(1)根據中國信通院《數字化時代零信任安全藍皮報告》[4],基于零信任基本原則,企業可建設或改造已有網絡安全體系以實現零信任安全架構,利用零信任安全架構為IT系統提供持續的安全保障。架構如圖所示,由零信任核心邏輯組件和內部或外部數據源組成?;诹阈湃伟踩砟畹倪壿嫾軜嫼诵倪壿嫿M件主要分為三部分:
策略引擎:該組件負責信任評估,通過收集和分析參與對象和行為等多源信息,對訪問主體進行持續的信任評估。
控制引擎:該組件作為策略控制點,依賴策略引擎的信任評估結果,持續判定授權策略。
安全代理:該組件作為策略執行點,為授予權限的訪問主體,建立其訪問主體和被訪問資源之間的安全通道。在實際架構中,該邏輯組件可能由兩個不同的組件構成:客戶端(如用戶終端設備上的代理插件等)和資源側網關(如Web網關、API網關等),或單個代理組件。
零信任架構除了核心邏輯組件,還包括內部和外部信任源,與策略引擎協同,將收集并分析參與對象和其行為的安全信息,傳遞給策略引擎,為其進行信任評估提供依據。信任源主要包括:CDM(連續診斷和緩解系統)、行業合規系統、威脅情報源、數據訪問策略、PKI(企業公共秘鑰基礎設施)、ID管理系統、網絡和系統活動日志、安全事件管理系統等。

(2)NIST特別出版物SP800-207《零信任架構》中定義了如圖所示的零信任體系架構。無論用戶擁有何種級別的操作權限,使用何種終端進行操作,以及終端位于什么位置,一切針對企業資源的訪問請求和請求者都被認為是不可信的。只有經過策略決策點的判定為可信的請求者和對應請求才被認為可信,并允許其訪問所請求的企業資源。
策略執行點負責啟用、監控和最終結束訪問主體與企業資源之間的連接。在接收到訪問請求后,策略執行點將請求轉發至策略決策點。策略決策點中的策略引擎使用企業安全策略以及來自外部源的輸入進行信任計算,根據信任計算結果最終決定是否授予特定訪問主體對資源的訪問權限。而策略管理器執行策略引擎的決定,進行主體與資源之間的通信路徑的建立和/或切斷。具體的方式是生成針對具體會話的身份驗證令牌或憑證,以及發出與策略執行點相關的指令。如果會話被授權并且請求通過身份驗證,策略管理器將配置策略執行點來允許會話啟動。
策略引擎進行信任計算使用的外部源主要來自兩部分:1)數據訪問策略、公鑰基礎設施和身份管理系統組成的身份安全基礎設施,該平臺為訪問控制提供所需的基礎數據來源,保障零信任架構實現對人、設備和系統進行全面的、動態的、智能的訪問控制;2)其他安全分析平臺,如持續診斷和緩解系統、行業合規系統、威脅情報提供系統、活動日志以及安全信息和事件管理系統等,共同為零信任提供資產狀態、規范性要求、運行環境安全風險、威脅情報等數據,并綜合大量的日志信息為零信任提供實現持續動態評估的綜合數據支撐。
