IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> 零信任相关标准、框架及落地实践(下) -> 正文阅读

[系统运维]零信任相关标准、框架及落地实践(下)

五、零信任实现架构类型

■ 基于SDP的零信任架构

主要负责南北向安全,多采用C/S客户端模式及B/S的Web应用模式,对所有用户/设备/app进行访问权限控制,这种架构可以实现策略一次性下发,资源消耗少,但应用层访问控制的细粒度有限。

图片

主要由SDP客户端、SDP控制器、SDP网关组成。

图片

■ 基于IAM的零信任架构

主要负责南北向安全,以身份为访问主体进行权限设置和判定,其优势在于可以实现数据级粒度的访问控制,且访问主体不必安装客户端,但由于访问动作都需要鉴权,比较耗性能。

图片

主要由两部分组成:可信代理、零信任安全策略中心。

在这里插入图片描述

■ 微隔离架构

主要负责东西向流量控制,限制用户在网络内部的移动,其优势在于可以实现最细粒度的访问控制、进行持续的观察和审计,但策略计算复杂度高,规则数量多,运维成本大。

在这里插入图片描述

分为两个组件:微隔离客户端、微隔离控制中心。

图片

六、零信任资源访问模式

用户对HTTP资源访问模式1:有终端Agent

图片

web可信代理,起到http反向代理作用。处理流程如下:

1、用户通过终端Agent进行设备注册、授权;

2、通过Agent进行终端加固;

3、访问业务,通过域名解析后先访问可信代理;

4、可信代理通过零信任安全策略中心,确定用户访问请求是否有权限,决定是否放行;

5、可信代理将获取的权限凭据发给http资源,获得请求数据;

6、将数据返回给用户。

■ 优势

1、强调了终端安全,Agent接收终端安全策略。

2、可以实现对http业务的细粒度访问控制,如基于功能、服务、接口的访问控制。

3、通过可信代理,可以对http业务访问进行深入分析。

用户对HTTP资源访问模式2:无终端Agent

图片

web可信代理,起到http反向代理作用。处理流程如下:

1、 用户浏览器访问业务,通过域名解析后先访问可信代理;

2、 可信代理通过零信任安全策略中心,验证用户和设备的身份,确定是否授权;

3、 通过单点登录显示用户可以访问的应用业务;

4、 用户通过单点登录访问业务,请求到达可信代理后,可信代理到安全策略中心鉴权;

5、 鉴权通过后,可信代理将获取的权限凭据发给http资源,获得请求数据;

6、 将数据返回给用户。

■ 优势

1、可以实现对http业务的细粒度访问控制,如基于功能、服务、接口的访问控制。

2、安全策略中心对用户进行认证、授权和鉴权。

用户对综合业务资源访问模式1:应用可信代理模式

图片

应用可信代理实现对所有应用的反向代理,特别是非http业务,和终端建立安全隧道,业务通过隧道转发。处理流程如下:

1、 用户通过零信任终端Agent进行设备注册和授权;

2、 终端Agent进行安全基线加固,以及上传终端设备安全状态;

3、 用户通过终端Agent(或可信集成的浏览器)设置本地应用层代理配置,指定特定资源的访问由应用层代理发至应用层代理网关;

4、 应用层代理网关通过安全控制中心,进行认证和鉴权;

5、 应用层代理网关鉴权通过后,将请求转发给应用系统,获取请求的资源;

6、 应用代理网关将资源转发给零信任终端,完成资源请求。

■ 优势

1、 该方案主要适用于非http业务的方案。

2、 对可信业务的访问,强制通过Agent送到应用代理网关,实现零信任访问控制。

3、 终端与可信代理建立安全隧道。

4、 可以对业务进行基于内容的安全分析。

用户对综合业务资源访问模式2:流量可信代理模式

图片

流量可信代理对来自终端的业务流量实现代理控制,可以包含各种业务流量。处理流程如下:

1、 用户通过零信任终端Agent进行设备注册和授权;

2、 终端Agent进行安全基线加固,上传终端设备安全状态,进行终端可信评估;

3、 用户通过终端Agent的hook方式、虚拟网卡、网络过滤驱动等方式,将访问请求转发到流量可信代理;

4、 流量可信代理通过安全策略中心对用户进行认证,对访问请求进行鉴权;

5、 流量可信代理鉴权通过后,将请求转发给应用系统,获取请求的资源;

6、 流量可信代理将资源转发给零信任终端,完成资源请求。

■ 优势

1、 该方案主要适用于非http业务的方案。

2、 对业务改造少。

3、 不需要与可信代理设备建立安全隧道。

用户对综合资源访问模式3:混合可信代理模式

图片

应用场景:在防护的资源中,既有web资源,又有非web业务。处理流程如下:

1、 用户在访问资源时,根据所访问的资源类型,将请求转发到流量可信代理;

