2.3.2　零信任抽象架構(gòu)

對(duì)比SDP的架構(gòu)和NIST的零信任架構(gòu)，SDP的控制器在功能上類(lèi)似于NIST的零信任架構(gòu)的策略決策點(diǎn)（Policy Decision Point，PDP），SDP的連接接受主機(jī)（Accepting Host，AH）功能上類(lèi)似于NIST的零信任架構(gòu)的策略實(shí)施點(diǎn)（Policy Enforcement Point，PEP）。綜合SDP的架構(gòu)、NIST的零信任架構(gòu)的架構(gòu)圖，以及實(shí)踐經(jīng)驗(yàn)，我們認(rèn)為目前業(yè)界對(duì)零信任架構(gòu)的理解正在趨于一致，通用零信任抽象架構(gòu)如圖2-1所示。

其中，零信任安全控制中心組件作為SDP的Controller和NIST的PDP的抽象，零信任安全代理組件作為SDP的AH和NIST的PEP的抽象。零信任安全控制中心的核心是實(shí)現(xiàn)對(duì)訪(fǎng)問(wèn)請(qǐng)求的授權(quán)決策，以及為決策而開(kāi)展的身份認(rèn)證（或中繼到已有認(rèn)證服務(wù)）、安全監(jiān)測(cè)、信任評(píng)估、策略管理、設(shè)備安全管理等功能；零信任安全代理的核心是實(shí)現(xiàn)對(duì)訪(fǎng)問(wèn)控制決策的執(zhí)行，以及對(duì)訪(fǎng)問(wèn)主體的安全信息采集，對(duì)訪(fǎng)問(wèn)請(qǐng)求的轉(zhuǎn)發(fā)、攔截等功能。

圖2-1　通用零信任抽象架構(gòu)