基于零信任安全理念的逻辑架构-创新互联
基于零信任基本原则,企业可建设或改造已有网络安全体系以实现零信任安全架构,利用零信任安全架构为IT系统提供持续的安全保障。架构如图4所示,由零信任核心逻辑组件和内部或外部数据源组成。
基于零信任安全理念的逻辑架构对访问参与对象和访问资源之间的所有行为进行处理,零信任核心部分分为控制平面和数据平面。访问主体发起访问请求,由控制平面的策略引擎进行多源信任评估计算,由控制引擎对计算结果进行判定,决定授权策略,一旦授权访问,控制引擎将通知数据平面的安全代理,为该次访问建立安全连接。策略引擎仍持续进行评估,一旦参与对象或其行为发生变化,策略引擎将依据新的评估源进行信任评估,控制引擎随时依据评估结果判定授权策略是否需要改变,随时通知安全代理执行相应操作,大限度保障资源安全。
基于零信任安全理念的逻辑架构核心逻辑组件主要分为三部分:
策略引擎:该组件负责信任评估,通过收集和分析参与对象和行为等多源信息,对访问主体进行持续的信任评估。
控制引擎:该组件作为策略控制点,依赖策略引擎的信任评估结果,持续判定授权策略。
安全代理:该组件作为策略执行点,为授予权限的访问主体,建立其访问主体和被访问资源之间的安全通道。在实际架构中,该逻辑组件可能由两个不同的组件构成:客户端(如用户终端设备上的代理插件等)和资源侧网关(如Web网关、API网关等),或单个代理组件。
零信任架构除了核心逻辑组件,还包括内部和外部信任源,与策略引擎协同,将收集并分析参与对象和其行为的安全信息,传递给策略引擎,为其进行信任评估提供依据。信任源主要包括:CDM(连续诊断和缓解系统)、行业合规系统、威胁情报源、数据访问策略、PKI(企业公共秘钥基础设施)、ID管理系统、网络和系统活动日志、安全事件管理系统等。
互联互通社区
互联互通社区专注于IT互联网交流与学习,旨在打造最具价值的IT互联网智库中心,关注公众号:互联互通社区,每日获取最新报告并附带专题内容辅助学习。
方案咨询、架构设计、数字化转型、中台建设、前沿技术培训与交流,合作请+微信:hulianhutongshequ
新闻标题:基于零信任安全理念的逻辑架构-创新互联
网页网址:http://pwwzsj.com/article/hecgj.html