@CI
2年前 提问
1个回答
零信任安全架构包括什么
Simon
2年前
零信任安全架构包括:
以身份为中心:零信任安全架构的本质是以身份为中心进行动态访问控制,全面身份化是实现零信任安全架构的前提和基石。基于全面身份化,为用户、设备、应用程序、业务系统等物理实体建立统一的数字身份标识和治理流程。
业务安全访问:在零信任安全架构下,所有的业务访问请求(包括用户对业务应用的访问、应用API之间的接口调用访问等)都应该被认证、授权和加密。
持续信任评估:零信任安全架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高的多因子认证,也需要通过度量访问主体的风险,持续进行信任评估。例如,主体的信任评估可以依据认证手段、设备的健康度、应用程序是否为企业分发、主体的访问行为、操作习惯等;环境的信任评估可以包括访问时间、来源IP地址、来源地理位置、访问频度、设备相似性等各种时空因素。
动态访问控制:在零信任安全架构下,主体的访问权限不是静态的,而是根据主体属性、客体属性、环境属性和持续的信任评估结果进行动态计算和判定的。传统的访问控制机制是宏观的二值逻辑,大多基于静态的授权规则、“黑白名单”等技术手段进行一次性的评估。零信任安全架构下的访问控制基于持续度量、自动适应的思想,是一种动态微观判定逻辑。