第四章:零信任组件技术
4.1零信任的隐身黑科技
网络隐身是零信任中最引人关注的技术,最常见的实现方式是SDP框架中的SPA
SPA((Single Packet Authorization,单包授权): 是一种保护服务端口免受攻击的特殊认证方式,即通过一个单一数据包(Single Packet)携带认证鉴别信息(Authentication)从而在完成认证后获得授权(Authorization),再允许访问业务。
4.1.1 SPA端口隐藏
让网站只对合法用户映射端口。
端口敲门(Port Knocking)
在计算机网络中,端口敲门是一种通过在一组预先指定的封闭端口 上生成连接尝试来从外部打开 [ 防火墙 ]上的端口的方法。一旦收到正确的连接尝试序列,防火墙规则就会动态修改,以允许发送连接的主机尝试通过特定端口进行连接。
默认关闭所有端口
UDP端口敲门:UDP SPA敲门包中包含用户的身份信息、申请的访问目标、身份凭证等
UDP敲门包的方式之后,还有一种TCP敲门技术,于业务系统建立TLS连接时进行校验。TCP敲门是对UDP敲门的补充,使用TCP敲门包后,攻击者只能看到开放的端口,无法建立连接,因为攻击者发起的TLS连接请求中没有合法的身份信息。
Port Knocking的配置文件
怎么理解呢?可以参考linux knockd的手册上的说明(https://linux.die.net/man/1/knockd),有如下配置:
Port Knocking的效果和价值
开启Knockd后,指定端口默认不可以被访问。
我们将上述保护端口22,改为80,如下:
如下图,敲门前访问80端口失败;按顺序敲门后,访问80端口即可成功。
1)、默认通过wget和telnet访问 80端口,访问不通。;
2)、通过knock按7000、8000、9000的顺序发起敲门
3)、敲门后,再进行访问,即可成功访问。;
4)、查看受保护机器(172.19.32.5)的防火墙规则,发现如配置所设,添加了防火墙 规则:
5)、上述防火墙规则中,允许的172.19.32.14的IP,正是攻击机的IP。
敲门包的动态密钥
SPA包可以伪造,为防止被破解和篡改,需要对SPA包进行加密。
难题时密钥的分发,主要有三种方式
1.客户端嵌入密钥
2.为每个用户分发一个激活码,在安装时输入激活码,以激活码为种子生成密钥。这种方式较为复杂,可实现一机一钥。
一种优化的方式是,在安装客户端前进行身份验证,根据身份用户自动分配激活码,当用户登陆时自动读取激活码进行激活,激活过程无需用户参与,体验较好
3.将临时密钥转为正是密钥
在客户端中嵌入临时密钥让用户登录,登录成功后,管控每个客户端自动下发后续通信中的正式密钥。临时密钥要设置失效条件。
4.1.2管控平台的SPA防护
保护SDP管控平台有两种方式
1、在SDP管控平台上嵌入SPA模式
2、将SDP管控段隐藏在SDP网关后
4.1.3双层隐身架构
添加云网关/零信任网关+连接器的架构
工作流程
1、连接器主动于云网关建立逆向隧道
2、客户端发起流量先到云网关,再延隧道的回路转发到连接器
3、连接器再把流量转发给企业的业务系统
4.1.4无端模式隐身
SPA安全性是好的,但是便捷性上有一个缺点,用户必须安装客户端。默认浏览器无法执行敲门,下面介绍一种折中方案
1、无端模式架构
门户网页来自管控平台,默认情况下管控平台不隐身,只有安全网关是隐身的
工作流程
1、用户在web上登录
2、登陆后,管控平台会通知安全网关,添加一条防火墙规则,对于该IP开放所需端口
3、管控平台上有一个IP地址开放规则的定期回收程序,定期检查用户会话是否存在,若长时间没有操作则清楚端口开放规则
2、优缺点
用户体验变好了,但是安全性变差了
4.2零信任安全网关
4.2.1安全网关的基本作用
1、分隔用户和资源
2、执行安全策略
4.2.2安全网关架构
