- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
技术干货:零信任下的应用安全网关该如何建设?包括:零信任介绍、零信任下的应用安全网关建设思路、零信任下的应用安全网关技术路线等,适合进行项目方案编制及信息安全技术培训。
技术干货:零信任下的应用安全网关该如何建设?
前言
? ? ? 零信任网络环境主要是由Google(BeyondVCorp架构)开始,目前国内很多厂商已有零信任的解决方案,因为零信任建需要“刮骨”建设,涉及客户基础环境支撑及改动(奔跑的赛车换发动机)、领导支持力度等多个方面,总的来说落地效果不是特别好。
? ? ? 应用层零信任建设主要依托于应用安全网关,通过安全网关串联部署,实现隐藏内部,统一对外、实时监测的效果,因此本文主要介绍应用安全网关。但因为网关需要与用户管理所结合,所以文章会对用户管理系统部分进行介绍,以便读者更清晰了解应用层的零信任建设框架。
一、零信任介绍
1、什么是零信任
? ? ? ?零信任简单来讲是对于网络环境中,主机设备、网络通信、应用系统等都不可信,只有授权可信后方可进行相关访问。零信任假定是:
网络都不可信,时刻有危险;
网络中存在内部与外部威胁;
之前配置的网络识别(如Ip)可信程度不高;
网络中各个环境都需要授权认证后方可进行访问。
2、google BeyondVCorp架构设计
? ? ? 随着google业务不断发展,基于边界的安全防护已经不能满足google安全需求,所以google下定决心,重构内部网络安全架构,这就是BeyondVCorp的诞生。
google BeyondVCorp架构设计
设备清单库:受控设备,以该库为基础。系统会持续监测该设备,如果出现异常,则记录状态为不可信。
清单库中状态分为:未注册(初始状态)、已注册(系统有等级)、不可信(不符合要求)、可信(符合要求)。
设备身份:每个受控设备都有一个唯一身份,同时查询清单库的相关信息,只有在设备清单库登记且状态为可信的才可以获得设备征收。为避免设备证书窃取,可放在TPM模块中(具体可信见我浅谈可信计算,如有需要,我会写篇详细介绍)。
sso:用户集中式认证,实现内部单点登录。需要进行双因子认证。用户认证成功后,赋予该用户token信息,用户资源访问授权使用。
代理网关:主要是实现负载均衡,对用户和设备进行认证、对用户和设备进行授权、网络准入控制、网络审计等。
google零信任整体实现效果简单举例来说:
只允许公司派发电脑,且补丁更新最新的电脑进行访问。
访客区电脑,只有补丁更新最新才能进行相应访问,否则进行修复区进行补丁升级。修复区限制网络访问。
3、零信任架构实战设计
? ? ? 通过对google的零信任简单描述后,下面我们设计相对可落地的零信任网络架构(我们以目标为导向,分步实施)。在设计之前,我们需要从设备、网络、应用等几个层面需要了解的关注点。
零信任架构设计关注点
设备层面:可信环境(具体可信见我浅谈可信计算,如有需要,我会写篇详细介绍)、漏洞信息、补丁信息、防病毒信息等;
网络层面:安全域的规划、身份认证规划、授权及访问控制规划、流量审计关注点;
应用层面:SSO设计、业务系统的身份认证规划、存储中台设计;
零信任架构设计
架构参考
代理网关。可以根据Janusec进行改造。功能包括:反向代理、接入身份认证、网络接入授权、网络访问控制、网络层审计、资产保护。
radius。可以根据freeRadius进行改造(近期我会一篇关于freeRadius的部署及测试文章最为延展)。
SSO。可以根据JA-SIG CAS进行改造。
以上就是我的整体零信任思路架构介绍。
二、零信任下的应用安全网关建设思路
? ? ? 应用层面的零信任建设相对于主机与网络更容易落地及切入用户。应用层零信任建设从实施周期、业务影响、建设效果等多个方面相比主机与网络,短期效果会更直接,更容易起步。
? ? ? 应用层零信任建设主要包含应用安全网关系统、用户管理系统两大系统(可以将系统中的模块拆分,因产品及项目而异)。
? ? ? 应用安全网关系统包括:访问控制、反向代理、负载均衡、统一接入、安全防护(主要为WAF相关功能)、访问审计(审计4-7层流量)、HTTPS支持等。
? ? ? 用户管理系统:身份认证、动态授权、SSO、用户管理、信任评估等。
功能参考图
? ? ? 实际过程中会将身份认证、动态授权等功能抽离成独立系统。因为需要考虑网络与主机层面的认证与授权等操作,所以抽离后的身份认证和动态授权会提供主机、网络、应用三个层面的相关服务。具体需要因产品及项目而异。
三、零信任下的应用安全网关技术路线
? ? ? 目前业界应用应用安全网关基本是基于自有安全产品基础上进行的开发,有的基于WAF,有的基于VPN、有的基于下一代墙,但是功能基本都有限。
? ? ? 本次应用安全网关的选择可基于开源JanusecWAF网关进行二次开发。Janusec是基于Golang打造的应用安全网关,支持HTTP2和HTTPS,私钥加密存在数据库中,提供负
文档评论(0)