al-enterprise：2024年何为零信任架构如何实现（12页）.pdf

1、何为零信任架构？如何实现？电子书零信任架构目录何为零信任架构?.3 了解宏隔离和微隔离.5 为什么既需要宏隔离，又需要微隔离.6 如何实现.7 方法论.7其他注意事项.11 为何选择 ALE?.11已知的事实.12电子书零信任架构何为零信任架构？零信任架构（ZTA）是什么意思？零信任架构就是，每个用户和设备在被允许访问数据之前都必须经过身份验证和授权。这是一种“不信任任何人、需要验证所有内容”的策略。在此，打一个比喻对理解会有所帮助。如果我们将传统的安全视为保护村庄的堡垒，就需要在村庄（即企业）周围构建堡垒墙（又称为防火墙）。任何来自堡垒外部的内容都是不受信任且需审查的，但堡垒内部的任何内容都

2、默认被信任和被允许。这种信任边界既是物理的也是隐性的，取决于您在堡垒的哪一侧，因为只要您在墙的“正确”一侧，就无需进一步的检查。如果我们从企业网络的角度考虑这种方法，可能就会有一些基本的划分，如 VLAN、SSID、子网或连接到防火墙的接口，但这种划分是静态的，更多地与网络可扩展性和可管理性挂钩，而不是与安全性挂钩。然而今天，由于一些原因，防火墙（堡垒）方法本身变得不那么有效。首先是移动性。当用户连接到企业外部的其他网络，这可能会带来威胁。其次，访客不一定值得信任。有人会说，即使是员工（堡垒内的人）也不应该被盲目信任。第三，接入到网络的物联网设备越来越多。这些设备会带来更高的安全风险，因为它们

3、可能没有得到 IT 部门的批准和管理，而且通常缺乏安全能力。使用传统的“堡垒/村庄”（“防火墙/企业”方法），如果某个用户或设备被入侵，几乎没有什么可以阻止威胁蔓延到其他用户和设备。一旦进入内部就可以自由活动了。在堡垒的比喻中，如果唯一保护村庄不受入侵者入侵的是城墙，那么当他们学会如何爬上堡垒的城墙时，就会进行大屠杀。3电子书零信任架构4电子书零信任架构问题是，我们能做些什么？让我们从“不信任任何人”或“零信任”的方法来考虑这个问题。在零信任状态下，任何用户或设备都不受信任。无论他们是在企业内还是在企业外，都要接受同样的检查。没有信任内部用户这种说法。每次访问都要经过验证和授权。在堡垒的比喻中

4、，意味着除了保护村庄免受外部威胁的堡垒外，每栋房子和每栋建筑都有自己的安全措施来保护村庄免受居住在堡垒内的邪恶分子的威胁。对于企业来说，软件定义的微隔离更精细化。在堡垒和建筑物周边的安全之上，我们还有私人保镖如影随形。无论我们走到哪里，都需要出示通行证。在企业网络中，这种信任边界是模糊的、分布式的且可移动的。它没有绑定到特定的位置、交换机端口 VLAN，而是取决于身份、设备、情况、一天中的时间以及其他因素。它是由软件定义的，可以动态调整。采用这种方法，就需要对组件进行管理，并且应该能够根据需要做出反应和重新配置，以应对威胁或对工作流程的变化。5电子书零信任架构在零信任架构中有两种隔离方式，即宏

5、隔离和微隔离。按照我们的比喻，堡垒墙是宏隔离，私人保安是微隔离。在宏隔离中，物理网络被划分为不同的逻辑网段。这些网段既可以是 VLAN，也可以是 VLAN 和 VRF 的组合，当谈到最短路径桥接（SPB）、MPLS，甚至 VXLAN 或 GRE 隧道时，它们还可以是 VPN。不同网段的用户或设备之间的通信流量均由防火墙控制。所有企业都以某种方式或形式使用隔离，但并非总是出于安全原因。通常，这种隔离是出于可扩展性、管理或组织上的原因。如果两个设备映射到的 VLAN 不同，但它们可以不通过防火墙进行通信，则它们位于相同的宏隔离上。在逻辑上与 PC 隔离的独立 VLAN 和 VRF 上运行 IP 电

6、话就是这种隔离的一个典型示例。问题是，如何将用户或设备映射到这些网段？虽然它可以静态完成（例如通过交换机端口或 SSID），但这确实是一种过时的方式。太过于死板，对移动用户来说不是个好选择。理想的情况是，应该有一个软件定义的身份验证系统，以便当用户或设备连接并进行身份验证时为其分配一个配置文件。无论物理位置、交换机端口或 SSID 如何，配置文件将为用户或设备提供正确的网段。虽然宏隔离确实有安全优势，但在许多情况下，进行宏隔离是出于组织或管理的原因。例如，摄像头和门锁由门禁安全团队控制，而恒温器则由维护团队控制。微隔离更精细化。并非所有用户都一样，也并非所有用户都有合法权限访问所有资源。相同的