web代理网关:(最初的BeyondCorp访问代理就是一个web代理)
BS架构
1、转发请求
2、获取身份
3、验证身份
4、放行或拦截
web代理的好处
1、互联网收口
2、预验证、预授权
3、不会暴露业务系统的真实IP地址
4、持续监控
隐身网关
SPA模块放在web代理网关之前,增强安全网关的隐身防护能力
工作流程:
1、默认关闭所有端口
2、申请放行
3、验证身份
4、放行或拦截
5、正常通信
网络隧道网关
CS架构下经由网络隧道网关
很多零信任产品时通过成熟的VPN技术来实现网络隧道网关
VPN的原理简单来说就是通过设置虚拟网卡和路由表,拦截所有流量,虚拟网卡将流量转发给网关,由网关进行身份和权限的校验,然后将合法的流量转发到业务系统的服务器上,进行正常通信。为提升用户体验,还可以增加隧道保活、断线重连等机制
WEB代理与隧道网关的关系
网络隧道网关的作用是覆盖更多的使用场景,让零信任更完整,它的性能不如web代理网关,而且暴露了网络层资源,安全性较低。
Web代理网关可以在应用层进行安全策略控制,对应不同应用、不同URL设置不同的安全策略。Web代理网关的管控粒度比隧道网关更细
所以WEB代理与隧道网关是互为补充的关系
API网关
第三方服务器之间的访问需要用API网关进行管理
流程如下:
1、申请隐身网关放行
2、通过API网关身份校验,多数API是HTTP或HTTPS的,这个过程与Web代理网关的身份验证过程类似。第三方服务器通信时,将自己的身份信息插入数据包的头部,API网关从数据包头部获取身份信息并转发给管控平台进行验证,根据验证结果决定是否放行。
3、通过API网关的安全过滤,检查是否存在敏感数据泄露、SQL注入等。API要对异常行为和网络攻击进行拦截
4、正常通信
其他代理网关
通过不同组件覆盖更多场景,例如运维代理网关、物联网网关等
网管集群
对于大型企业有高性能和高伸缩性的需求,支持水平扩展是零信任网关必须具备的核心能力之一。
1、高可用
2、支持集群
3、支持多数据中心部署
4、支持分布式
加密传输
一、SSL卸载
客户端与零信任安全网关之间通常用HTTPS通信,与企业业务系统之间用HTTP协议。安全网关应支持SSL卸载,对前半段和后半段分别使用不同的协议传输,用户和网关之间使用网关办法的证书进行通信
二、mTLS加密
客户端和服务器段双向认证的加密协议
流程
a、网关和客户端安全各自的加密证书
b、当建立连接时,双方交换、检查对方证书是否合法
c、双方协商接下来通信用什么加密方案
d、使用密钥加密后,进行同行
三、国产加密
对称算法SM1.SM4.SM7。ZUC
非对称算法 SM2 SM9
散列算法 SM3
开源的GmSSL支持SM2,SM3,SM4国产加密算法
四、UDP加密传输
WireGuard协议, 在正常的HTTPS通信上进行封装,将正常通信的TCP包作为BODY部分,构造一个新的UDP包,在互联网上进行加密传输
流程
a.零信任客户端创建虚拟网卡,抓取流量
b、通过SPA UDP敲门,向隐身网关申请放行
c、与网络隧道网关建立连接。WireGuard将抓到的TCP数据进行UDP封装,封装过程中进行加密。客户端和网关各有一对公钥私钥,公钥和私钥和设备保定,每个设备都用一套独立的公钥密钥。
d、检测身份,在UDP封装过程中插入UDP数据包头部
e、验证成功后,使用用户公钥解开UDP包,还原成TCP包。
好处
1、隐身,通信过程只用UDP,与SPA的UPD敲门搭配,整个过程不用开放TCP端口。 Wireguard一般开放UDP51820
2、效率高, Wireguard只有4000行左右代码
3、双向加密
4、实名制网络,公钥密钥独立
4.2.3总结
1、网络隐身
2、加密传输
3、代理转发
4、持续校验
5、基础能力
a、自身防护
b、集群部署
4.3动态策略引擎
访问策略分为两大类,权限策略和风险策略。
权限策略是白名单,圈定范围
