《零信任接口應(yīng)用白皮書》深度解讀

......

在這種背景下，零信任接口標(biāo)準(zhǔn)化和零信任SaaS服務(wù)再度被關(guān)注到，相比于零信任接口標(biāo)準(zhǔn)化，零信任SaaS服務(wù)在集成過程中，需要破除不同機(jī)構(gòu)的安全能力來對接，且適用場景十分有限，而零信任接口標(biāo)準(zhǔn)化通過定義標(biāo)準(zhǔn)的零信任接口，來實(shí)現(xiàn)不同安全產(chǎn)品/服務(wù)/模塊之間的互聯(lián)互通成為目前發(fā)展的主要趨勢。

《零信任接口應(yīng)用白皮書》中對以下6類接口進(jìn)行了詳細(xì)的描述：

身份安全接口-身份數(shù)據(jù)同步接口：在主體訪問系統(tǒng)資源過程中，零信任架構(gòu)需要對主體用戶身份進(jìn)行持續(xù)的鑒別，因此，通過身份安全接口，用戶的身份數(shù)據(jù)將實(shí)時(shí)從身份管理組件同步至零信任系統(tǒng)中。

身份安全接口-身份認(rèn)證接口：身份認(rèn)證接口在主體訪問系統(tǒng)資源過程中對主體身份進(jìn)行動態(tài)的鑒別，并給主體頒發(fā)身份票據(jù)，在不同業(yè)務(wù)接口對接時(shí)通過身份票據(jù)來確定主體身份。

身份安全接口-單點(diǎn)登錄/登出接口：

• 單點(diǎn)登錄：在主體未完成認(rèn)證的情況下，強(qiáng)制用戶在身份管理系統(tǒng)中完成認(rèn)證過程；

• 單點(diǎn)登出：在主體僅在某一系統(tǒng)/組件中執(zhí)行注銷操作時(shí)，單點(diǎn)登出接口對所有已處于登錄狀態(tài)的組件/系統(tǒng)均執(zhí)行注銷操作。

通過威脅情報(bào)接口，對所有訪問來源及外聯(lián)目標(biāo)進(jìn)行辨別，并結(jié)合訪問控制機(jī)制，建立一道風(fēng)險(xiǎn)保護(hù)屏障。

在工作負(fù)載數(shù)量規(guī)模龐大的情況下，工作負(fù)載數(shù)據(jù)同步接口可大幅提升零信任方案的部署效率，有效保障云內(nèi)工作負(fù)載資產(chǎn)屬性和零信任防控體系的業(yè)務(wù)一致性。

• 密碼服務(wù)接口-證書接口：在證書生命周期管理方面，對訪問零信任體系的主體頒發(fā)數(shù)字證書；在證書應(yīng)用方面，對證書進(jìn)行密碼應(yīng)用的服務(wù)；

• 密碼服務(wù)接口-密碼服務(wù)接口：密碼服務(wù)接口主要為零信任架構(gòu)中提供基礎(chǔ)密碼服務(wù)。

在主體訪問系統(tǒng)資源過程中，對主體的訪問請求放行或阻止需要進(jìn)行判斷。

在本次《零信任協(xié)同發(fā)展研討會暨接口白皮書發(fā)布&標(biāo)準(zhǔn)宣貫會》上，派拉軟件研發(fā)總監(jiān)茆正華參與了零信任產(chǎn)業(yè)協(xié)同發(fā)展圓桌論壇討論，并表示零信任接口標(biāo)準(zhǔn)化不但能降低企業(yè)技術(shù)驗(yàn)證的成本，也能催生更多有競爭力的產(chǎn)品，零信任接口標(biāo)準(zhǔn)的制定，能使技術(shù)本身得到規(guī)范、進(jìn)化和創(chuàng)新，有助于擴(kuò)大市場的產(chǎn)品藍(lán)圖，起到行業(yè)規(guī)范和成本控制的作用。此次，派拉軟件作為零信任接口應(yīng)用白皮書編寫組的 一員，希望能夠與大家共同努力，推動整個(gè)零信任大生態(tài)的共建、發(fā)展和落地。