下载掌阅APP,畅读海量书库
立即打开
NIST零信任体系结构模型如图3-1所示。当主体访问企业资源时,系统需要通过策略决策点和相应的策略执行点授予访问权限。
图3-1 NIST零信任体系结构模型
NIST零信任体系结构的组件如图3-2所示。
图3-2 NIST零信任体系结构的组件
策略引擎、策略管理器、策略执行点在第2章已经介绍过了,这里就不再详细介绍。
除了企业中实现ZTA策略的核心组件之外,还有一些数据源提供输入和策略规则,以供策略引擎在做出访问决策时使用。这些数据源包括本地数据源和外部(即非企业控制或创建的)数据源,具体来说,主要包括如下数据源。
(1)持续诊断和缓解系统(Continuous Diagnostics and Mitigation System)
该系统收集关于企业资产当前状态的信息,并对配置和软件组件应用进行更新。企业CDM系统向策略引擎提供关于发出访问请求的系统的信息,例如,它是否正在运行适当打过补丁的操作系统和应用程序,企业批准的软件组件是否完整或是否存在未经批准的组件,以及该资产是否存在任何已知的漏洞。CDM系统还负责对活跃在企业基础设施上的非企业设备进行识别并执行可能的子集策略。
(2)行业合规系统(Industry Compliance System)
该系统确保企业遵守其可能适用的任何监管制度,包括企业为确保合规性而制定的所有策略规则。
(3)威胁情报源(Threat Intelligence Feed)
该系统提供源自外部的信息,帮助策略引擎做出访问决策。该系统可以从多个外部源获取数据并提供关于新发现的攻击或漏洞的信息的多种服务,这些信息包括新发现的软件缺陷、DNS黑名单,新识别的恶意软件或策略引擎,拒绝从业企业系统访问的报告,以及对其他资产的攻击。
(4)数据访问策略(Data Access Policy)
这是一组由企业围绕着企业资源而创建的关于数据访问的属性、规则和策略。这组策略和规则可以通过管理界面进行编码,也可以由策略引擎动态生成。这些策略是授予对资源访问的权限的起点,因为它们为企业中的参与者、应用及服务提供了基本的访问特权。这些访问规则应基于用户角色和组织的任务需求而制定。
(5)公钥基础设施(Public Key Infrastructure,PKI)
此系统负责生成和记录企业给资源、主体、服务和应用程序签发的证书,并将其记录在案。这个过程还涉及全球CA生态系统和联邦PKI,它们可能与企业PKI集成。此系统可以是不基于X.509数字证书构建的PKI体系。
(6)身份管理系统(ID Management System)
该系统负责创建、存储和管理企业用户账户和身份记录(例如:轻量级目录访问协议服务器)。该系统包含必要的用户信息(如姓名、电子邮件地址、证书等)和其他企业特征(如角色、访问属性或分配的系统)。该系统可能是一个更大的联邦社区的一部分,可能包括非企业员工或连接到非企业资产进行协作。
(7)安全信息和事件管理系统(Security Information and Event Management System,SIEM)
这是一个聚合系统日志、网络流量、资源授权和其他事件信息的企业系统,会收集以安全为中心的信息供后续分析。这些数据可用于优化策略并预警对企业资产发起的可能的主动攻击。