风险策略是黑名单,有风险进行拦截
零信任更加强调权限策略,强调白名单的限制,所有流量都要通过校验得到授权,并只授予最小权限。
4.3.1 架构
- 权限策略管理:PAP策略管理点,管理员配置用户的授权策略
- 权限策略引擎:PDP策略决策点, 将计算结果下发给策略执行点执行
- 身份大数据、资源清单:策略信息点PIP, 负责存储管理用户资源信息
- 策略执行点PEP: 用户需要先访问PEP,才能访问企业资源。PEP可以是零信任安全网关、业务系统本身、数据代理、API网关等
策略传递:最常用的策略定义语言是XACML,可扩展访问控制标记语言。
4.3.2策略模型
1、RBAC 基于角色
2、ABAC 基于属性
3、TBAC 基于时间
4、PBAC 基于策略
4.3.3分层制定授权策略
将策略拆分成基层,分别由不同的人在独立界面进行配置。
业务系统的授权策略由业务部门配置
设备准入策略由网络安全部门配置
数据脱敏规则由数据平台的管理者配置。
每层策略都是权限引擎的一个独立模块,不同部门从自己的角度提出要求,用户的访问请求需要通过层层策略校验,都通过后才能访问资源
1、用户授权策略
2、网络安全要求策略
3、数据脱敏规则
4、策略执行的冲突处理:常见处理规则有 拒绝优先、按优先级、先匹配到的为准等
4.4风险及信任评估
4.4.1持续的风险与信任评估模型
Gartner提出CARTA模型(连续自适应风险与评估模型 Continuous Adaptive Risk and Trust Assesment),模型与零信任的风险和信任评估逻辑是高度一致的。在CARTA模型中,防止攻击、发现异常、实时响应、威胁预测是一个循环
4.4.2零信任的风险分析架构
风险分析从日志汇聚开始,进行分析前,对各个来源的数据进行数据清晰、转换、关联、归约,再通过预先定义算法和模型,对处理后的数据进行分析,从中发现可以的风险事件,学习用户的画像、给用户打标签、综合评估用户的可信等级。
-
日志汇聚
网络日志:网关的网络流量日志,如时间、IP地址、丢弃的异常报文 行为日志:来自服务器、网关的用户访问日志,例如用户设备信息、应用URL 设备日志:设备安全状态、系统配置信息、终端上的用户操作日志 身份信息:用户身份信息、登录认证日志 其他日志:来自防火墙、入侵检测、终端检测的安全事件,第三方威胁情报 -
预处理
数据清洗:把脏数据转换为可处理的数据 数据转换:把数据结构和格式转换为后续关联处理的格式 数据关联:关联不同来源的数据,构造从用户网络连接、到应用访问、再到业务操作的完整的端到端的行为日志 数据归约:应保持数据原貌的前提下,最大限度的精简数据 -
数据分析
规则分析:基于设定阈值,与日志统计数据进行对比,发现异常风险 异常检测:统计用户的属性或事件的分布规律,进行对比 聚类分析:选取多个特征值,对用户和行为进行归类,评估用户安全风险 回归分析:按以往数据进行预测,发现用户异常行为 -
结果展示
风险事件:根据预先定义的风险模型通过数据分析方法发现的异常事件 用户画像:用户的常用设备、常在位置、活跃时段、常用应用、以及用户的行为规律、访问频次、占用带宽、近期的行动时间线信息 安全标签:包含用户特征的标签 可信等级:综合用户的认证强度、环境可信度、近期发生过的风险事件等信息,计算用户的可信等级。根据访问频次、覆盖人群、是否存在安全漏洞等信息,计算服务器的可信等级
4.4.3 风险分析方法
一、阈值检测
- 连续认证失败
- 异地登陆
- 异常旅行速度
- 异常高频操作
二、规则匹配
对流量内容进行匹配
对业务规则进行识别
对用户行为规律进行识别
三、聚类分析
使用聚类算法,找到各项指标与大多数人明显不同的异类
四、神经网络
长短期记忆LSTM神经网络是一种可以处理长期记忆场景的机器学习算法,它可以根据用户的访问记录学习用户访问习惯。
4.4.4 风险分析可视化
- 风险分析过程展示:可以让管理员了解风险事件的判定标准和风险分析机制
