技术·原创 | 零信任与基于策略的访问控制

技术·原创 | 零信任与基于策略的访问控制

作者：息象科技—Bruno Jin

当前企业在办公过程会使用大量不同的应用程序和操作系统来实现企业价值。很多的企业还会跨多个环境，（On-Prem 或者 Cloud）工作，广泛支持BYOD设备，并采用敏捷开发模式，使办公环境变的十分复杂。在如此复杂，变化多端的环境中，如何提供有效的安全访问控制？

零信任模型是目前最佳的解决方案

身份认证、信任评估、动态访问控制、业务安全访问是零信任的核心能力。
在零信任模型中，基本假设是身份和资源通过可信网络连接。为了满足这一要求，必须全面控制双方。身份管理和身份验证管理确定身份，授权管理确定资源。

零信任模型是基于会话的、动态策略评估的、细粒度的动态访问控制。其特点和能力如下：

• 所有数据源和计算服务都被认为是资源。
• 无论网络位置如何，所有通信都要受到保护。
• 在每个会话的基础上，授予定向资源的访问权。
• 对资源的访问由动态策略决定，包括客户端身份、应用程序、请求资产的可观察状态，并且可以包括其他行为属性。
• 确保企业所有拥有的有关设备处于尽可能最安全的状态，并且动态监控其安全的状态。
• 在允许访问之前，所有资源的认证和授权都是动态的和严格强制执行的。
• 帮助企业收集关于网络基础设施和通信的当前尽可能多的信息，并使用它来改善其安全态势。