2.3.4　零信任三大實踐技術綜述

2019年9月，美國國家標準與技術研究院（NIST）發布了Zero Trust Architecture（《零信任架構》）草案；2020年2月，NIST對《零信任架構》的草案進行了修訂；8月11日，《零信任架構》標準正式發布。《零信任架構》介紹了實現零信任架構的三大技術SIM：IAM（身份管理與訪問控制）、SDP（軟件定義邊界）、MSG（微隔離）。

1.身份管理與訪問控制

現代IAM系統使用身份這種唯一用戶標識管理用戶并將用戶安全連接到IT資源，包括設備、應用、文件、網絡等。通過IAM系統建立以身份為基礎的安全框架，對所有用戶、接入設備、訪問發起應用等訪問主體建立數字身份，進行身份認證，并結合認證結果，實時對訪問行為的動態授權和控制。同時在訪問過程中，訪問主體的行為會被持續評估，一旦發現異常，通過IAM系統動態調整訪問控制策略，包括降低訪問等級（縮小可訪問資源的范圍），再次身份認證，甚至切斷會話等。

IAM系統提供統一的身份管理、身份認證（支持多因素認證）、動態訪問控制、行為審計、風險識別等核心能力。

2.軟件定義邊界

軟件定義邊界（SDP）是云安全聯盟（CSA）于2014年提出的新一代網絡安全架構。《軟件定義邊界（SDP）標準規范1.0》給出SDP的定義：“SDP旨在使應用程序所有者能夠在需要時部署安全邊界，以便將服務與不安全的網絡隔離開來，SDP將物理設備替換為在應用程序所有者控制下運行的邏輯組件并僅在設備驗證和身份驗證后才允許訪問企業應用基礎架構。”

SDP架構主要包括三大組件：SDP控制器（SDP Controller）、SDP連接發起主機（Initial Host，IH）、SDP連接接受主機（Accept Host，AH）。SDP控制器確定哪些IH、AH可以相互通信，還可以將信息中繼到外部認證服務。IH和AH會直接連接到SDP控制器，通過控制器與安全控制信道的交互來管理用戶訪問。該結構使得控制層能夠與數據層保持分離，以便實現完全可擴展的安全系統。此外，所有組件都可以是冗余的，用于擴容或提高穩定運行時間。

3.微隔離

微隔離（Micro Segmentation，MSG）本質上是一種網絡安全隔離技術，能夠在邏輯上將數據中心劃分為不同的安全段，安全段可以精確到各個工作負載（根據抽象度的不同，工作負載分為物理機、虛擬機、容器等）級別，然后為每個獨立的安全段定義訪問控制策略。微隔離主要聚焦在東西向流量的隔離上，一是有別于傳統物理防火墻的隔離作用，二是更貼近云計算環境中的真實需求。

微隔離將網絡邊界安全理念發揮到極致，將網絡邊界分割到盡可能小，能很好地緩解傳統邊界安全理念下邊界內過度信任帶來的安全風險。

微隔離本身也在發展過程中，目前業界有很多廠商正在基于微隔離的技術思路來實現零信任理念的落地，微隔離管理中心擴展為零信任安全控制中心組件，微隔離組件擴展為零信任安全代理組件，并開發出了相關的零信任安全解決方案和產品。因此，微隔離適應一定的應用場景，其自動化、可視化、自適應等特點也能為零信任理念發展帶來一些好的思路。