- 风险事件审计:了解整体安全状态
- 安全标签:分析人员可以筛选出带可疑标签的用户,进行人工筛选
- 用户画像:方便管理员对用户进行深度分析
- 安全态势大屏:一般以攻击视角的数据为主,展示整体风险、攻击地图、资产状态等
4.4.5 风险拦截策略
以工作流方式定义的事件分析和响应流程
-
风险拦截策略构成:风险拦截策略与风险事件、响应动作关联
-
如何解除风险状态:有些策略是瞬间完成的,例如断开的用户会话
有些策略的效果会持续一段时间,例如锁定账号、封禁IP,这类策略可以定期解除,也运行管理员手动解除
若策略要求用户进行二次认证,再完成认证前,用户是无权访问相应资源。这种状态应允许通过重新登录解除
-
风险告警的分级处理
风险告警要有一套分层风险处理机制。最简单的风险可以交给用户自己处理,有较严重的业务风险,由领导处理业务方面的下属的风险告警, 最后由安全运营人员兜底,处理其他安全问题,从安全防护的角度进行持续的分析和优化
-
风险事件的联动响应
风险事件可以由各类策略执行点联动拦截
4.4.6综合信任评估
可信评估是零信任架构的核心技术之一
最简单的评估方式是再用户访问资源前,考察用户的各项属性是否符合要求。
此外,可综合考虑多个方面的因素,给每个用户打分,再根据分数划分信任等级,通过主客体的等级匹配,进行访问控制。使用综合信任等级来管理只需要维护几个策略
-
主体信任评估算法
主体信任评估的因素包括用户的身份认证、设备状态、近期风险事件、环境可信度等 -
客体信任评估法
用户只有再主体信任分高于客体信任分时,才能访问客体 影响客体信任评估最主要的因素是企业对客体的分类分级,例如数据中是否包含个人隐私、是否包含公司核心资产、是否涉及保密对数据分级 应用的信任评估可以考虑应用的覆盖用户数、每日访问次数、是否包含核心资产、以及系统是否存在未修复的漏洞因素 客体信任分应允许人工调整 -
基于信任等级进行分级访问控制
更加灵活、灰度的管控手段,根据可信等级进行分级访问控制,如果用户发生了风险事件,可以扣除一定的用户信任分,随着分值降低,逐渐缩小用户的访问范围 -
信任等级划分
不可信:发生严重风险或存在威胁的人,不能访问任何系统 基本级:普通用户达到次级别,可以访问日常办公应用,如员工服务网站 专业级:开发人员、IT、财务等,才能访问敏感数据 特权级:具有企业网络和业务系统的管理权的技术人员需要达到这个级别,才能执行敏感操作。此级别的管控粒度应该更加细、细到数据、微服务级
4.5零信任的终端安全闭环
包含两部分:防护+隔离
4.5.1终端安全基线
1、设备清单库
2、设备安全检测
3、设备漏洞修复、系统配置
4、进程的访问控制
5、设备认证
4.5.2数据泄密防护DLP
1、终端沙箱技术
2、安全浏览器技术
3、RBI 远程浏览器隔离,用户连接到一个远程服务器上,用服务器上的浏览器打开业务系统。
本地设备只与远程服务器同步影像.基于像素传输的方式
4、DLP技术 ,通常用于审计,对数据内容进行过滤
5、云桌面技术:安全性最高,数据只落在服务器。成本较大,要配置专用瘦终端
6、数据泄密防护技术对比
云桌面安全性最高
终端沙箱是综合来看适用场景最多的数据隔离技术
用户体验方面,RBI是所有方案中最好的
安全浏览器适用于对BS应用安全要求较高
4.5.3安全上网
1、DOM重建技术
将页面的HTML和CSS重构,消除可疑的和动态的代码
2、CDR技术
内容解除和重建技术
3、安全上网场景
4.5.4终端一体化
杀毒、补丁升级、网络准入、访问控制、数据泄密防护等多种能力
1、单点登录
2、统一入口
3、功能联动
4.6微隔离
主要负责服务器和服务器之间的安全,东西向
4.6.1威胁的横向扩散
4.6.2微隔离如何防护
4.6.3怎么实现微隔离
一、实现方式
- 基于微隔离组件实现
