本文详细介绍了零信任安全模型的工作原理,以天翼云零信任为例,通过实验展示了如何在Linux虚拟机上部署和配置,以及零信任如何实现实时的权限控制和网络访问。作者还探讨了多机场景下的应用和未来潜在的使用场景.
一、什么是零信任?
零信任是一种安全访问资源的安全模型,本质上是为了解决传统vpn接入内网后面临的内网资源风险。零信任安全模型,通过白名单方式对内网应用资源(ip+port)进行精确授权,非授权资源默认不能访问,既解决了外部授权用户通过互联网安全访问内网资源的业务需求,又能将资源按ip+端口模式细化到应用层面。
Cloudflare的ZeroTrust也是一款非常出色的零信任工具,这类零信任工具有一些共有的特点:
1、用户访问基于互联网加密隧道,不依赖物理专线
2、运营方有一个统一的console平台,对客户来说是SaaS级的服务
3、根据运营目标范围,最适合cdn服务商在源节点上增值提供服务
上图是天翼云零信任标准的组网示意图。
二、我的实验网络环境
实验环境说明:
1、笔记本安装Linux虚拟机,虚拟机通过nat方式使用本机网卡11.0.1.1,虚拟机设置11.0.1.129
2、搭建Linux运行两个服务,ssh与nginx,模拟内网服务器的服务。
3、客户端下载天翼云零信任客户端,模拟外部客户通过零信任网关访问内网服务。
三、实验步骤
第一部分:虚拟机操作
1、安装docker
curl -fsSL http://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | apt-key add -
sudo add-apt-repository "deb [arch=amd64] http://mirrors.aliyun.com/docker-ce/linux/ubuntu $(lsb_release -cs) stable"
sudo apt install docker-ce
service restart docker
2、安装openssh-server服务
sudo apt install openssh-server
3、安装nginx
sudo docker run --name nginx-test --restart=always -p 80:80 -d nginx
第二部分:零信任控制台操作
1、天翼云accessone访问链接
通过管理控制台进入,如果没有开通,可以选择立即开通,当前还可以免费试用。
2、完整配置流程
整体配置零信任见上面的流程,我这里介绍一下逻辑:
1)首先建用户,定义可以访问零信任的用户姓名,登录账户与密码,密码可以自动生成,但是用户首次登录时必须修改密码,然后建组织,目前支持2级组织架构设置,明确用户在组织内部的角色。
2)第二步建应用,我把本地虚拟机上的两个应用发布出去,分别是web应用11.0.1.129:80,网络应用11.0.1.129:22
3)第三步添加应用授权,将上面添加的应用加入授权,建立应用权限与用户的关联
4)第四步在服务侧部署连接器,连接器是使用反向连接技术,将您的内网应用资源和天翼云零信任网关进行网络连通。您需要将连接器安装到您的内部网络,并给该连接器关联指定的应用资源,在您访问该应用资源时将通过该连接器中转代理访问到源站。
本文就在Linux虚拟机上部署docker连接器,首先定义连接件集群,然后将生成的docker安装部署命令复制粘贴到Linux虚拟机上执行部署。
部署成功后会看到上面显示的连通状态为正在运行及关联的应用。
5、第五步下载安装对应操作系统的零信任客户端
第三部分:单机测试验证
1、零信任客户端登录前后带来网络访问的变化
上面是不用零信任的效果,下面是使用零信任的效果
明显看出使用零信任后,本地访问虚拟机的流量走到零信任网关上,通过下面的命令可以看出。
访问11.0.1.129的流量被指向10.55.0.1上。
天翼云零信任客户端软件在终端上虚拟了一张tunnel网卡,设置ip是10.55.0.1
2、使用零信任后访问web服务效果
3、零信任关闭web服务权限,本机访问web服务效果,可以看到通过控制中心关闭了web访问权限后,访问http://11.0.1.129就被拒绝了。这里accessone控制中心的更改时即时下发到客户端生效的。
4、进入天翼云零信任容器中查看配置文件
more config.yaml
service_name: sec-agent
app_name: sec-agent
pid_file: sec-agent.pid
log_conf:
log_path: log/
log_level: debug
log_prefix: log/sec-agent.debug
log_compress: true
client_conf:
reconnect_interval: 60
preference_domain: access3.dns.temle5.cn
wg_interface_conf:
interface_prefix: wg-sec-
grpc_conf:
listen_addr: cp-0trust.ctcdn.cn
insecure_skip_verify: true
listen_port: 443
ca: conf/ca-prd.crt
key: conf/client-Connector-1679046739.key
cert: conf/client-Connector-1679046739.crt
发现这个docker容器其实就是一个运行了wireguard协议的客户端软件,服务端的dns域名是access3.dns.temle5.cn
四、多机通过零信任测试
在我的另一台机器上安装了天翼云零信任客户端。从操作系统中看出零信任终端生成了一张tunnel网卡,这个网卡的ip是10.55.0.2,区别于我在笔记本上零信任终端生成的10.55.0.1,从此推断,如果再到其他的终端上安装客户端,本地生成的tunnel网卡ip地址会顺序生成新ip。
这里面出现的11.0.1.111-113是我在笔记本上部署的k8s集群,我用台式机加装零信任客户端,在accessone控制台上授权。然后我就可以在台式机上愉快的访问我笔记本上的k8s集群了。这里记住一点,如果在accessone上做了新的应用发布,外部访问客户端必须要退出重新进入,虽然退出前你看到配置信息已经发布到零信任客户端上了,但是不退出重新进入不会刷新wireguard虚拟网卡的路由信息,就是上面看到的11.0.1.111-113这段路由只能在终端登录时生效。
多机使用免费的零信任应用很香,想象一下朋友之间通过零信任在互联网上相互分享自己搭建在本地的应用场景。
五、实验总结
通过实验及对部署过程与部署软件的分析,我认为这个零信任网关在服务侧是wireguard客户端连接了分布式cdn节点专门用于accessone服务的节点,这些节点组成了一个软件定义的基于互联网的局域网组网,并且比普通wireguard增强的是安全控制中心可以对用户访问流量做到精细控制,默认全部拒绝,这种模式下,用户通往内网的所有流量在零信任网关的节点被解密后进行了分析控制,只有规则明确允许的才能访问,规则可以在远程通过图形化的控制台集中控制下发,即时生效。
建议大家多想象一下零信任的使用场景,随着ai技术的普及推广,大家都可以在自己的pc上搭建独特的服务,希望能点对多点共享给指定用户指定的应用,通过零信任就可以免费实现。
4359
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
