用于多位置环境中云原生应用程序访问控制的零信任架构模型

NIST宣布发布特别出版物(SP)800-207A，即多位置环境中云原生应用程序访问控制的零信任架构模型。

企业应用程序环境由跨多个云和本地环境的地理分布且松散耦合的微服务组成。用户群可以通过不同的设备从不同的位置访问它们。此场景要求通过安全通信和访问策略验证来建立对所有企业访问实体、数据源和计算服务的信任。

零信任架构(ZTA)及其构建原则已被接受为获得必要安全保证的实践状态，通常由集成应用程序服务基础设施(例如服务网格)启用。ZTA只能通过全面的策略框架来实现，该框架通过状态评估(例如，用户、服务和请求的资源)动态管理所有实体的身份验证和授权。本指南建议：

网络层和身份层策略的制定

技术组件的配置将支持不同策略的部署和实施(例如，网关、服务身份基础设施、实施策略的身份验证和授权模块)

一个全面的监控框架，提供各种任务的覆盖，例如观察资源的状态和跟踪事件(例如，用户访问请求、企业目录的更改)

使用遥测数据通过微调访问权限和实施逐步身份验证来增强安全性