《零信任接口應(yīng)用白皮書(shū)》深度解讀

......

在這種背景下，零信任接口標(biāo)準(zhǔn)化和零信任SaaS服務(wù)再度被關(guān)注到，相比于零信任接口標(biāo)準(zhǔn)化，零信任SaaS服務(wù)在集成過(guò)程中，需要破除不同機(jī)構(gòu)的安全能力來(lái)對(duì)接，且適用場(chǎng)景十分有限，而零信任接口標(biāo)準(zhǔn)化通過(guò)定義標(biāo)準(zhǔn)的零信任接口，來(lái)實(shí)現(xiàn)不同安全產(chǎn)品/服務(wù)/模塊之間的互聯(lián)互通成為目前發(fā)展的主要趨勢(shì)。

《零信任接口應(yīng)用白皮書(shū)》中對(duì)以下6類(lèi)接口進(jìn)行了詳細(xì)的描述：

身份安全接口-身份數(shù)據(jù)同步接口：在主體訪問(wèn)系統(tǒng)資源過(guò)程中，零信任架構(gòu)需要對(duì)主體用戶身份進(jìn)行持續(xù)的鑒別，因此，通過(guò)身份安全接口，用戶的身份數(shù)據(jù)將實(shí)時(shí)從身份管理組件同步至零信任系統(tǒng)中。

身份安全接口-身份認(rèn)證接口：身份認(rèn)證接口在主體訪問(wèn)系統(tǒng)資源過(guò)程中對(duì)主體身份進(jìn)行動(dòng)態(tài)的鑒別，并給主體頒發(fā)身份票據(jù)，在不同業(yè)務(wù)接口對(duì)接時(shí)通過(guò)身份票據(jù)來(lái)確定主體身份。

身份安全接口-單點(diǎn)登錄/登出接口：

• 單點(diǎn)登錄：在主體未完成認(rèn)證的情況下，強(qiáng)制用戶在身份管理系統(tǒng)中完成認(rèn)證過(guò)程；

• 單點(diǎn)登出：在主體僅在某一系統(tǒng)/組件中執(zhí)行注銷(xiāo)操作時(shí)，單點(diǎn)登出接口對(duì)所有已處于登錄狀態(tài)的組件/系統(tǒng)均執(zhí)行注銷(xiāo)操作。

通過(guò)威脅情報(bào)接口，對(duì)所有訪問(wèn)來(lái)源及外聯(lián)目標(biāo)進(jìn)行辨別，并結(jié)合訪問(wèn)控制機(jī)制，建立一道風(fēng)險(xiǎn)保護(hù)屏障。

在工作負(fù)載數(shù)量規(guī)模龐大的情況下，工作負(fù)載數(shù)據(jù)同步接口可大幅提升零信任方案的部署效率，有效保障云內(nèi)工作負(fù)載資產(chǎn)屬性和零信任防控體系的業(yè)務(wù)一致性。

• 密碼服務(wù)接口-證書(shū)接口：在證書(shū)生命周期管理方面，對(duì)訪問(wèn)零信任體系的主體頒發(fā)數(shù)字證書(shū)；在證書(shū)應(yīng)用方面，對(duì)證書(shū)進(jìn)行密碼應(yīng)用的服務(wù)；

• 密碼服務(wù)接口-密碼服務(wù)接口：密碼服務(wù)接口主要為零信任架構(gòu)中提供基礎(chǔ)密碼服務(wù)。

在主體訪問(wèn)系統(tǒng)資源過(guò)程中，對(duì)主體的訪問(wèn)請(qǐng)求放行或阻止需要進(jìn)行判斷。

在本次《零信任協(xié)同發(fā)展研討會(huì)暨接口白皮書(shū)發(fā)布&標(biāo)準(zhǔn)宣貫會(huì)》上，派拉軟件研發(fā)總監(jiān)茆正華參與了零信任產(chǎn)業(yè)協(xié)同發(fā)展圓桌論壇討論，并表示零信任接口標(biāo)準(zhǔn)化不但能降低企業(yè)技術(shù)驗(yàn)證的成本，也能催生更多有競(jìng)爭(zhēng)力的產(chǎn)品，零信任接口標(biāo)準(zhǔn)的制定，能使技術(shù)本身得到規(guī)范、進(jìn)化和創(chuàng)新，有助于擴(kuò)大市場(chǎng)的產(chǎn)品藍(lán)圖，起到行業(yè)規(guī)范和成本控制的作用。此次，派拉軟件作為零信任接口應(yīng)用白皮書(shū)編寫(xiě)組的 一員，希望能夠與大家共同努力，推動(dòng)整個(gè)零信任大生態(tài)的共建、發(fā)展和落地。