2.3.4　零信任三大实践技术综述

2019年9月，美国国家标准与技术研究院（NIST）发布了Zero Trust Architecture（《零信任架构》）草案；2020年2月，NIST对《零信任架构》的草案进行了修订；8月11日，《零信任架构》标准正式发布。《零信任架构》介绍了实现零信任架构的三大技术SIM：IAM（身份管理与访问控制）、SDP（软件定义边界）、MSG（微隔离）。

1.身份管理与访问控制

现代IAM系统使用身份这种唯一用户标识管理用户并将用户安全连接到IT资源，包括设备、应用、文件、网络等。通过IAM系统建立以身份为基础的安全框架，对所有用户、接入设备、访问发起应用等访问主体建立数字身份，进行身份认证，并结合认证结果，实时对访问行为的动态授权和控制。同时在访问过程中，访问主体的行为会被持续评估，一旦发现异常，通过IAM系统动态调整访问控制策略，包括降低访问等级（缩小可访问资源的范围），再次身份认证，甚至切断会话等。

IAM系统提供统一的身份管理、身份认证（支持多因素认证）、动态访问控制、行为审计、风险识别等核心能力。

2.软件定义边界

软件定义边界（SDP）是云安全联盟（CSA）于2014年提出的新一代网络安全架构。《软件定义边界（SDP）标准规范1.0》给出SDP的定义：“SDP旨在使应用程序所有者能够在需要时部署安全边界，以便将服务与不安全的网络隔离开来，SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件并仅在设备验证和身份验证后才允许访问企业应用基础架构。”

SDP架构主要包括三大组件：SDP控制器（SDP Controller）、SDP连接发起主机（Initial Host，IH）、SDP连接接受主机（Accept Host，AH）。SDP控制器确定哪些IH、AH可以相互通信，还可以将信息中继到外部认证服务。IH和AH会直接连接到SDP控制器，通过控制器与安全控制信道的交互来管理用户访问。该结构使得控制层能够与数据层保持分离，以便实现完全可扩展的安全系统。此外，所有组件都可以是冗余的，用于扩容或提高稳定运行时间。

3.微隔离

微隔离（Micro Segmentation，MSG）本质上是一种网络安全隔离技术，能够在逻辑上将数据中心划分为不同的安全段，安全段可以精确到各个工作负载（根据抽象度的不同，工作负载分为物理机、虚拟机、容器等）级别，然后为每个独立的安全段定义访问控制策略。微隔离主要聚焦在东西向流量的隔离上，一是有别于传统物理防火墙的隔离作用，二是更贴近云计算环境中的真实需求。

微隔离将网络边界安全理念发挥到极致，将网络边界分割到尽可能小，能很好地缓解传统边界安全理念下边界内过度信任带来的安全风险。

微隔离本身也在发展过程中，目前业界有很多厂商正在基于微隔离的技术思路来实现零信任理念的落地，微隔离管理中心扩展为零信任安全控制中心组件，微隔离组件扩展为零信任安全代理组件，并开发出了相关的零信任安全解决方案和产品。因此，微隔离适应一定的应用场景，其自动化、可视化、自适应等特点也能为零信任理念发展带来一些好的思路。