如今使用的主要安全體系結構是什么？在“ 零信任架構的興起 ” 的文章中，介紹于在網絡安全領域廣泛而迅速地采用這種相對較新的概念的文章。但是，今天仍在使用其他幾種安全體系結構：傳統網絡外圍安全、遠程訪問VPN、網絡細分、基于角色的訪問控制、軟件定義的邊界（SDP）等。

　　傳統網絡外圍安全

傳統的網絡外圍安全性由許多不同的部分組成，所有這些部分協同工作以為網絡提供安全解決方案。

傳統上，網絡安全通常從用戶身份驗證開始，通常使用用戶名和密碼。此方法也稱為單因素身份驗證，通過兩因素身份驗證，將需要驗證另一項內容，例如手機，USB驅動器甚至某種令牌。在頻譜的最高級端，還有三項身份驗證，這將涉及用戶的生物學，例如視網膜或指紋掃描。

驗證用戶身份后，防火墻將確保遵循訪問協議，并對用戶在網絡中的訪問權限施加限制。這是防止未經授權的人訪問網絡的非常有效的方法。另外，可以對網絡上兩個主機之間的通信進行加密，以為網絡提供額外的安全層。

一些企業可能還會部署蜜罐。蜜罐本質上是一種網絡資源，它充當網絡本身內的誘餌。它們可以用作監視工具或預警系統，因為蜜罐不用于任何合法的商業目的。這意味著，如果訪問了蜜罐，通常會出問題。安全團隊可以分析對蜜罐的攻擊，以及時了解新的攻擊。然后，可以通過突出顯示以前未知的漏洞，將這些發現應用于進一步提高真實網絡中的安全級別。

與蜜罐類似，蜜網是誘騙的網絡，設置了故意的安全漏洞。這些工具旨在吸引攻擊者，以便可以分析他們的方法以提高真實網絡的安全性。當前，越來越多的企業正在利用網絡分段并將其添加到系統中以增強安全性。

盡管具有傳統的外圍安全保護的優點，但此過程在阻止特洛伊木馬和計算機蠕蟲通過網絡傳播方面并不完全可靠。傳統上，為了解決此問題，將使用防病毒軟件或入侵防御系統。他們可以檢測并阻止這些攻擊的傳播。

此外，盡管該系統在防止外部威脅方面表現出色，但在防止內部威脅方面卻無效。隨著使用自己的設備進行遠程工作的人數增加，受污染的設備可能連接到公司網絡的風險也增加了，這有可能使網絡面臨風險。這導致零信任體系結構的日益普及。

　　遠程訪問VPN

VPN(虛擬專用網絡)可在最初是公共的網絡上創建專用網絡。這樣，VPN的用戶就可以像實際連接到主專用網絡本身一樣，通過它們發送和接收數據。這意味著通過VPN運行的任何應用程序都將能夠使用VPN連接的專用網絡的功能，安全性和管理功能。

VPN技術的最初開發是為了允許遠程用戶和不同的辦公室分支機構訪問將在主辦公室分支機構的網絡中托管的應用程序和其他項目。要訪問VPN，用戶必須使用密碼或安全證書對自己進行身份驗證。

當企業使用VPN技術時，它可以幫助確保遠程工作人員和其他辦公室可以建立與總部網絡的安全連接，而沒有攻擊者通過遠程用戶滲透到網絡的風險。

　　網絡細分

在計算機網絡的上下文中，網絡分段的做法是將計算機網絡分成一組子網。這些子網中的每一個都稱為一個網段。

對網絡進行分段的安全性優勢之一是，來自分段的任何廣播都將保留在內部網絡本身內。結果，網絡的結構將僅在內部可見。

對網絡進行分段的另一個優點是，如果網絡的某個部分確實遭到入侵，則攻擊者可以通過的表面積會減少。此外，某些類型的網絡攻擊僅在本地網絡上起作用，這意味著，如果您對系統的不同區域進行分段，則根據其使用情況做出這些決定。例如，如果要為數據庫，Web服務器和用戶設備創建單獨的網絡，這將有助于使網絡更加安全。

網絡分段還可以用于確保人們只能訪問他們所需的資源。這可以通過在戰術上將您的資源分配到各個網絡并將特定的人員分配給每個網絡段來實現。

正確使用網絡分段來提高安全級別將涉及將網絡分段劃分為那些不同的子網，并為每個子網分配一定級別的訪問權限。然后，您應采取步驟確保已制定協議以限制每個子網之間可以移動的協議。

　　基于角色的訪問控制

基于角色的訪問控制 （RBAC）可根據用戶擁有的授權級別來幫助限制對某些系統的訪問。擁有500多名員工的絕大多數公司都使用基于角色的訪問控制，而中小型企業越來越多地開始使用此技術。為了最有效地使用RBAC，公司將按特定類別劃分其用戶資料。通常，它們將基于工作角色，資歷級別以及每個人基于前兩個因素所需的資源。

例如，如果組織要使用RBAC，而財務團隊的初級成員要登錄其網絡，則該員工將有權訪問較低級別的財務數據，這些數據將要求他們在其職務中查看。但是，他們的訪問僅限于此。例如，他們將無法查看與法律團隊有關的任何文件或數據，或者僅由高級財務團隊成員查看的文件。

當企業使用RBAC時，這是一種非常有效的方法，可以確保只有擁有查看權限的個人才能查看任何敏感數據。它還可以幫助防止故意的內部信息泄漏。

　　軟件定義的邊界（SDP）

　　什么是軟件定義的邊界?

