都在談零信任，網路安全和零信任架構的核心是什麼？

作為網路安全零信任方法的一部分，應先對網路流進行身份驗證，然後再對其進行處理，並透過動態策略確定訪問許可權。旨在永不信任並始終驗證所有連線的網路，需要一種可以確定信任度並授權連線並確保將來的交易仍然有效的技術。

零信任體系結構(ZTA)的核心是授權核心，涉及網路控制平面內的裝置，該核心確定此信任度並不斷評估每個請求的信任度。假設授權核心是控制平面的一部分，則需要在邏輯上將其與用於應用程式資料通訊的網路部分(資料平面)分開。

基於設計的ZTA和整體方法，授權核心的元件可以組合為一個解決方案，也可以透過基於硬體和/或軟體的單個解決方案完全獨立。這些元件包括：

●Communication Agent –訪問源應提供足夠的資訊來計算置信度。增強的身份屬性，例如使用者和資產狀態，位置，身份驗證方法和信任評分，應包含在每個通訊中，以便可以對其進行正確評估。

●強制引擎 -也稱為強制點。應將其放置在儘可能靠近保護元素(資料)的位置。您可以將其視為資料的保鏢。強制引擎將根據策略授權所請求的通訊，並根據策略引擎的要求，持續監視流量以停止通訊。例如，執行引擎可以防止發現帶有保護元素的系統。

●策略引擎 –做出授予資產訪問許可權的最終決定，並通知執行引擎。策略規則取決於實現的技術，但通常涉及涉及網路服務，端點和資料類的訪問者，身份，時間，地點，原因以及訪問方式。

●信任/風險引擎 –分析請求或行動的風險。信任/風險引擎將已實施的信任演算法中的偏差通知策略引擎，對照資料儲存評估通訊代理的資料，並使用靜態規則和機器學習來不斷更新代理分數以及代理中的元件分數。實施信任演算法可根據企業設定的標準，值和權重以及座席歷史記錄和其他資料的上下文檢視來計算基於分數的置信度，從而提供最佳，最全面的方法來消除威脅。與不考慮歷史資料和其他使用者資料的演算法相比，基於分數和基於上下文的信任演算法將識別可能停留在使用者角色內的攻擊。例如，分數和基於上下文的信任演算法可能會以異常方式或從無法識別的位置訪問正在正常工作時間以外訪問資料的使用者帳戶或角色。僅依賴於一組特定的合格屬性的替代演算法可能會評估得更快，但不會具有歷史背景來了解該訪問請求看起來很奇怪-並建議策略引擎在進行下一步操作之前要求進行更好的身份驗證。

●資料儲存 –如上所述，一種首選方法是實施評分和基於上下文的信任演算法。因此，信任/風險和策略引擎必須引用一組儲存的資料，以便對訪問請求或通訊行為的更改做出策略決定。包含與使用者，裝置，工作負載以及與這些元素的歷史資料和行為分析相關的分類資料相關的各種元素的庫存儲存，將通知決策者做出適當的訪問決策。

可以根據組織的用例，業務流程和風險狀況以多種方式實施ZTA。根據網路的業務功能， Z他的授權核心設計不同。例如，在資料資源上具有代理的模型可能足以用於本地客戶端到伺服器的通訊。但是，在雲環境中，在虛擬私有云(VPC)內的每個資料資源上放置一個Enforcement Engine可能並不現實。在這種情況下，可以透過微分段從相同分類下的相等資料資產中建立資源組，並使用閘道器來處理策略實施。

制定的路線圖或行動計劃，與確定公司目前在實現“零信任”方面的結果的成熟度評估相結合，將有助於指導企業進一步投資於授權核心技術，以填補空白。在評估補充技術時，過去一直對業務有效的特定供應商的投資可能包括同一供應商。由於尚未針對授權核心的關鍵部分(例如，通訊代理提供的資料元素，評分等)建立開放標準，因此，認真評估供應商的解決方案以填補在成熟度評估中發現的空白很重要。 。

信任演算法是一個供應商的解決方案可能支援的關鍵元件，但另一個供應商的解決方案則不支援，或者一個供應商的解決方案的策略組成可能與其他供應商不同。而且，如果在此領域沒有特定的標準，則由於將極高的遷移成本切換到另一種解決方案，企業可能會被鎖定在供應商手中。對任何解決方案的評估都應包括對供應商的解決方案以及供應商的業務的整體看法，該解決方案如何與體系結構中的其他元件連結，壽命以及解決方案如何動態擴充套件以抵消增加的負載。