身份安全 | 零信任之網(wǎng)絡(luò)安全

上回我們講完零信任的業(yè)務(wù)安全部分（ABAC），現(xiàn)在我們來(lái)看看網(wǎng)絡(luò)安全。

零信任下的網(wǎng)絡(luò)安全包括兩部分在：一部分在終端，另一部分在網(wǎng)關(guān)。在終端的稱為可信代理，裝有可信代理的終端為可信終端；在網(wǎng)關(guān)后端的為單報(bào)認(rèn)證（SPA），稱之為可信網(wǎng)關(guān)。

先認(rèn)證后連接

我們現(xiàn)有的機(jī)制是先連接后認(rèn)證，意味著任何終端都可以與被訪問(wèn)的資源建立連接，這個(gè)就存在著很大的潛在風(fēng)險(xiǎn)，被訪問(wèn)的資源對(duì)任何終端都是開(kāi)放的，即便是有不合法的終端來(lái)連接也是如此，而被訪問(wèn)的資源無(wú)法事先知道終端的合法性，存在被侵入和劫持的可能。對(duì)于零信任的網(wǎng)絡(luò)安全則要求先認(rèn)證后連接，這樣對(duì)于無(wú)法通過(guò)認(rèn)證的終端將被拒絕而無(wú)法與被訪問(wèn)資源建立連接。如下圖所示：

這里的紅線表示非可信終端的訪問(wèn)，綠線表示可信終端的訪問(wèn)。

被訪問(wèn)的資源對(duì)外不可見(jiàn)

典型的例子就是VPN訪問(wèn)了，VPN一直以來(lái)被企業(yè)用作遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)的工具，當(dāng)VPN認(rèn)證通過(guò)后，內(nèi)網(wǎng)的所有應(yīng)用服務(wù)將暴露給訪問(wèn)者，這就存在一個(gè)問(wèn)題：如果內(nèi)網(wǎng)中存在A和B資源，當(dāng)訪問(wèn)者只需訪問(wèn)A資源的時(shí)候，B資源同樣被暴露給了訪問(wèn)者，即便訪問(wèn)者沒(méi)有B資源的權(quán)限，但這不妨礙訪問(wèn)者與B資源建立連接，如果要解決這個(gè)問(wèn)題，這就又回到了先認(rèn)證后連接的解決方案。

針對(duì)這個(gè)情況，VPN無(wú)法解決，零信任的網(wǎng)絡(luò)安全方案中會(huì)通過(guò)可信網(wǎng)關(guān)屏蔽所有非訪問(wèn)的資源，訪問(wèn)者只能夠訪問(wèn)可以被訪問(wèn)的資源。以前面的例子來(lái)說(shuō)，如果訪問(wèn)者需要訪問(wèn)A資源，在零信任網(wǎng)絡(luò)安全下訪問(wèn)者的身份認(rèn)證通過(guò)后只有A資源對(duì)其可見(jiàn)，B資源是不可見(jiàn)的。