登录
2023.06.07
2106
零信任仍然是行业的核心关注点,特别是云原生、甚至多云环境。美国国家标准与技术研究院(NIST)最近发布了800-207A(草案)“多位置环境中云原生应用访问控制的零信任体系架构模型”(文末附800-207A(草案)获取方式)
该草案发布的目的是为实现ZTA提供指导,以加强执行细粒度的应用安全策略,同时满足零信任体系架构(ZTA)对多云和混合云环境的运行要求。它涵盖:
1、企业云原生平台及其组件
2、云原生应用环境设计ZTA策略框架
3、云原生应用环境实现ZTA的多层策略
企业应用环境由地理分布且松散耦合的微服务组成,这些微服务跨越多个云和本地环境。
1、用户群可以通过不同的设备从不同的位置访问它们。这种场景要求安全通信和验证访问策略,在所有企业访问实体、数据源和计算服务中建立信任。
2、零信任体系架构(ZTA)及其构建原则已被公认为获得必要安全保证的实践,通常由集成应用服务基础设施(如服务网格)实现。
3、ZTA只能通过一个全面的策略框架来实现,该框架通过状态评估(例如用户、服务和请求的资源),动态管理所有实体的身份验证和授权。本草案建议:
- 网络层和身份层策略的制定
- 能够部署和实施不同策略的技术组件的配置(例如,在中心协调基础设施的帮助下,网关、服务标识基础设施、身份验证和授权令牌)
草案包括:
1、摘要
2、简介
3、企业云原生平台及其组件
4、为云原生应用环境设计ZTA策略框架
5、为实现用于云原生应用环境的ZTA多层策略
涵盖应用基础设施参考场景、服务网格在策略部署/实施和更新中的作用、用于参考应用基础设施的策略部署、其它应用基础设施场景、应用基础设施元素在执行策略中的功能作用、身份层和网络层策略的比较、网络层策略的部署方法和限制、部署身份标识层策略的先决条件及身份层策略的优势。
6、总结
草案为在多集群和多云部署中托管应用的企业环境中实现云原生应用平台(具有服务网格基础设施的微服务)的ZTA提供了指导。ZTA由强制执行零信任原则的部署组件组成,只有通过覆盖所有企业资源的健壮、灵活、可扩展和细粒度的策略才能实现零信任。草案提出了一个由网络层和身份层策略组成的策略框架,以实现这些目标。
草案讨论了这些策略的定义、部署和实施所需的组件,以及网络层策略和身份层策略的示例。还说明了这些策略在现代企业应用基础设施中的适用性。最后,比较了这两层策略的优势和局限性,并强调了身份层策略在现代云原生应用基础设施背景下实现ZTA的关键作用。
手机:19925407556
邮箱:info@c-csa.cn