华为零信任架构
华为零信任架构分为策略执行层、策略控制层、安全管理层三个逻辑层。通过三个逻辑层的相互联动实现持续验证、动态授权和全局防御。
- 策略执行层
- 在策略执行层部署安全接入代理,环境感知代理。安全接入代理作为终端用户访问企业内网的控制设备,能够与策略控制层的身份引擎联动完成用户的持续认证。环境感知代理能够接收终端违规信息,并向终端下发控制策略。同时对终端环境状态和变化进行实时感知和度量,向安全管理层上报终端评分。
- 策略控制层
- 在策略控制层部署身份引擎、控制引擎。身份引擎负责统一人员身份管理和身份认证,包括用户管理、组织机构管理、用户身份核验、用户令牌管理、应用令牌管理等。控制引擎负责对访问数据业务的请求进行动态和精细化鉴权,当用户安全等级变更时,及时更新用户拥有的访问权限。
- 安全管理层
- 在安全管理层部署HiSec Insight作为安全大脑。HiSec Insight负责接收并分析环境感知代理发送的终端评分、身份引擎发送的认证日志、控制引擎发送的鉴权日志、从交换机汇聚的安全风险信息,对用户、终端、网络等进行全局安全评估。同时根据评估结果向控制引擎、安全接入代理下发处置策略,完成安全风险的全局防御
当前实施零信任是一个持续的渐进的工作。首先企业需要与华为一起评估如何在现有网络下部署零信任组网,典型组网如下所示,详细实施步骤请参见HUAWEI HiSec零信任安全解决方案最佳实践。然后根据华为提供的指导评估哪些应用或资源可以优先实施零信任,实现持续认证和动态授权。最后根据经验逐步全面实施。
华为零信任典型组网
