《Zero Trust Architecture》NIST白皮书 阅读笔记

Posted 2021-11-23 玛丽莲茼蒿

一、ZTA综述部分

如果一个用户/设备想要访问公司内部的资源，那么他的逻辑访问是这样的。注意他经过PDP/PEP访问验证后，仍然是implicit trust不明确的信任

二、ZTA的构成

注意，企业可以选择性的删掉一些构建或者添加一些。下面给出的只是逻辑上的组成。
ZAT，由3大部分组成。ZAT=策略决策点PDP+策略执行点PEP+外部支撑结构

其中战略决策点PDP由策略引擎PE和策略管理器PA组成
策略引擎PE：负责最终决定是否授权指定客户端对服务端的访问权限
策略管理器PA：负责建立客户端与服务端的逻辑连接，负责生成客户端访问服务端的所有身份认证令牌或者凭证，并且依赖策略引擎的决定来确定最终允许或者拒绝连接
策略引擎和策略管理器两个组件配合使用，策略引擎根据日志信息，结合身份库、权限库数据等做出决策并进行记录，策略管理器执行策略引擎做出的决策
策略执行点PEP:负责启用、监视并且最终终止(如果发现客户端图谋不轨的话）客户端与服务端直接的连接
外部支撑结构
（1）CDM系统
CDM系统是持续诊断和缓解系统。持续监测asset在干什么（有没有进行危险的操作、非法的操作），并反馈给策略引擎PE。
（2）行业合规
保证系统在行业规范内运行。
（3）
（4）

2.1 零信任三大技术

2.1.1 技术（一）—— SDP 软件定义边界

1.什么是双向TLS认证
TLS是一种安全传输协议，通常用的是单向TLS，即客户端去验证服务器是否安全（因为网络通信中更多的是用户关心进入的网站是否安全，而进入服务器的用户是否安全是被忽略的），这样就会存在非法客户端访问的情况。因此，在 SDP 协议中明确提出需要在通信开始前使用双向认证，即相互校验，server需要校验每个client，client也需要校验server。

2.SDP的三大组件

• SDP控制器：SDP的大脑，主要进行主机认证和策略下发，还可以用于认证和授权SDP连接发起主机、配置到SDP连接接受主机的连接。
• SDP连接发起主机：终端用户设备
• SDP连接接受主机：SDP网关或者边界

3.通信过程