零信任网络架构
- 策略引擎:零信任架构需要围绕各核心组件展开,最终决定该访问用户主体能否获得服务端访问权限的关键组件在于策略引擎,其核心任务是利用“信任算法”对访问请求进行信任评估。
- 策略管理器:策略管理器将客户端与资源连接起来,其关键作用是提供访问企业资源时所需的凭证或身份验证码,而决定最终访问的许可与否的是策略引擎,二者缺一不可,相互联系。
- 策略执行点:策略执行点可以是单个零信任逻辑组件,也可以分为两个组件。这是一个复杂的组件体系,主要任务是启动,持续监控,直到终止访问主体与客体间的连接,能够保证业务的安全访问。
- 策略数据源:除了上述的核心组件外,还有一些为策略引擎提供策略规则的数据源,便于策略引擎做出访问决策:如威胁情报流,持续诊断和缓解计划系统,行业合规系统等。
零信任网络常见的部署方案
基于设备代理、网关的部署
这类部署模型里,策略执行点分为 2 个组件,其中一个组件直接定位于资源上,另一个定位于资源前方。 当用户主体期望通过 Agent 代理程序获得数据资源,该用户提出的访问请求会被本地 Agent 代理程序接收,此时请求送达策略管理器 PA,PA 需要将访问请求转递至策略引擎进行评估,决定是否授予权限。如果评估通过,策略管理器便可以利用控制平面在设备 Agent 代理程序与资源网关之间建立一个信息桥梁,实现设备代理与资源网关的连接。
基于安全区的部署
该部署模型实际上是设备代理、网关的部署模型的变体形式,与上述部署方式不同的是,这类模型里网关组件不位于资源前或资源之上,而是直接位于资源安全区。这种模型在使用时需要企业安装一个用于与安全区网关连接的代理 Agent,比较适用于一些传统陈旧的应用程序。
基于资源门户的部署
这种部署形式只有策略执行点一个网关组件,需要网关门户的参与。通过网管门户将应用系统与数据资源连接起来,可以直接摆脱传统的 Agent 代理程序。只是该模型也有一定的弊端,不能对恶意软件或是正常设备进行长时间的连续监测。
基于应用沙箱的部署
在客户主体提出访问申请之前,远程服务器已经连接到了数据资源,当该请求获得授权许可以后, 该可信软件便可以进入沙箱进行访问。
零信任网络的重要性
面对日益复杂的国际网络环境,传统的边界模型缺乏灵活性,无法对内部流量进行监测,具有一定弊端。企业数据随时可能被泄露,这已经成为了当下一个不可忽视的问题。想要网络环境安全,数据资源不被泄露就需要找到一种更加切实可行的保护方案。而零信任网络的出现就很好的解决了这个问题。零信任网络不再只注重于网络边界的防御,它所强调的是“点对点”的防御策略,不信任任何主体,设备,需要持续验证以达到保护功能。
亚马逊云科技热门云产品
Amazon WAF
保护您的 Web 应用程序免受常见 Web 攻击
Amazon VPC
隔离的云资源
欢迎加入亚马逊云科技培训中心
欢迎加入亚马逊云科技培训中心
-
快速上手训练营
-
账单设置与查看
-
动手实操
-
快速上手训练营
-
第一课:亚马逊云科技简介
本课程帮助您初步了解云平台与本地环境的差异,以及亚马逊云科技平台的基础设施和部分核心服务,包括亚马逊云科技平台上的弹性高可用架构,架构设计准则和本地架构迁移上云的基本知识。
亚马逊云科技技术讲师:李锦鸿第二课:存储与数据库服务
您将在本课程中学习到亚马逊云科技上的三个存储服务分别是什么。我们也将在这个模块中为您介绍亚马逊云科技上的关系型数据库服务 Amazon Relational Database Service (RDS)。
亚马逊云科技资深技术讲师:周一川第三课:安全、身份和访问管理
在这个模块,您将学习到保护您在亚马逊云科技上构建的应用的安全相关知识,责任共担模型以及身份和访问管理服务, Identity and Access Management (IAM) 。同时,通过讲师演示,您将学会如何授权给 EC2 实例,允许其访问 S3 上的资源。
亚马逊云科技技术讲师:马仲凯 -
账单设置与查看
-
-
动手实操
-
