零信任安全架构

网络安全参考架构

2023.2.7，美国国防部网络安全参考架构CS-Ref-Architecture，可执行的安全体系架构概念图

可执行的操作分解图

访问控制模型

2019.2.25 NIST SP 800-162 基于属性的访问控制（ABAC）的定义和注意事项

NIST:基于属性的访问控制模型ABAC参考体系结构

零信任架构

2020.8.11 NIST SP 800-207 零信任架构Zero Trust Architecture

2020.10.21 NIST+NCCoE 实现零信任架构(NIST SP 800-207的落地实践)Implementing a Zero Trust Architecture

2022.06.02 奇安信主导的《信息安全技术零信任参考体系架构》（征求意见稿）

软件定义边界SDP

2022.03.10 软件定义边界 (SDP) 规范 v2.0 Software-Defined Perimeter (SDP) Specification v2.0

SDP有效实现了NIST零信任架构（ZTA）定义的基本原则以及业务逻辑：

数据平面 (Data Plane)与控制平面(Control Plane)分离
资源对未授权的用户/设备不可见（网络隐身）
最小授权原则
所有流量加密，等等…

AH可以与目标服务部署在相同的设备，或者部署在相同的网络中。

零信任网关产品架构

国内最常见的零信任网关类产品将安全策略执行点（PEP）简化为一个安全网关（甚至很多公司直接将策略执行点翻译为安全网关），通过多个位置部署或某个位置的集群部署，实现特定区域保护的效果，控制粒度较粗，难以实现主机/应用/容器级的全网精细化访问控制，无法实现全链路加密。

零信任网关中的隐身网关的作用，类似于防火墙。隐身网关对用户的身份进行检测，对合法用户打开防火墙的端口。对非法用户来说，所有端口都是关闭的。

如果把隐身网关放在Web代理网关（正向代理或反向代理）之前的话，可以使Web代理网关具备“隐身”防护能力，抵抗针对Web代理网关的漏洞扫描或者DDoS攻击。Web代理网关的缺点是很多应用Web应用无法直接代理可能涉及应用系统改造，并且存在性能下降的问题，通过集群部署可以改善性能缺陷，但是用户还是可以感受到性能的这种差异。

网络隧道网关的作用是覆盖Web之外更多使用场景（如C/S架构的业务系统，远程运维连接SSH、连接数据库等），很多零信任产品是用VPN来实现网络隧道网关的，包括SSL VPN或wireguard。 网络隧道网关的缺点是暴露网络层的资源，安全性更低。

服务器之间的访问需要API网关来管理。第三方服务器调取被保护资源的API时，隐身网关放行后需要进行身份验证。

安全网关是零信任架构的中心，是零信任理念的执行者。安全网关通常会部署在企业网络的入口，对企业影响非常大。因此，网关对各种协议是否都能支持，网关是否支持高可用，加密通信的性能和稳定性，是零信任安全网关最重要的评价指标。

零信任网关的产品架构

零信任网关的多集群部署

零信任安全网关的作用如下：

零信任安全网关隔开了左侧外网和右侧内网。用户在左侧网络中。用户想获取右侧的数据资源，只能通过网关进入。网关就像是门卫一样，合法的让进，不合法的拦住。
所有的安全策略都由网关执行。零信任要求对用户的身份、设备、行为路径等等多个方面进行检测和判断，检测结果由网关执行。用户的请求到网关之后，网关解析出请求中的用户信息，然发给各个策略检测模块。所有的检测结果都汇聚到网关，由网关最终执行。

零信任成熟度模型

2023.4.12 美国网络安全和基础设施安全局CISA：零信任成熟度模型2.0 Zero Trust Maturity Model Version 2

零信任的五大支柱（身份、设备、网络、应用程序和工作负载、数据）和三个交叉功能（可见性和分析、自动化和编排、安全治理）

零信任成熟度模型功能视图