技术干货：零信任下的应用安全网关该如何建设？.docxVIP

技术干货：零信任下的应用安全网关该如何建设？ 前言 ? ? ? 零信任网络环境主要是由Google（BeyondVCorp架构）开始，目前国内很多厂商已有零信任的解决方案，因为零信任建需要“刮骨”建设，涉及客户基础环境支撑及改动（奔跑的赛车换发动机）、领导支持力度等多个方面，总的来说落地效果不是特别好。 ? ? ? 应用层零信任建设主要依托于应用安全网关，通过安全网关串联部署，实现隐藏内部，统一对外、实时监测的效果，因此本文主要介绍应用安全网关。但因为网关需要与用户管理所结合，所以文章会对用户管理系统部分进行介绍，以便读者更清晰了解应用层的零信任建设框架。 一、零信任介绍 1、什么是零信任 ? ? ? ?零信任简单来讲是对于网络环境中，主机设备、网络通信、应用系统等都不可信，只有授权可信后方可进行相关访问。零信任假定是： 网络都不可信，时刻有危险； 网络中存在内部与外部威胁； 之前配置的网络识别（如Ip）可信程度不高； 网络中各个环境都需要授权认证后方可进行访问。 2、google BeyondVCorp架构设计 ? ? ? 随着google业务不断发展，基于边界的安全防护已经不能满足google安全需求，所以google下定决心，重构内部网络安全架构，这就是BeyondVCorp的诞生。 google BeyondVCorp架构设计 设备清单库：受控设备，以该库为基础。系统会持续监测该设备，如果出现异常，则记录状态为不可信。 清单库中状态分为：未注册（初始状态）、已注册（系统有等级）、不可信（不符合要求）、可信（符合要求）。 设备身份：每个受控设备都有一个唯一身份，同时查询清单库的相关信息，只有在设备清单库登记且状态为可信的才可以获得设备征收。为避免设备证书窃取，可放在TPM模块中（具体可信见我浅谈可信计算，如有需要，我会写篇详细介绍）。 sso：用户集中式认证，实现内部单点登录。需要进行双因子认证。用户认证成功后，赋予该用户token信息，用户资源访问授权使用。 代理网关：主要是实现负载均衡，对用户和设备进行认证、对用户和设备进行授权、网络准入控制、网络审计等。 google零信任整体实现效果简单举例来说： 只允许公司派发电脑，且补丁更新最新的电脑进行访问。 访客区电脑，只有补丁更新最新才能进行相应访问，否则进行修复区进行补丁升级。修复区限制网络访问。 3、零信任架构实战设计 ? ? ? 通过对google的零信任简单描述后，下面我们设计相对可落地的零信任网络架构（我们以目标为导向，分步实施）。在设计之前，我们需要从设备、网络、应用等几个层面需要了解的关注点。 零信任架构设计关注点 设备层面：可信环境（具体可信见我浅谈可信计算，如有需要，我会写篇详细介绍）、漏洞信息、补丁信息、防病毒信息等； 网络层面：安全域的规划、身份认证规划、授权及访问控制规划、流量审计关注点； 应用层面：SSO设计、业务系统的身份认证规划、存储中台设计； 零信任架构设计 架构参考 代理网关。可以根据Janusec进行改造。功能包括：反向代理、接入身份认证、网络接入授权、网络访问控制、网络层审计、资产保护。 radius。可以根据freeRadius进行改造（近期我会一篇关于freeRadius的部署及测试文章最为延展）。 SSO。可以根据JA-SIG CAS进行改造。 以上就是我的整体零信任思路架构介绍。 二、零信任下的应用安全网关建设思路 ? ? ? 应用层面的零信任建设相对于主机与网络更容易落地及切入用户。应用层零信任建设从实施周期、业务影响、建设效果等多个方面相比主机与网络，短期效果会更直接，更容易起步。 ? ? ? 应用层零信任建设主要包含应用安全网关系统、用户管理系统两大系统（可以将系统中的模块拆分，因产品及项目而异）。 ? ? ? 应用安全网关系统包括：访问控制、反向代理、负载均衡、统一接入、安全防护（主要为WAF相关功能）、访问审计（审计4-7层流量）、HTTPS支持等。 ? ? ? 用户管理系统：身份认证、动态授权、SSO、用户管理、信任评估等。 功能参考图 ? ? ? 实际过程中会将身份认证、动态授权等功能抽离成独立系统。因为需要考虑网络与主机层面的认证与授权等操作，所以抽离后的身份认证和动态授权会提供主机、网络、应用三个层面的相关服务。具体需要因产品及项目而异。 三、零信任下的应用安全网关技术路线 ? ? ? 目前业界应用应用安全网关基本是基于自有安全产品基础上进行的开发，有的基于WAF，有的基于VPN、有的基于下一代墙，但是功能基本都有限。 ? ? ? 本次应用安全网关的选择可基于开源JanusecWAF网关进行二次开发。Janusec是基于Golang打造的应用安全网关，支持HTTP2和HTTPS，私钥加密存在数据库中，提供负