在組織內創建零信任架構的一種方法是創建或使用SDP。我們將研究什么是SDP，因此您可以做到這一點。

由于云存儲在現代已變得越來越普遍，由于這些云服務器無法通過傳統的外圍安全措施保護，因此在這些云系統上遭受網絡攻擊的風險增加了。這導致在2013年創建了軟件定義的邊界。軟件定義的邊界是一個研究工作組。他們的重點是創建一個安全系統，以幫助防止對云系統的攻擊。

他們的研究結果將免費提供給公眾使用，并且不會受到任何使用費或任何其他限制。

從工作組成立之初，他們就決定嘗試并著重于構建一種既經濟高效又靈活又有效的安全解決方案。在工作中，團隊確定了三個基本設計要求。

首先，他們認為他們的安全體系結構需要確認用戶的ID，他們正在使用的設備以及訪問某些目錄的權限。接下來，他們認為使用加密技術的驗證將是確保應用其安全協議的最佳選擇。最終，確定滿足前兩個要求所需的工具是具有可靠記錄并且在公共領域中的安全工具。

SDP決定他們的安全體系結構應基于控制通道。該控制通道將使用團隊認為最適合該任務的標準組件。這些組件是SAML，PKI和相互TLS。

該工作組最終根據此想法發表了一篇論文，以評估是否需要這種系統。他們在這里將其命名為“軟件定義的邊界”。

SDP正在進行的工作引起了極大的興趣，這導致其系統版本1在2014年4月發布。

他們的第一個設計是由啟動主機組成的，它將向控制器提供有關正在使用什么設備以及由誰生產的設備的信息。該信息將與相互TLS連接一起傳輸。完成此操作后，控制器將鏈接到發出證書的CA，以確認設備的身份，還將鏈接到ID提供程序，以便他們可以驗證用戶的身份。確認此信息后，控制器將提供一個或多個相互TLS連接，這些連接將鏈接前面提到的發起主機和任何必需的接受主機。該系統發揮了重要作用，能夠防止任何形式的網絡攻擊，包括 中間人， DDoS和 高級持續威脅。

　　SDP版本1的體系結構

用于商業用途的原始SDP產品是通過用于商業應用程序的覆蓋網絡實現的，這些示例包括對高價值數據的遠程訪問或保護云系統免受攻擊。SDP的發起主機采用客戶端的形式，接受主機成為網關。

　　SDP客戶端

SDP客戶端本身負責多種功能。其中兩個包括驗證正在使用的設備和正在使用的用戶ID，以及將白名單應用程序路由到已授權的受保護應用程序。

SDP客戶端具有實時配置，以確保相互TLS VPN連接僅鏈接到單個用戶有權使用的項目。這意味著SDP客戶端具有根據用戶權限級別限制對某些數據點的訪問的功能。這是在驗證用戶的ID和設備之后執行的。

　　SDP網關

SDP網關用作終止與SDP客戶端的相互TLS連接的點。從拓撲的角度來看，網關將被實現為盡可能接近受保護的應用程序。

一旦確認了請求訪問的設備的身份并且暴露了它們的許可級別，SDP網關將接收IP地址及其證書。

　　SDP控制器

SDP控制器在后端安全功能之間充當受信任中間人的功能。一旦SDP客戶端已完成驗證并且已經檢查了用戶的權限級別，SDP控制器將隨后開始配置SDP客戶端和SDP網關，以便它們可以通過相互TLS建立實時連接。

SDP架構的安全性

正確實現所有這三個功能后，SDP體系結構可以為您的安全系統提供出色的獨特屬性。這些功能在下面列出。

　　1）隱藏信息

受保護的應用程序基礎結構中沒有DNS信息，也沒有任何可見端口。因此，受SDP保護的資產被稱為“深色”資產，因為即使您進行掃描也無法發現它們。

　　2）預認證

嘗試訪問的設備的身份將始終在被授予連接之前進行驗證。設備的身份將使用MFA令牌進行確認，該 MFA令牌 將嵌入在TCP或雙向TLS體系結構中。

3）預授權

僅授予SDP系統中用戶由于其角色而需要訪問的服務器的權限。用于確認身份的系統會將用戶的授權傳達給SDP控制器。這是使用SAML斷言執行的。

　　4）應用程序層訪問

即使授予用戶訪問應用程序的權限，也只能在應用程序級別，而不能在網絡級別。SDP還將主機使用的設備上的某些應用程序列入白名單，這有助于將系統通信保持在應用程序到應用程序級別。

　　5）可擴展性

SDP的體系結構是在各種基于標準的不同部分的基礎上創建的。其中包括相互的TSL，SAML和安全證書。由于SDP體系結構由基于標準的部分組成，因此可以輕松地與其他類型的安全系統鏈接和集成，包括數據加密系統和遠程證明系統。

通過將預身份驗證與預授權結合使用，企業可以創建對于身份不明的主機不可見的網絡，同時僅根據已知用戶的組織角色向其提供必要的權限。

關于SDP的關鍵部分之一是，在用戶與受保護的應用程序之間建立TCP連接之前，需要進行預認證和預授權。除此之外，將僅向授權用戶授予某些應用程序的權限，以確保受感染的設備無法在網絡上橫向移動。