作為網(wǎng)絡(luò)安全零信任方法的一部分，應(yīng)先對(duì)網(wǎng)絡(luò)流進(jìn)行身份驗(yàn)證，然后再對(duì)其進(jìn)行處理，并通過(guò)動(dòng)態(tài)策略確定訪問(wèn)權(quán)限。旨在永不信任并始終驗(yàn)證所有連接的網(wǎng)絡(luò)，需要一種可以確定信任度并授權(quán)連接并確保將來(lái)的交易仍然有效的技術(shù)。

零信任體系結(jié)構(gòu)(ZTA)的核心是授權(quán)核心，涉及網(wǎng)絡(luò)控制平面內(nèi)的設(shè)備，該核心確定此信任度并不斷評(píng)估每個(gè)請(qǐng)求的信任度。假設(shè)授權(quán)核心是控制平面的一部分，則需要在邏輯上將其與用于應(yīng)用程序數(shù)據(jù)通信的網(wǎng)絡(luò)部分(數(shù)據(jù)平面)分開。

基于設(shè)計(jì)的ZTA和整體方法，授權(quán)核心的組件可以組合為一個(gè)解決方案，也可以通過(guò)基于硬件和/或軟件的單個(gè)解決方案完全獨(dú)立。這些組件包括：

• Communication Agent –訪問(wèn)源應(yīng)提供足夠的信息來(lái)計(jì)算置信度。增強(qiáng)的身份屬性，例如用戶和資產(chǎn)狀態(tài)，位置，身份驗(yàn)證方法和信任評(píng)分，應(yīng)包含在每個(gè)通信中，以便可以對(duì)其進(jìn)行正確評(píng)估。

• 強(qiáng)制引擎 –也稱為強(qiáng)制點(diǎn)。應(yīng)將其放置在盡可能靠近保護(hù)元素(數(shù)據(jù))的位置。您可以將其視為數(shù)據(jù)的保鏢。強(qiáng)制引擎將根據(jù)策略授權(quán)所請(qǐng)求的通信，并根據(jù)策略引擎的要求，持續(xù)監(jiān)視流量以停止通信。例如，執(zhí)行引擎可以防止發(fā)現(xiàn)帶有保護(hù)元素的系統(tǒng)。

• 策略引擎 –做出授予資產(chǎn)訪問(wèn)權(quán)限的最終決定，并通知執(zhí)行引擎。策略規(guī)則取決于實(shí)現(xiàn)的技術(shù)，但通常涉及涉及網(wǎng)絡(luò)服務(wù)，端點(diǎn)和數(shù)據(jù)類的訪問(wèn)者，身份，時(shí)間，地點(diǎn)，原因以及訪問(wèn)方式。

• 信任/風(fēng)險(xiǎn)引擎 –分析請(qǐng)求或行動(dòng)的風(fēng)險(xiǎn)。信任/風(fēng)險(xiǎn)引擎將已實(shí)施的信任算法中的偏差通知策略引擎，對(duì)照數(shù)據(jù)存儲(chǔ)評(píng)估通信代理的數(shù)據(jù)，并使用靜態(tài)規(guī)則和機(jī)器學(xué)習(xí)來(lái)不斷更新代理分?jǐn)?shù)以及代理中的組件分?jǐn)?shù)。實(shí)施信任算法可根據(jù)企業(yè)設(shè)置的標(biāo)準(zhǔn)，值和權(quán)重以及座席歷史記錄和其他數(shù)據(jù)的上下文視圖來(lái)計(jì)算基于分?jǐn)?shù)的置信度，從而提供最佳，最全面的方法來(lái)消除威脅。與不考慮歷史數(shù)據(jù)和其他用戶數(shù)據(jù)的算法相比，基于分?jǐn)?shù)和基于上下文的信任算法將識(shí)別可能停留在用戶角色內(nèi)的攻擊。例如，分?jǐn)?shù)和基于上下文的信任算法可能會(huì)以異常方式或從無(wú)法識(shí)別的位置訪問(wèn)正在正常工作時(shí)間以外訪問(wèn)數(shù)據(jù)的用戶帳戶或角色。僅依賴于一組特定的合格屬性的替代算法可能會(huì)評(píng)估得更快，但不會(huì)具有歷史背景來(lái)了解該訪問(wèn)請(qǐng)求看起來(lái)很奇怪-并建議策略引擎在進(jìn)行下一步操作之前要求進(jìn)行更好的身份驗(yàn)證。

