任带来的安全风险。

从架构上看，微隔离管理中心可以扩展为零信任安全控制中心组件，微隔离组件可以扩展为零信任安全代理组件。
微隔离本身也在发展过程中，目前业界有很多厂商正在基于微隔离的技术思路来实现零信任理念的落地，并开发出了相关的零信任安全解决方案和产品。因此，从架构上看，微隔离具备扩展为零信任架构的条件，并适应一定的应用场景，其自动化、可视化、自适应等特点也能为零信任理念发展带来一些好的思路。