操作系统上安装Agent客户端。Agent客户端调用主机自身防火墙或在内核自定义防火墙进行服务器间的访问控制。Agent客户端由零信任管控平台管理,接收策略、上报日志
优点:与底层无关、支持容器、支持多云
缺点:必须每台服务器上都安装Agent客户端。Agent客户端可能存在兼容性问题,占用资源,影响现有业务
- 基于云原生能力实现
使用云平台基础架构中虚拟化设备自身的防火墙进行访问控制
优点:隔离功能和基础架构都是云提供的,所以两种兼容性更好,操作界面也类似
缺点:无法跨越多个云环境进行统一管控
- 基于第三方防火墙实现
这种模式利用现有的防火墙进行访问控制
优点:网络人员很熟悉,有入侵检测、防病毒等功能
缺点:防火墙本身部署在服务器上,缺少对底层的控制
二、微隔离架构
-
集中管控:微隔离组件由零信任管控平台进行管理
-
身份认证:微隔离组件启动后,发起身份认证申请(最常用基于企业PKI),在认证通过后,即可获取自己的权限列表。
-
服务器环境感知:对服务器的安全状态进行检测
-
端口暴露管理:管控服务器对外的端口白名单
-
进程外连接管理:管控每个进程的通信白名单
-
通信和校验过程:控制流入、流出的网络通信。服务器之间的通信是从一个组件发起到另一个组件。在容器环境中,通信的寻址是通过身份标识而非IP地址进行
-
统一实施加密传输:传输过程的加密由微隔离组件统一在底层实现,业务开发人员无需关心细节。敏感数据可以通过mTLS进行加密传输,防止通信备篡改和窃听
三、微隔离的管控平台
-
基于身份的访问策略
在策略中使用业务名称而非IP地址,有助于管理员的管理和理解
-
访问策略的构成
主体和客体可以是服务器、微服务、进程等
从身份、组、标签、安全属性等维度设置访问条件。
-
自动学习业务策略
在稳定的业务平台上,主机的进程和通信较为固定,服务端不会进行随机的网络访问。从理论上,管控平台可以根据网络日志进行一段时间的统计和学习,可以自动为管理员推荐一份合理的管理策略,管理人人工整理进行查漏补缺。
-
业务关系可视化
-
策略下发:应支持策略的试运行和灰度发布。
试运行模式下,流量不会被拦截,通过研究日志记录策略的匹配情况,看是否符合预期
灰度发布,先从连接和依赖较少的业务开始实施,确认没问题后再逐渐覆盖扩大范围,直到百分之百覆盖
-
环境感知和风险监控
微隔离组件可以上报服务器端的安全状态,并将其作为访问控制策略的条件之一。
-
分布式身份认证
管控平台应支持分布式部署,支持多云多中心的大规模的服务调用。零信任系统应该提供跨异构环境的统一策略模型,以便对策略进行集中定义,同时提供身份认证和权限校验的分布式服务。
四、容器和微服务的微隔离
基于IP地址的策略无法解决对API的细粒度访问控制的问题,IP策略只能限制IP地址、端口、协议。过度的接口暴露会带来严重的安全隐患。
容器的宿主机是不确认的,服务可能再不断线的情况下,从一台宿主机迁移到另一条宿主机。在容器网络内,IP地址级的访问控制已经失去异议。
因此,在容器和微服务场景下,微隔离需要做到基于服务的身份而非IP地址来定义策略。
五、价值总结
微隔离可以实现零信任的几个关键理念
- 假设网络已经被攻破。微隔离的主要目标就是在被入侵后阻断威胁扩散
- 持续验证,用不信任。微隔离需要对所有流量进行身份和权限校验
- 只授权必要的最小权限。微隔离对主机进行白名单限制,粒度是到主机进程、API级别
微隔离最直观的可量化价值就是网络供给面缩小。
4.7统一身份认证
身份管理和认证模块是访问控制的基础设施。有些企业会建立独立的身分中心、权限中心。零信任系统需要汇聚高质量的身份大数据,为细粒度的动态访问控制提供足够的信息支撑,并提供基于风险的自适应身份认证。
4.7.1身份大数据
从企业HR、安全分析平台、业务系统等同步这些信息
- 人和物全面身份化:为人、设备、应用、API等场景下的实体建立身份
- 身份生命周期:为各种实体制定身份生命周期管理流程