• 數(shù)據(jù)存儲(chǔ) –如上所述，一種首選方法是實(shí)施評(píng)分和基于上下文的信任算法。因此，信任/風(fēng)險(xiǎn)和策略引擎必須引用一組存儲(chǔ)的數(shù)據(jù)，以便對(duì)訪問(wèn)請(qǐng)求或通信行為的更改做出策略決定。包含與用戶，設(shè)備，工作負(fù)載以及與這些元素的歷史數(shù)據(jù)和行為分析相關(guān)的分類數(shù)據(jù)相關(guān)的各種元素的庫(kù)存存儲(chǔ)，將通知決策者做出適當(dāng)?shù)脑L問(wèn)決策。

可以根據(jù)組織的用例，業(yè)務(wù)流程和風(fēng)險(xiǎn)狀況以多種方式實(shí)施ZTA。根據(jù)網(wǎng)絡(luò)的業(yè)務(wù)功能， ZTA的授權(quán)核心設(shè)計(jì)不同。例如，在數(shù)據(jù)資源上具有代理的模型可能足以用于本地客戶端到服務(wù)器的通信。但是，在云環(huán)境中，在虛擬私有云(VPC)內(nèi)的每個(gè)數(shù)據(jù)資源上放置一個(gè)Enforcement Engine可能并不現(xiàn)實(shí)。在這種情況下，可以通過(guò)微分段從相同分類下的相等數(shù)據(jù)資產(chǎn)中創(chuàng)建資源組，并使用網(wǎng)關(guān)來(lái)處理策略實(shí)施。

制定的路線圖或行動(dòng)計(jì)劃，與確定公司目前在實(shí)現(xiàn)“零信任”方面的結(jié)果的成熟度評(píng)估相結(jié)合，將有助于指導(dǎo)企業(yè)進(jìn)一步投資于授權(quán)核心技術(shù)，以填補(bǔ)空白。在評(píng)估補(bǔ)充技術(shù)時(shí)，過(guò)去一直對(duì)業(yè)務(wù)有效的特定供應(yīng)商的投資可能包括同一供應(yīng)商。由于尚未針對(duì)授權(quán)核心的關(guān)鍵部分(例如，通信代理提供的數(shù)據(jù)元素，評(píng)分等)建立開放標(biāo)準(zhǔn)，因此，認(rèn)真評(píng)估供應(yīng)商的解決方案以填補(bǔ)在成熟度評(píng)估中發(fā)現(xiàn)的空白很重要。 。

信任算法是一個(gè)供應(yīng)商的解決方案可能支持的關(guān)鍵組件，但另一個(gè)供應(yīng)商的解決方案則不支持，或者一個(gè)供應(yīng)商的解決方案的策略組成可能與其他供應(yīng)商不同。而且，如果在此領(lǐng)域沒有特定的標(biāo)準(zhǔn)，則由于將極高的遷移成本切換到另一種解決方案，企業(yè)可能會(huì)被鎖定在供應(yīng)商手中。對(duì)任何解決方案的評(píng)估都應(yīng)包括對(duì)供應(yīng)商的解決方案以及供應(yīng)商的業(yè)務(wù)的整體看法，該解決方案如何與體系結(jié)構(gòu)中的其他組件鏈接，壽命以及解決方案如何動(dòng)態(tài)擴(kuò)展以抵消增加的負(fù)載