讓我們從零信任體系結構的邏輯組件開始,如NIST SP 800-207中所指定並在此圖中所示:
當然,零信任架構的工作部分比上圖更多,但實際上有三個核心組件:策略引擎、策略管理和策略執行點。這三個組件通過精細控制強制執行對 IT 資源的最低權限訪問,同時確保策略的準確性並提供可見性以確保數據、基礎架構和其他資產的安全。讓我們看看每個:
策略引擎:負責最終決定授予給定主題對資源的訪問權限。
Policy Admin:負責建立和/或關閉主體和資源之間的通信路徑。
策略執行點:負責啟用、監控並最終終止主體與企業資源之間的連接。
考慮在不受信任的系統上發出對特定資源的訪問請求的主體。請求從策略執行點發送到策略管理員,最終到達策略引擎進行評估。策略引擎已配置為根據組織的信任算法授權訪問。
如果請求根據接收到的參數獲得授權,則策略引擎認為主體是可信的,並且策略管理員通過打開通信通道向主體授予授權的資源訪問權限。如果他們系統上的某個主題在任何時候變得不受信任,策略管理員可以關閉通信渠道,防止未經授權訪問企業資源。
現在我們已經介紹了零信任架構的核心組件,讓我們來看一個使用 Citrix 技術的示例,如下所示(單擊圖片查看大圖):
在圖中,我有一個不受信任的系統上的主題請求訪問資源。在策略管理員可以打開與資源的通信通道之前,策略引擎必須驗證請求。
在這種情況下,主題是用戶,系統是他們安裝了 Citrix Workspace 應用程序的設備,資源可以是 SaaS 應用程序、內部 Web 應用程序、VDI、TCP/UDP 連接或客戶端-服務器應用程序。具有Citrix Secure Private Access的 Citrix Workspace已成為企業資源的零信任交付機制。
現在讓我們看看當訪問請求到達 Citrix Workspace 時會發生什麼。
要開始驗證過程,主體必須首先進行身份驗證。NIST 規定的零信任架構的第四條原則指出,“對資源的訪問由動態策略決定,包括客戶端身份、應用程序/服務和請求資產的可觀察狀態——並且可能包括其他行為和環境屬性。”
為遵守此原則,Citrix Workspace 將訪問請求發送到自適應身份驗證服務。這是動態識別個人身份並使用適當的身份驗證方法(LDAP、RADIUS、SAML、OAuth、證書)、設備狀態檢查、產品掃描(例如 Avast! Free Antivirus)、供應商掃描(例如 Avast Software)、通用掃描(例如防病毒)和系統掃描(例如設備證書)。
組織必須建立自適應身份驗證/授權過程(通常稱為信任算法)的細節。信任算法的一些構建塊包括資源要求(定義訪問資源的最低要求——MFA、地理定位等);資產數據庫(企業自有資產或非託管設備的已知狀態和要求);和主題數據庫(請求訪問的“誰”、主題集和屬性集合)。
此時,主體已通過身份驗證,但他們只是成為完全受信任的企業資源訪問的一半。自適應身份驗證服務發送它了解的有關主題的身份、上下文和位置信息以進行自適應訪問,輔助策略引擎,在啟動資源時啟用某些安全控制(遠程瀏覽器隔離、企業瀏覽器)和鎖定策略(剪貼板限制、無法下載、水印、驅動器映射阻止等)。這樣做滿足了零信任架構的第三個原則——“對單個企業資源的訪問是在每個會話的基礎上授予的”——和第六個原則——“所有資源的身份驗證和授權都是動態的,在允許訪問之前嚴格執行”按照 NIST 的規定。
現在主題已經過完全驗證並請求訪問特定資源,策略管理員 (Citrix Workspace) 將打開與資源的通信通道。發生這種情況時,策略執行點(Citrix Workspace 應用程序)將執行由自適應身份驗證和自適應訪問策略評估的結果確定的安全控制和鎖定策略。此時,主體的系統現在通過代理服務以受信任的方式安全地連接到企業資源,並且將繼續連接直到主體和/或系統違反信任算法。
為確保只有受信任的用戶連接,來自 Citrix 環境的原始事件被提供給Citrix Analytics for Security,後者監控和分析最終用戶行為並報告風險操作。利用機器學習技術來識別異常行為並在必要時採取閉環自主操作,例如開始會話記錄、註銷用戶、請求最終用戶響應或鎖定用戶帳戶。
文章來源 / Citrix Blog Citrix Blog
返回