快连VPN:速度和安全性最佳的VPN服务
零信任架构:迈向更安全的网络环境
什么是零信任架构?
零信任架构(ZTA)的概念已经存在了一段时间。然而,在实践中,零信任实施的进展相对缓慢。这或许并不奇怪,因为全面的零信任架构是一项庞大的任务,最佳的方法是从小处着手,逐步扩展。
零信任架构正在获得越来越多的关注,而拜登总统在2021年5月发布的行政命令《改善国家网络安全》正在推动联邦政府和私营部门更广泛地采用零信任模型。
旧的IT安全边界
过去的IT安全边界基本上是基于位置的网络。用户要么在网络内部,要么通过VPN连接来验证与网络的连接。在很大程度上,这种方式足以访问服务和数据,因为当时这些服务和数据并没有像今天这样分布在云服务中。网络的入口点是控制访问的地方,并定义了安全边界。
然而,这种架构的缺点在于,它对访问网络的用户和网络本身控制访问服务和数据的能力寄予了极大的信任。传统网络对横向移动几乎没有控制,这意味着如果黑客获得了对网络的访问,他们很可能可以在服务和数据之间自由移动。
零信任架构的优势
在零信任架构中,新的边界依赖于身份验证。每次访问网络的尝试都必须验证请求者的身份,无论其来源如何。这与细粒度的访问控制规则相结合,明确规定了请求方可以访问哪些服务和数据。这要求根据请求者是实际用户还是服务,进行更复杂的身份验证过程。现代服务在微服务架构中相互通信,这同样需要控制。例如,账单服务需要访问库存服务,但可能不需要访问工资服务。
身份验证的重要性
如果请求者的身份未知,那么对系统和数据应用细粒度访问控制将变得不够高效,这适用于用户和系统。因此,在向零信任架构迈进的过程中,建立身份至关重要。实际上,这是进行其他步骤之前的必要条件。
迁移到零信任架构的步骤
零信任成熟度模型概述了两个步骤以迁移到零信任架构。第一步是“识别企业中的参与者”,即验证特定用户的身份。第二步是“识别企业拥有的资产”,目标是识别服务和设备的身份。
自然,身份验证是识别用户并确认他们是所声称的身份所必需的。如今,有无数的身份验证选项,无密码的方式正在获得越来越多的关注。例如,WebAuthn是一个优秀的选项,其架构更强大,比SMS和电子邮件身份验证选项更能抵御钓鱼攻击。
基于令牌的架构
OAuth和OpenID Connect(OIDC)是启用基于令牌架构的标准,这种模式与零信任架构非常契合。实际上,可以说零信任架构就是一种基于令牌的架构。
那么,基于令牌的架构是如何工作的?首先,它确定用户是谁,或者哪个系统或服务请求访问。然后,它发放一个访问令牌。令牌本身将包含不同的声明,具体取决于请求的资源以及上下文信息。令牌中的声明可以由策略引擎(例如Open Policy Agent,OPA)确定。策略描述了允许的访问及访问某些资源所需的声明。在访问请求的上下文中,令牌服务可以根据定义的策略发放具有适当声明的令牌。
资源验证身份
被访问的资源需要验证身份。在现代架构中,这通常是某种类型的API。当接收到对API的请求时,API验证随请求发送的访问令牌。系统确保访问令牌未过期,验证令牌是否具有所需的声明,并确保令牌是由有效的授权服务器(发行者)发放的。
此时,基于令牌的架构还可以确定用户的类型,例如,如果请求访问的是用户,以及他们是内部用户还是外部用户。这个过程消除了使用传统VPN的方法的需要。服务和API可以公开信息,并根据零信任架构模型,直接验证用户基于其身份应有的访问权限。
结论
实施零信任架构的第一步是实施始终验证请求者身份的协议,无论请求者是用户还是其他服务。对于用户身份验证,无密码选项正在获得关注,这将为用户提供更安全和更无缝的体验。
将强大的身份层与基于令牌的架构相结合,形成一个灵活且可扩展的模型,使服务和API能够始终验证请求访问的人,以及应允许的访问级别。
