土法炼钢兴趣小组的算法知识备份

零信任安全架构深度系列

2026-06-12 · architecture · security · #zero-trust #beyondcorp #nist-sp800-207 #spiffe #spire #mtls #microsegmentation #device-posture #continuous-verification #ztna #cisa

文章导航

分类入口
architecturesecurity
标签入口
#zero-trust#beyondcorp#nist-sp800-207#spiffe#spire#mtls#microsegmentation#device-posture#continuous-verification#ztna#cisa

目录

IAM 系列解决的是”你是谁、你能做什么”——从 OIDC 到 Zanzibar、从 MFA 到 CIAM。但身份只是安全架构的一半。另一半是:在网络边界消失之后,安全判定应该发生在哪里、基于什么信号、由谁执行。

零信任的回答是:每一次访问都基于实时信号做独立判定——不信任网络位置、不信任过去的认证、不信任默认权限。这不是”加强版防火墙”,而是安全架构的根本性范式转变。

本系列与本站零信任架构概览文的分工:那篇文章是 9,000 字全景介绍——概念、原则、组件、案例;本系列是对每个组件做 5-10 倍的深度拆解。

系列状态:已完成(2026-06-12)。 18 篇全部可读。

适合谁看

这个领域最值得关注的 5 个问题

1. 零信任的边界在哪里——什么它解决不了?

回答在:02(NIST 架构)、03(BeyondCorp)、17(案例复盘)

NIST SP 800-207 和 Google BeyondCorp 都隐式地留下了大量工程决策空白——NIST 定义了组件和原则,但策略更新传播延迟、身份系统单点问题、设备数据库一致性这些具体问题需要工程判断。BeyondCorp 论文也公开承认了不适合零信任访问代理的应用模式。理解零信任的局限和边界,比理解它的功能更重要。

2. 怎么验证设备、服务和用户——三者的验证机制可以统一吗?

回答在:04(IAP)、05(设备姿态)、06(持续验证)、09(mTLS 大规模)

用户有 MFA 和 SSO、设备有 TPM 远程证明、服务有 SPIFFE SVID——三种身份的验证机制在技术上完全不同。零信任的难点不在”分别验证这三者”,而在”在策略引擎中把它们统一成一个决策”。这三种验证机制的更新频率、信号可靠性和退化模式的差异,是持续验证工程的核心挑战。

3. 微分段做多细算合理——策略管理成本是否超过安全收益?

回答在:08(微分段)、07(策略引擎)、15(迁移策略)

从 L3 到 L7 的微分段可以做到”只允许 order-service 的 POST /charge 端点被 payment-service 调用”——但 200 个微服务的白名单策略规则量和变更频率会爆炸。微分段的边界不应该是”能做多细做多细”,而是”在安全收益和运维成本之间找到每个组织的临界点”。

4. 棕地迁移怎么做——有 500 个遗留系统的时候怎么零信任?

回答在:15(迁移策略)、03(BeyondCorp)、17(案例复盘)

零信任最重要的问题不涉及是否采购零信任产品,而在你需要如何迁移。遗留系统没有 mTLS、不支持 OIDC、没有设备姿态信号——sidecar 代理、反向代理包装、身份桥接这四种策略各有适用边界和成本,选择错误的策略比不迁移更危险。

5. 零信任是不是另一种厂商营销——真正的零信任需要自建多少?

回答在:10(ZTNA)、14(成熟度模型)、17(案例复盘)、18(新兴前沿)

“零信任”已经被几乎所有安全厂商加入了产品名称——ZTNA、SASE、CASB、PAM、IAM 都声称自己是”零信任”。但零信任是一种架构范式,不是任何一个产品。自建 vs 采购的决策需要基于各组织的基础条件和优先级,而不是厂商的市场资料。

篇目依赖关系与推荐阅读路径

只想理解零信任的核心逻辑 → 4 篇

01(索引)→ 02(NIST 架构拆解)→ 04(IAP)→ 08(微分段)

