零信任架构 (Zero Trust Architecture)
区别于以前的信任模型,默认信任防火墙内的网络节点,零信任不会因物理或网络的位置而信任用户或设备。任何对资源的一次访问请求,都要被独立评估。所谓的零信任是建立在持续验证、持续评估和持续监控基础上的永不信任。
零信任架构提供了一种策略 (Policy)驱动的、以身份 (Identity)为中心的、对每个请求 (Request)进行持续验证的访问控制。
零信任架构的逻辑模型如下:
┌───────────────────────┐
│ Policy Decision │
│ Point (PDP) │
│ │
│ • evaluates request │
│ • checks identity │
│ • checks device │
│ • checks policy │
│ → returns Allow/Deny │
└──────────┬────────────┘
│ decisions
▼
Subject ┌───────────────────────────────┐ Resource(app/API/data)
─────────────────────>│ Policy Enforcement Point │────────────────>
(user/device/service) │ (PEP) │ only if allowed
│ │
│ • sits in the data path │
│ • blocks or forwards traffic │
│ • enforces the PDP decision │
└───────────────────────────────┘其中,位于PDP的策略引擎PE是ZTA的大脑,根据输入信息评估请求,做出allow/deny的策略决定,并通过策略管理器PA下发给PEP。PEP作为看门人,负责允许/阻止实际的连接请求。即PDP确定授权策略,PEP执行授权策略。
策略引擎PE执行的信任评估算法,通常考虑如下输入信息:
- User identity + credentials
- Device health / compliance posture
- Behavioral baselines (判断是否用户的常规行为)
- Threat intelligence feeds
- Time, location, network
- Resource sensitivity
零信任架构的部署层次:
- 基于Identity, 以IAM为核心的身份控制,不控制网络和流量负荷。常见的实现有OPA (Open Policy Agent), Okta Access Gateway, Google BeyondCorp, AWS Cedar。
- 软件定义网络访问SDP, 控制外部用户的网络访问,不控制内部流量,如ZTNA。常见的实现有Cloudflare Access, Cloudflare WARP, Zscaler, Google BeyondCorp。
- 服务微隔离, 根据流量负荷划分的细粒度的网络,不处理身份和访问。常见的实现有Service Mesh。
上述部署方式往往是结合使用的。
身份与访问管理IAM
IAM包括身份认证和访问控制,以确认的身份为核心,进行持续的权限验证,以及最小的授权访问和上下文感知的授权访问。
根据NIST 800‑207的标准,IAM属于ZTA的控制面,定义认证与授权的策略。IAM是零信任架构控制面的核心,负责"谁可以访问什么",包括用户认证、访问授权、身份治理与风险行为评估,是后续数据面中网关、代理和服务微隔离Service Mesh等的前提基础。
IAM的主要功能:
- SSO集中验证身份,基于AD,LDAP,和Keycloak等身份源
- 多要素身份认证MFA(只针对识别出来的高风险用户)
- UEBA风险行为实时分析
- 基于上下文、RBAC/ABAC和最小权限的资源动态访问控制策略
- 身份的生命周期管理
IAM的主要构成:
- IdP, 用户身份源,如Okta或Azure AD
- MFA
- OIDC, 用户认证
- RBAC/ABAC, 基于role/attribute的用户访问控制
- SPIFFE/SPIRE, workload身份管理
- SCIM, 跨系统的用户身份管理
IAM的主要实现:
- 开源框架:Keycloak (Java)、Dex (Go, K8s原生)
- SaaS:AWS IAM、MS Entra ID (即Azure AD)、Okta (Auth0)
人工智能对IAM带来的挑战
- 非人类身份NHI的管理
- 更精确的访问权限控制
- 即时授权(Just-In-Time Access)
- 新法规(EU AI Act、DORA、NIS2等法规)的合规审
相关术语
4A, Authentication, Authorization, Accounting, Audit
SSO, Single Sign-On
MFA, Multi‑Factor Authentication
UEBA, User and Entity Behavior Analytics
RBAC/ABAC, Role-Based Access Control/Attribute-Based Access Control
PAM, Privileged Access Management
IDM, Identity Management
SCIM, System for Cross-domain Identity Management
SPIFFE, Secure Production Identity Framework for Everyone
SPIRE, SPIFFE Runtime Environment
FIDO, Fast IDentity Online
LDAP, Lightweight Directory Access Protocol
AD, Active Directory (MS产品)
NHI, Non-Human Identity
ZTA, Zero-Trust Architecture
ZTNA, Zero-Trust Network Access
SDP, Software-Defined Perimeter
SPA, Single Packet Authorization
PDP, Policy Decision Point
PEP, Policy Enforcement Point
OT, Operational Technology