ZeroTrust零信任基础

Posted 2021-11-23 玛丽莲茼蒿

首先，通俗的理解什么是零信任。
看了美国防部2022年对于网络空间领域（注意，是网络空间不是网络安全）方面的预算后,大概是这么个关系：

也就是说零信任是网络安全的一部分（好像是废话）

前面说的是零信任作用在哪个领域内，我们可以和传统网络安全模型对比着看再来理解一下什么是零信任。在传统边界安全中，防火墙就好比一把锁，如果你有了钥匙（通过了某种访问验证）可以打开这把锁，就放你进入这堵墙的内部，可以说是 “有信任” ，或者说 “开锁以后就无条件信任”。而对于零信任来说，即使你通过了访问认证，还是要对你的行为进行实时监控，所以说是“零信任”

一、零信任的出现

1.1 传统边界安全

1）框架

用户需要层层穿越防火墙才能访问公司内部的服务器资源

1）不安全因素

总的来说，就是访问需求的增加

• 移动设备增加
• 云计算需求增加
• …

1.2 零信任的雏形-----Beyond Corp架构

其使命就是替代VPN

最初的目的是让Google的每一位员工可以不借助VPN，穿越不受信任的互联网，顺利开展工作

特点：

• 公司员工无论是在公司内还是公司外，其IP都可以实现对公司资源的访问
• 只有在企业的数据库注册过的设备、用户才可以实现访问
• 端到端的加密传输

1.3 零信任的三大焦点领域

1） 密码被盗
2） 系统漏洞（软件漏洞）没有及时修补
3）IOT设备管控

1.3 零信任架构（目前达成共识）的主要组件

整个零信任的核心组件有两个，PDP和PEP

PDP负责对通过安全验证的设备进行“盯梢”（即使是通过了一次安全验证的设备也不信任，也是零信任思想的一种体现）
PEP负责把怀疑对象“拿下”

二、华为数通的零信任架构

下面是他的整个框架

对于权限进行动态监测，下图这个比喻用的非常好。动态刷新健康码，不同健康码的人在市内的准许活动范围肯定不一样。