要落地服务间零信任(mTLS + 微分段 + 策略引擎)→ 7 篇

01 → 04(IAP)→ 07(策略引擎)→ 08(微分段)→ 09(mTLS 大规模)→ 10(ZTNA)→ 16(可观测性)

要推动组织零信任转型(技术选型 + 迁移 + 案例)→ 6 篇

01 → 02(NIST 架构)→ 03(BeyondCorp)→ 14(成熟度模型)→ 15(迁移策略)→ 17(案例复盘)

零信任安全工程师(完整技能栈)→ 全部 18 篇

01 → 02 → 03 → 04 → 05 → 06 → 07 → 08 → 09 → 10 → 11 → 12 → 13 → 14 → 15 → 16 → 17 → 18

目录

第一部分:理论基础

  1. 系列索引(本文)
  2. NIST SP 800-207 架构深度拆解:不只是 7 条原则
    • 看点:PEP/PDP/Policy Engine/Policy Administrator 的组件交互协议、信任算法的形式化描述、NIST 故意留白的工程决策、SP 800-207 vs 207A(2024)的关键变化。
  3. BeyondCorp 六篇论文全景:Google 如何将零信任从概念变成全公司现实
    • 看点:六篇论文每篇解决的真实工程问题、访问代理的完整请求流、设备清单数据库的设计细节、信任三级模型的策略差异、Google 公开承认的限制和失败尝试。

第二部分:控制平面

  1. 身份感知代理:Google IAP、Pomerium 与零信任的入口
    • 看点:IAP 请求流的完整 OAuth2 dance、JWT 验证的严格性要求、Header Injection 的安全陷阱、“认证逃逸”攻击模式、Pomerium/oauth2-proxy/Cloudflare Access 的实现差异。
  2. 设备姿态与远程证明:TPM、osquery 和信任分数
    • 看点:TPM 2.0 远程证明的完整协议交互、PCR 寄存器的真实语义、osquery 信号采集的 schema 设计、信任分数的衰减模型、macOS Secure Enclave vs Linux firmware TPM 的不对等性。
  3. 持续验证 vs 一次性认证:信号流、会话风险和策略降级
    • 看点:三种持续验证模式的工程实现(event-driven/periodic/request-granular)、会话降级的短有效期 JWT 和 Step-up auth 触发、CAEP (Continuous Access Evaluation Profile) 的协议草案、信号源的四类不对等性。
  4. 零信任策略引擎:OPA/Rego 与 Cedar 在 ZT 中的落地
    • 看点:四维输入模型(主体/资源/环境/操作)、Rego 对多维输入的建模优劣势、Cedar WASM 进程内执行的性能和延迟优势、策略冲突检测——设备不合规但用户权限高时怎么判定、策略即代码的 CI/CD 审核流程。

第三部分:数据面

  1. 微分段深度拆解:从 VLAN 到 eBPF 的访问控制演化
    • 看点:四层微分段技术的实现原理和性能差异、Cilium eBPF Identity-based 的执行机制、Istio AP 的 L7 控制粒度、“审计模式→强制模式”的影子策略迁移法、多集群微分段的 Cilium ClusterMesh 和 Istio MC。
  2. mTLS 大规模部署的工程现实:联邦、故障排查与根 CA 轮换
    • 看点:SPIRE 联邦的跨信任域证书互信机制、根 CA 零停机轮换的双 CA 过渡法、10K 并发 mTLS 握手的性能量化、ECDSA P-256 vs RSA 4096 在 mTLS 中的性能差异、各种错误模式的日志特征和排查路径。
  3. 软件定义边界与 ZTNA:VPN 替代方案的协议与产品对比
    • 看点:SDP 协议的三阶段握手和单包授权(SPA)的”端口隐藏”机制、Agent-based vs Agentless ZTNA 的差异和适用场景、自建 ZTNA 的技术栈(WireGuard + SPIRE + OPA)、ZTNA 引入的延迟测量。