2、 流量可信代理通过安全策略中心对用户进行认证和鉴权;;

3、 流量可信代理对有权限的流量进行转发:

  i. 直接转发:如果是非web业务,请求将直接转发到应用中,例如C/S应用;

  ii. 转发到web可信代理模块:如果有web业务,由web可信代理模块进一步进行更细粒度的鉴权。

4、 流量代理网关将资源转发给终端,完成资源请求响应。

■ 优势

1、实现了对web业务、非web业务的综合零信任防护。

2、实现了对web业务的细粒度安全防护。

七、零信任架构的落地

实施ZTA战略是一个过程,而非对基础设施或流程的大规模替换。组织应逐步实施零信任原则,进行流程变更,并采取保护其最高价值数据资产的技术解决方案。大多数企业在持续投资当前IT现代化方案的同时,在很长一段时间内会出现零信任和现有安全防护模式并存的局面。企业如何迁移到ZTA战略取决于其当前的网络安全状况和运营情况。企业在部署ZTA架构时,要对企业的资产、主体、业务流程、流量和相互依赖关系映射进行识别和梳理。落地的类型包括:

类型一:纯零信任架构

企业落地零信任架构,可以从头开始构建零信任架构网络。如果企业清楚其运营所需的应用/服务工作流,那么企业可以为这些工作流制定基于零信任策略原则的架构。一旦确定了工作流,企业即可缩小所需组件的范围,并开始规划各组件的交互方式。从这一点上看,构建网络基础设施和配置组件是一项工程和组织工作。这可能会带来额外的组织变更,具体取决于企业当前的设置和运行方式。

类型二:ZTA 和传统架构并存

任何一家大企业都不可能在一次技术更新周期内全部迁移至ZTA网络。在传统企业中,ZTA工作流在一段时间(也许是无限期)内会与企业的传统安全防护架构工作流并存。企业向ZTA方法迁移时,可采取每次迁移一个业务流程的方式,使得ZTA架构和传统安全防护架构共存。通过这种模式,实现从传统防护架构到ZTA架构的平稳过渡。

零信任架构的落地步骤:

企业实施ZTA之前,应该对资产、主体、数据流和工作流进行调查。这是 ZTA部署前必须要了解的基本情况。如果不了解当前的操作状态,企业就无法确定需要准备哪些新流程或系统。这些调查可以并行进行,但都与对组织的业务流程检查相关。落地步骤如下图所示:

图片

1、对业务访问主体进行评估

为确保 ZTA 网络正常运行,PE必须了解企业中的业务主体。主体包括人类实体和可能存在的非人类实体(NPE),如应用和IOT设备。在落地评估阶段,分析出有那些主体类型、主体数、主体所在的组织架构、主体所属的角色,是进行身份管理的基础,是零信任前期准备工作的重要内容。

在对主体进行分析评估时,有时也要对主体涉及的设备进行梳理评估,要建立设备清单,在主体进行业务请求时,要保证设备可信,对设备进行认证。

2、对业务客体进行评估

ZTA主要实现对客体的防护。客体,也就是企业需要防护的资产,包括服务器、应用业务、IOT终端、功能、服务、API接口、数据等。梳理出需要防护的尽量详尽的客体对象,对ZTA的防护能力至关重要。

对客体,要根据用户的应用场景和资源防护需求进行分析和评估,梳理出业务客体,并对业务客体进行分级分类。分级分类主要通过敏感度来进行标识。

3、制定访问关系清单

ZTA的目标是实现主体访问客体的实时权限最小化,但动态的访问权限策略是基于静态策略来实现的,而静态访问策略就是指主体和客体之间的访问关系,所以梳理出主体和客体之间的访问关系清单,是ZTA落地很关键的一步。

在ZTA系统中,主体和客体之间的访问关系清单主要通过权限中心来实现。在实际落地时,可以有多种实现方式,比如基于角色、基于属性、基于组织架构、基于具体用户授予权限等。在实际落地时,需要考虑用户的实际需求,主要场景和个性化场景。

4、业务流程梳理

在实际落地时,需要针对不同的业务,进行业务流程分类,梳理出各业务适用的处理流程,在此基础上部署ZTA,才能满足用户的需求。

5、风险评估策略的制定

ZTA架构很重要的一个特点是对主体、客体进行持续风险评估。如何进行风险评估、风险评估的元素有哪些是ZTA落地实施需要考虑的重要内容。在落地实施前,要制定好风险评估策略。

6、部署及运营策略的制定

制定比较完善的部署、运营策略,对ZTA的平滑落地具有很好的指导价值。

7、访问控制策略

除了设置主体、客体之间的访问关系清单外,有时还需要设置一些访问控制策略,如添加访问黑名单、访问白名单、基于时间的访问控制、基于IP的访问控制等

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-03-15 23:07:58  更:2022-03-15 23:15:24 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/16 1:42:22-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码