简单地说,零信任要求对试图访问网络的每个用户和设备进行验证,并实施严格的访问控制和身份管理,以限制授权用户仅访问完成其工作所需的那些资源。
零信任是一种架构,因此有许多潜在的解决方案可用,但本文只讨论那些适合网络领域的解决方案。
最小特权
“零信任”的一个广泛原则是“最低特权”(least privilege),即允许个人获得仅够完成其工作的资源,仅此而已。实现这一点的一种方法是网络分割,它根据身份验证、信任、用户角色和拓扑结构将网络分割为未连接的部分。如果实施有效,它可以隔离一个主机在一个区段上,并最小化其横向或东西向通信,从而限制“爆炸半径”的附带损害,如果一个主机受到损害。由于主机和应用程序只能访问它们被授权访问的有限资源,分割可以防止攻击者在网络的其他部分获得立足点。
实体被授予访问权限和访问资源的授权是基于上下文的:个人是谁,用于访问网络的设备是什么,它位于哪里,它是如何通信的,以及为什么需要访问。
还有其他强制分割的方法。最古老的一种是物理隔离,即物理上独立的网络与各自专用的服务器、电缆和网络设备被设置为不同级别的安全。虽然这是一种可靠的方法,但为每个用户的信任级别和角色构建完全独立的环境的成本可能很高。
2层分割
另一种方法是层2分段,其中终端用户和他们的设备通过设备和访问开关之间的内联安全过滤隔离。但是在每个用户和交换机之间安装防火墙可能会非常昂贵。另一种方法是基于端口的网络访问控制,它根据身份验证或请求证书授予访问权并将每个节点分配给第3层虚拟LAN (VLAN)。
这些类型的方法通常在有线和无线网络上使用802.1倍的标准和可扩展认证协议。但是,企业可能不会利用供应商的终端用户角色、身份验证凭证、设备配置文件和高级流量过滤的完整套件来根据用户的可信赖程度对用户进行细分。如果用户这样做了,他们就可以提高安全性。
第三层分割
创建应用程序enclave的一种常见方法包括将访问电缆和端口分离到第3层子网(vlan)中,并执行内联过滤。过滤可以由网络设备(如路由器)执行,也可以由对用户身份和角色有一定了解的有状态防火墙或代理服务器执行。一个典型的例子是标准的三层web应用程序体系结构,其中web服务器、应用程序服务器和数据库服务器位于独立的子网中。
沿着这些线是网络切片软件定义网络一种方法,将网络逻辑分割成片,类似于虚拟路由和转发上下文。
现代的做法是为每个服务器分配其自己的IPv4子网或IPv4 /64前缀,并让它向网络路由器宣传自己的子网在这里。该服务器子网内的所有流量都是该服务器的本地流量,并且在该主机内的虚拟网络上不可能发生其他渗透。
在IP网络顶部的覆盖隧道中封装流量也可以分离网络段,这可以通过多种方式实现。这些包括虚拟扩展局域网,使用通用路由封装的网络虚拟化,通用网络虚拟化封装,无状态的交通隧道,TCP分割出售。
信息包标记——用内部标识符标记信息包——可用于在接口之间建立信任,从而根据终端用户设备的身份和授权隔离信息包。可以在协议中添加标签,包括MPLS,802.1广告Q-in-Q,802.1 ae MACsec,思科TrustSec。一个现代的观点是段的路由其中一个特殊的路由标头在一个IPv6数据包中被用来控制MPLS或IPv6网络上的通信路径。
NIST的建议
美国国家标准与技术研究所(NIST)已经列举零信任体系结构的逻辑组件并提供了一些部署样式的定义。这包括基于策略决策点和策略实施点来验证和验证用户。这与云安全联盟最初设想的a类似软件定义边界(SDP)。
该方法涉及一个对用户进行身份验证的SDP控制器,然后通知一个SDP网关基于用户的角色和授权允许访问特定的应用程序。这个过程可以使用老式的用户名和密码,或者使用一次性密码、软件令牌、硬令牌、移动应用程序或文本消息的新式多因素认证(MFA)方法。另一个方法称为单包授权或端口敲门使用客户端浏览器或应用程序向SDP控制器发送一组数据包,用于识别用户及其设备。
有各种各样的微分割、主机隔离和零信任网络方法。有些是在网络设备中实现的,在服务器本身中实现的,在身份和访问控制系统中实现的,或者在代理服务器和防火墙等中间设备中实现的。可以在主机操作系统、软件容器虚拟网络、管理程序或使用SDP或IAP的虚拟云基础设施中实现大量的零信任方法。
许多零信任方法还涉及到终端用户节点上的软件代理以及X.509证书、相互TLS (mTLS)、单包身份验证(SPA)和MFA。网络、服务器或安全管理员自己并不能完全实现所有这些功能。为了实现一个健壮的零信任网络架构,这些技术可以通过跨学科IT团队的协作来实现。