- 身份的多源汇聚:应支持数据建模,根据业务需求灵活调整属性;汇聚身份除了技术因素还要考虑管理因素
- 身份和权限服务:零信任系统可以向下游系统提供身份数据,在提供数据时,进行必要的脱敏和加密。
4.7.2身份分析与治理
身份管理系统应具备异常分析机制,定期检测违规账号和不合理的权限配置,进行自动调整或人工调整。
一、异常账号分析
- 孤儿账号:零系统的用户账号是主账号,应用系统的账号是从账号,一般情况下能一一匹配,没有主账号与之匹配的从账号就是孤儿账号,容易被攻击者利用
- 重复账号
- 无效账号
- 违建账号:只有账号,没有创建过程
- 休眠账号:长时间未使用的账号
- 共享账号:攻击者最容易利用的账号
二、异常权限分析
- 无效权限:分配给用户,但用户从未使用过的权限。不必要的权限应及时撤销(例如三个月内未访问过)
- 角色重复:两个角色对应同一群人,可以考虑合并角色
- 冗余授权:重复给用户授予相同的权限
- 权限互斥:制定权限互斥规则。
- 与众不同:用户可能存在权限过大的问题
- 异常授权:用户的授权申请和审批未明确原因;临时授权但长期未授权的情况
- 越权访问:通过技术漏洞,绕开访问控制机制,访问没有授权的应用。零信任系统可以对比访问日志和安全策略规则是否匹配,发现越权行为
4.7.3统一身份认证
传统企业身份管理平台存储在各个业务系统之中,用户在访问各个业务系统时,在各个业务系统上进行身份认证。
零信任方案后,身份由零信任系统统一管理,用户访问业务系统前,要到零信任系统进行认证,有如下好处
- 零信任系统将身份认证延伸到了网络层
- 可以汇聚各个系统的身份数据,进行统一身份分析和治理
- 零信任提供额外的身份认证,在统一实施多因素认证后,可以提高所有业务系统的身份强度
- 零信任可以设定基于风险的自适应认证策略
一、常见用户认证方式
- 账号密码:最常见,非常不安全。密码认证越来越多的被无密码认证替代
- 邮件认证:安全级别也不高
- 短信认证:安全程度比账号和邮件高,成本较高
- 动态口令OTP认证:适用于用户安装专门的APP,且认证频率较高的场景
- 扫码认证:通过APP扫码、确认的动作,将手机登录状态传到服务端,再推送到PC端
- U盾认证:登陆时需要校验是否插着U盾,读取U盾中ID或加密证书进行身份认证。U盾硬件需要花费一定成本
- 生物识别:指纹、人脸、虹膜、声纹认证。需要专用设备支持。另外涉及个人隐私,限制了它的使用
- 数字证书:现在客户端导入证书
- 设备认证:通过硬件型号、芯片表示、MAC地址、IP地址、密钥证书等进行认证
二、常见的第三方认证对接
-
LDAP : 身份目录协议,AD时微软的LDAP产品。 AD/LDAP是最常见的身份源和认证源
-
RADIUS:早期认证协议,用于无线网络和VPN接入
-
SAML: SAML协议主要用于单点登录。
-
OAuth2:是一种验证身份和授权的标准,允许用户授权第三方应用访问其再另一台服务器的资源。它不是用来做单点登录的,也可以实现单点登录。OpenID可以与OAuth连同使用,也可以单独使用
OpenID强调 认证 authentication OAuth强调 授权 authorization
-
OpenID是去中心化的网上身份认证系统。用户只需要预先在一个作为 OpenID身份ᨀ供者(identity provider, IdP)的网站上注册。任何网站都可 以使用OpenID来作为用户登录的一种方式,任何网站也都可以作为 OpenID身份ᨀ供者。你的网站地址(URI)就是你的用户名,而你的密码 安全的存储在一个 OpenID 服务网站上(你可以自己建立一个 OpenID 服 务网站,也可以选择一个可信任的 OpenID 服务网站来完成注册)。
登录一个支持 OpenID 的网站非常简单。只需要输入你注册号的 OpenID 用户名,然后你登录的网站会跳转到你的 OpenID 服务网站,在 你的 OpenID 服务网站输入密码(或者其它需要填写的信息)验证通过 后,你会回到登录的网站并且已经成功登录。除了一处注册,到处通行 以外,OpenID 给所有支持 OpenID 的网站带来了价值—共享用户资源。
