网络后沿：零信任网络架构( 二 ) _网络架构

1）准确识别设备；
2）准确识别用户；
3）移除对网络的信任；
4）通过面向互联网的访问代理提供内部应用和工作流；
5）实现基于已知设备和用户的访问控制，并动态更新设备和用户信息。

对比一下，贵公司的SSL VPN等接入方案是不是也和上面的流程一致呢？
零信任网络架构在零信任网络中，整个网络架构也可以类比SDN ，可分为控制平面和数据平面。控制平面主要负责协调和配置，支撑整个系统。其他的内容都可以看作是数据平面。
在控制平面中，对受保护资源的访问请求首先要通过控制平面的同意，设备和用户都必须经过身份验证和授权。细粒度策略可以应用于这一层，策略可以是基于组织中的角色、时间或设备类型。访问更敏感的资源还可以强制进行更强大的身份验证。
一旦控制平面同意了请求，它将动态配置数据平面以接受来自该客户机的流量。此外，它还可以在请求者和资源之间对隧道进行加密。加密的方式包括临时凭据、密钥和临时端口号等。
所以，堡垒机（运维审计系统）这一产品应用而生，通过"统一入口"加"集中管理" ，解决了错综复杂的对应关系带来的运维挑战，能同时实现身份认证、访问控制、权限控制和操作审计等功能，有效控制运维风险。

文章插图

对于传统网络中的管理网，一旦管理区域受到威胁，那就相当于给攻击者在网络中开了"后门" 。如果管理网也能统一运维、集中管理，那么传统网络中非对称规则带来的风险将会大大降低。
虽受众人追捧，但道阻且长这是知乎上"软件定义网络"认为"零信任网络"存在的挑战。在2020领航者峰会上我也看到有人提问， "零信任网络"推广的最大障碍是什么？我想应该是人们日常应用中稍微复杂一点的操作，不再唾手可得的资源和访问权限，和使用过程中莫名的隔阂感吧。
其实通过这次疫情，大家应该深有体会，本来很熟悉的物业、保安等一次次地卡住你，要求量体温、出示身份证、出入证、健康绿码、轨迹信息等等，不厌其烦；但也正是这种细致入微的繁琐，才保证了今天的全员复工复产。
不过，我相信网络中的技术实现要比防疫检查这种"零信任"来的简单得多，终端上的信息采集工具运行越来越无感知、安全软件的防护越来越到位、无感知认证技术也越来越成熟等等，可能你早已身处"零信任网络"中而没有感知，又怎么能说"零信任网络"没有到来呢？你说对不？