組件名稱 | 簡要說明 |
7層網關/HTTP代理 | 實現流量收口,同時作爲策略執行點(PEP)的存在,執行對流量的放過/攔截動作,甚至於更擴展的特性,例如投毒 |
決策中心 | 決策中心,作爲策略決策點(PDP)的存在,需要完成當前流量的認證、授權以及風險識別的工作 |
風控中心 | 這一部分,作爲實現零信任思想中“持續信任評估”理念的組件,實際上,在零信任建設初期,也可以暫時缺失或者放緩建設步子 |
管理平臺 | 作爲權限配置、策略配置的管理平臺(PAP),提供給業務管理員配置的入口,同時也是提供給安全管理員管理操作的平臺 |
組件名稱 | 簡要說明 |
4層網關 | 實現4層流量收口,同時作爲策略執行點(PEP)的存在,執行對流量的放過/攔截動作 |
安全客戶端 | 自客戶端上實現身份認證,與4層網關之間建立可信傳輸隧道,封裝原始流量以攜帶身份認證憑證。同時,實現客戶端環境信息的收集,提供給決策中心用以實現授權評估 |
安全控制檯 | 即客戶端對應的server,實現對客戶端的管理,包括身份認證、版本管理、信息收集等 |
資產信息庫 | 根據客戶端信息收集,結合公司資產管理(CMDB),詳細記錄資產健康狀態與全生命週期跟蹤 |
序號 | Subject | Resource | Result | 備註 |
1 | 10.200.27.0/24 | http://r.zerotrust.com/api | Access | api爲服務對外提供接口,授權給其他服務調用 |
2 | 10.200.33.0/24 | http://r.zerotrust.com/english | Denied | english資源被明確禁止從學校機房中訪問 |
3 | 英語教學組 | http://r.zerotrust.com/teacher | Access | 英語教學組可以訪問teacher資源進行教學準備 |
4 | 三年級 | http://r.zerotrust.com/english | Access | 全體三年級學生可以訪問english資源 |
5 | LiLei | http://r.zerotrust.com/admin | Access | Lilei同學作爲網站管理員,可以訪問admin資源 |
6 | 教務處 | http://r.zerotrust.com/english | Access | 教務處老師可以訪問english資源,進行資源評估 |
序號 | 條件 | 屬性 | 詳細描述 |
1 | IP:10.200.28.0/24 | Requisite | 訪問必須源於教學樓內 |
2 | Device in CMDB:True | Sufficient | 設備屬於學校資產 |
3 | SMS Verify:True | Requisite | 訪問經過短信驗證 |
4 | Access Time: Mon-Fri, 07:00-18:00 | Requisite | 只有在週中的教學時間可以訪問 |
安全攻擊類型 | 緩解措施 | 如何將零信任網絡和SIEM集成 |
端口掃描/ 網絡偵察 | 封鎖並通知 | 零信任網絡阻止所有未經授權的網絡活動,並可以記錄所有連接請求以供SIEM系統使用。 |
拒絕服務DDoS攻擊 | 封鎖並通知 | 由於零信任網絡需要對請求進行授權,未經授權的請求會被重定向至SSO,因此DDoS攻擊不會對業務產生衝擊。同時,這些需要認證的請求也會被SIEM記錄下來,用作DDoS攻擊的分析識別。 |
惡意使用授權資源 | 檢測和定位 | 零信任網絡允許授權用戶訪問授權資源,SIEM系統以及其他風控系統將持續對用戶活動進行分析,異常行爲被識別後可以藉助零信任網絡的風控能力禁止授權用戶訪問,直到用戶異常行爲消失或事件被處理。 |
惡意訪問未授權資源 | 檢測並封鎖 | 零信任網絡中只允許用戶訪問已授權的資源,當大量未授權請求被識別時,將觸發風控能力,對惡意請求主體進行降權或封鎖。 |
使用被盜憑證 | 封鎖並通知 | 零信任網絡將會綜合多種信息給予授權,而非簡單的基於身份的授權,使得憑證盜用後難以獲取想用的權限。同時,盜用憑證後的多種異常行爲會被零信任網絡記錄,並在SIEM中得以彙總分析。 |
內網的橫向擴散 | 封鎖並通知 | 基於零信任網絡的隔離特點,內網的橫向擴散將很大程度上被遏制。其他主機將對受控主機呈現不可見狀態。同時,當受控主機呈現橫向主機發現特徵時,將被記錄下來並分析識別。 |