-
OIDC :OPEN ID连接(OPEN ID CONNECT),第三代OPENID技术,是OAuth2之外的身份验证层,使用JSON WEB TOKEN(JWT)令牌,使用符合REST的web服务来检索JWT,除了提供身份验证之外,JWT还提供有关用户的配置文件信息。与OATHU2比多了身份用户标识和传递,OIDC可以用于实现单点登录。
-
CAS: 常见的单点登录协议
三、提供单点登陆服务
4.8 SASE与ZTE
4.8.1什么是SASE
Gartner提出,有一家公司在云上提供安全服务,日常维护由云负责,可以一键增加安全能力,这种架构就是安全访问服务边缘(Secure Access Service Edge ,SASE)
一、共享云安全服务: 云提供安全服务,用了SASE的企业,理论上不需要防火墙、服务器
二、边缘加速:
有些企业在总部部署全套安全设备,不在分公司部署安全设备,分支机构员工在上网时,先连接到总部做安全检测,再从总部出去访问互联网。存在流量迂回的问题。
SASE的安全接入点不在中心,而在边缘,分支机构可以接入离自己最近的SASE节点。
三、网络和安全的融合
综合,SASE不仅不具备安全能力,还具备网络能力.SASE是网络即服务器NaaS 和网络安全即服务SECaaS共同进化的方向。从技术角度来看,SASE技术应包含如下内容
- 云原生架构
- 支持各类接入形式: SD-WAN组网接入、移动端远程接入、无端模式远程接入
- 全球负载
- 安全加速
- 统一管理
- 流量检测
- 零信任安全访问: 替代VPN ,SDP网络隐身
- 基于DNS保护服务
- 安全审计
在各个方面进行统一管理
- 统一身份管理
- 统一策略管理
- 并行检测
- 持续评估
- 统一数据
4.8.2 ZTE与SASE关系
Forrester在Gartner提出SASE后,对零信任理念进行丰富,提出了ZTE 零信任边缘概念,并强调SASE其实就是ZTE
在Forrester理念中,零信任包括数据中心零信任和边缘零信任。数据中心零信任就是私有化部署的零信任,边缘零信任就是ZTE,即SASE.
ZTE强调分步骤实施,先用零信任架构解决远程访问的问题,再追加其他安全控制措施,最后用SD-WAN解决网络重构问题。
4.8.3 SASE主要应用场景
- 安全上网
- 安全接入
4.8.4 SASE价值
SASE在安全性、成本、体验等方面都有很大价值
- 安全性强
- 体验好
- 维护简单
- 成本低
缺点
- 云安全是云原生,为云而生,传统厂商习惯卖硬件,转型到云原生会有一定难度。若没有整体架构设计,组件就不能兼容,运维起来难度更大。
4.8.5 SASE如何落地
-
企业为什么使用
大部分企业安全建设已经完善,短期内不需要使用SASE。 一些新兴企业没有专门负责安全管理的人,这些企业的CTO较为擅长业务,可以把安全托管出去,这类企业十分适合SASE. SASE具有安全能力,能满足公司的合规审计要求,比单纯的SD-WAN用着更放心 -
成本问题
SASE要求将用户的全部流量导到云上进行检测,高带宽需要的费用较高,这个问题最终可以依靠增加规模来解决。 初期可以先不导流量,主要靠终端和DNS提供服务 -
信任问题
企业流量会经过安全产商的云,企业可能担心第三方窃取数据。 -
怎么让用户用起来
为了让用户用起来,可以对公司本地网络进行限制,只有安装客户端的用户才能上网。远程办公的用户只有登录客户端,才能登录业务系统。如果用户普遍使用公司管控策略,那么可以强制安装客户端,并且不开放退出和卸载功能
921
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