第四部分:扩展维度

  1. 零信任数据安全:加密、分类与数据访问治理
    • 看点:应用层加密 vs 存储层加密的零信任差异、数据分类标签如何嵌入策略引擎的授权决策、密钥管理的零信任化(DEK/KEK 分离)、审计日志的差分隐私保护。
  2. SaaS 与云原生的零信任:CASB、CSPM 和 Kubernetes 超网络策略
    • 看点:CASB 的零信任化改造(强制设备姿态检查 + MFA 于 SaaS 应用前)、SSPM/CSPM 对 SaaS 和云的配置审计、多云 IAM 的最小权限和 JIT 统一策略、Shadow IT 的发现和管控。
  3. 零信任与软件供应链:SLSA、Sigstore 和构建管道的身份
    • 看点:SLSA 框架四级成熟度的工程需求、Sigstore 的 Rekor/Fulcio/Cosign 三种服务如何实现”无密钥签名”、CI/CD 管道的 SPIFFE 短有效期身份、SBOM 在部署授权决策中的应用、In-toto 证明链的完整性验证。

第五部分:实施与运营

  1. CISA 零信任成熟度模型:从传统到最优化的四阶段全景评估
    • 看点:ZTMM v2.0 的五支柱评估矩阵的具体工程清单、每个成熟度等级的跳跃点、自评估的差距分析实操方法、ZTMM 对私营企业和非美国组织的适用性。
  2. 零信任迁移的工程策略:棕地改造、遗留系统适配与渐进式切流
    • 看点:棕地迁移的”冰山模型”、遗留系统的四种升级策略(sidecar/反向代理/身份桥接/协议适配)、渐进式切流的流量控制和回滚条件、迁移中的人力成本和跨团队协作。
  3. 零信任可观测性与 SIEM 集成:日志、检测与自动化响应
    • 看点:三层日志(PDP 决策/证书生命周期/网络微分段)的聚合和关联、零信任特有的检测规则、SIEM/SOAR 自动化 Playbook、每天数百万决策事件的存储成本。
  4. 行业案例深度复盘:Google、美国联邦政府与金融行业
    • 看点:Google BeyondCorp 的真实时间线(含失败尝试)、美国联邦政府 EO 14028 推行的机构达标率、金融服务行业的零信任实施共性、三个行业的交叉对比和共性教训。
  5. 零信任的新兴前沿:AI Agent 身份、边缘计算和量子后的证书
    • 看点:LLM Agent 的”代表用户执行操作”的授权边界、边缘计算的间歇性连接对持续验证的挑战、PQC 算法(ML-DSA/SLH-DSA)对 X.509 证书和 mTLS 握手性能的影响。

与已有文章的关系

本系列是以下文章的深度续作:

如果你没有通读 IAM 系列,建议至少阅读以下三篇作为前置背景: - IAM 全景 - 服务身份:mTLS、SPIFFE/SPIRE 与 Workload Identity - OPA、Cedar 与策略引擎落地

同主题继续阅读

把当前热点继续串成多页阅读,而不是停在单篇消费。

2026-06-17 · architecture / security

【身份与访问控制工程】服务身份:mTLS、SPIFFE/SPIRE 与 Workload Identity

前 9 篇讨论的都是'人'的身份——用户怎么登录、怎么验证。但微服务世界中,80% 的 API 调用是服务之间的。服务身份(Workload Identity)是整个 IAM 体系的另一半:mTLS 解决'传输层你是谁',SPIFFE/SPIRE 解决'在平台层你是谁且怎么证明',JWT Profile for OAuth 解决'我怎么拿到一个服务身份的 Token'。本文从这三条线拆解服务身份的工程实现。

2026-06-12 · architecture / security

【零信任安全架构】NIST SP 800-207 架构深度拆解:不只是 7 条原则

NIST SP 800-207 给了零信任最权威的定义,但大多数讨论只复述了 7 条原则。本文拆解 NIST 文档的完整架构模型:PEP、PDP、Policy Engine、Policy Administrator 的分工与交互协议、信任算法的三种模型、以及 NIST 有意留白留给实现者的工程决策。

By .