身份安全 | 零信任之網(wǎng)絡安全

上回我們講完零信任的業(yè)務安全部分（ABAC），現(xiàn)在我們來看看網(wǎng)絡安全。

零信任下的網(wǎng)絡安全包括兩部分在：一部分在終端，另一部分在網(wǎng)關。在終端的稱為可信代理，裝有可信代理的終端為可信終端；在網(wǎng)關后端的為單報認證（SPA），稱之為可信網(wǎng)關。

先認證后連接

我們現(xiàn)有的機制是先連接后認證，意味著任何終端都可以與被訪問的資源建立連接，這個就存在著很大的潛在風險，被訪問的資源對任何終端都是開放的，即便是有不合法的終端來連接也是如此，而被訪問的資源無法事先知道終端的合法性，存在被侵入和劫持的可能。對于零信任的網(wǎng)絡安全則要求先認證后連接，這樣對于無法通過認證的終端將被拒絕而無法與被訪問資源建立連接。如下圖所示：

這里的紅線表示非可信終端的訪問，綠線表示可信終端的訪問。

被訪問的資源對外不可見

典型的例子就是VPN訪問了，VPN一直以來被企業(yè)用作遠程訪問內(nèi)網(wǎng)應用服務的工具，當VPN認證通過后，內(nèi)網(wǎng)的所有應用服務將暴露給訪問者，這就存在一個問題：如果內(nèi)網(wǎng)中存在A和B資源，當訪問者只需訪問A資源的時候，B資源同樣被暴露給了訪問者，即便訪問者沒有B資源的權限，但這不妨礙訪問者與B資源建立連接，如果要解決這個問題，這就又回到了先認證后連接的解決方案。

針對這個情況，VPN無法解決，零信任的網(wǎng)絡安全方案中會通過可信網(wǎng)關屏蔽所有非訪問的資源，訪問者只能夠訪問可以被訪問的資源。以前面的例子來說，如果訪問者需要訪問A資源，在零信任網(wǎng)絡安全下訪問者的身份認證通過后只有A資源對其可見，B資源是不可見的。