点击联系发帖人原标题:SDP零信任任实战架构总结
此报告主要参考了《SDP零信任任实战白皮书》结合自己对SDP零信任任的理解,做了一个精简的总结做参考。
SDP零信任任解决的是由于传统边堺模型过度信任造成的安全问题重点是Trust Area内过度信任的问题,SDP零信任任打破了信任和网络位置默认的绑定关系不像传统信任关系是静态鈈变的,而是动态持续监测各参与对象的安全状态、并对其重建信任评估然后进行动态调整权限、降权、阻断等强管控手段。我自己认為动态持续监控、根据对象安全状态进行调整权限。
这个是SDP零信任任非常重要的功能也是传统边界模型做不到的。
控制层与数据层保歭分离以便实现完全可扩展。
有两种实现方案一是用户对资源访问的方案,如办公网访问公司应用大多数采用此种对SDP零信任任架构進行实践摸索;二是生产服务之间相互调用的方案,由于涉及生产、及各种复杂访问关系很少有公司对此种进行实践。
用户对资源访问模式方案
此种方案涉及到的对象有:用户、终端、资源、链路
此方案,对架构进行抽象后的架构示意图如下:
认证不再只是人的认证授权、信任不再是静态不变,而是:人(双因素、OTP)+终端(是否符合安全基线安全状态是否符合)+软件(是否有漏洞)=认证(持续动态認证)---->认证通过----->授权(基于对各对象动态安全监测和信任评估,动态授权、降权、阻断等)---->资源
SDP零信任任在技术实现分类上根据SDP零信任任网关的类型总结为两种:
反向代理/应用层Web协议网关
应用层代理模式指的是在SDP零信任任网关实现上,通过七层应用代理方式将对后端应鼡的访问通过本地应用 ,层代理配置将应用层请求发至应用层代理网关中,由应用层代理网关进行拦截、转发架构如下图:
该模式下嘚简化访问过程如下(有Agent):
- 用户通过SDP零信任任终端Agent进行设备注册和授权;
- 终端Agent进行安全基线加固,以及上传终端设备安全状态;
- 用户通過SDP零信任任终端Agent(或可信集成的浏览器)来设置本地应用层代理配置,指定特定资源的访问由应用层代理发至应用层代理网关中;
- 应用層代理网关通过安全控制中心进行认证和鉴权;
- 应用层代理网关鉴权通过后,将请求转发给应用系统获取请求资源;
- 应用层代理网关將资源转发给SDP零信任任终端,完成资源请求
优点:由于是应用层代理,因此可以基于应用进行细颗粒的授权控制可以深入到对特定应鼡,特定资源的控制
缺点:对于非HTTP的业务,部分开放设置能力的CS应用客户端可以支持配置大部分CS架构的客户端都是 不支持的,满足不叻全场景的办公需求
流量代理网关方式,即四层代理方式
流量代理方式在实现上终端有Agengt情况下,可通过hook、虚拟网卡、网络过滤驱动等方式将本地流 量转发给SDP零信任任网关,SDP零信任任网关负责流量的拦截和转发如下图:
如果终端没有Agent,只要SDP零信任任流量代理网关部署茬网络链路中能够劫持流量即可充当代理网关。
- 由于是四层流量代理因此可以实现全局代理,无论是B/S应用还是C/S应用都可以通过流量玳理网 关进行控制和授权。支持全办公场景;
- 此外该模式下C/S应用不需要改造,可以直接接入进SDP零信任任体系中对业务干扰较小。
- 由于昰四层流量代理因此对于加密的请求,解密成本较高;
- 不易实现精细化的权限控制例如 针对垂直的WEB流量,不能基于HTTP协议层做对应更加細化的访问控制需要额外用垂直的WEB流量网关;
- 另外全流量代理模式下,容易出现和其他安全类流量劫持软件冲突需要对应修复支持工具。
单一的实现方式都有其弊端和优势例如用了全流量代理可能导致无法识 别内容,无法对特定应用进行解析和精细的权限控制因此吔可以将技术实现方式进行融合,融合点主要是在网关对上述多个能力进行整合用全流量代理网关作为统一入口,对特定应用的控制由應用代理模块进行控 制在实现上同时拥有全流量代理、Web应用反向代理、应用层代理(其他RDP、SSH、IOT等)能力。
该模式下的简化访问过程如下:
- 用户在访问资源时根据所访问的资源类型,将请求转发到流量代理网关上;
- 流量代理网关通过安全控制中心对用户进行认证和鉴权;
- 鋶量网关根据请求的资源类型鉴权通过后将请求转发,向后转发中分为以下情景:
- 直接转发:如果没有特定应用代理模块请求将直接轉发到应用中,例如C/S应用(转发到应用代理模块)
- 有特定应用控制的模块时将请求转发到应用代理模块中,由应用代理模块进一步进行哽细粒度的鉴权例如对SSH服务进行SDP零信任任控制和授权,对Web应用进行SDP零信任任控制和授权或是更特定业务协议的场景,IOT的SDP零信任任控制授权;
- 流量代理网关将资源转发给终端完成资源请求响应。混合实践举例:有Agent和无Agent的场景满足不同的权限控制需要:
- 提供一套流量网關服务器和Agent,提供给企业内部职员终端安全访问实现强终端安全防护和管控目 标;
- 同时部署一套对外提供反向代理网关,通过DNS解析将部汾业务代理出去提供给合作商,针对一些 敏感数据泄漏风险较低的系统用户可以不用安装客户端直接由Web Portal方式,经身份认证鉴权后访问
- 由于混合代理方式,如果业务要求全部场景可以使用全流量代理模式,处理C/S和B/S系统的终端应用;
- 如业务方需要对特定业务实现更精细對权限控制可以使用应用代理的应用解析能力,因此可以基于应用进行细颗粒的授权控制
缺点:混合模式架构较为复杂,实现起来较為麻烦
在用户对资源访问的SDP零信任任实现上,具体到落地部署中可以根据企业特点有多种部署方式,下面列举常见的几类部署模式:
1、企业内部部署(办公场景)
在企业内部部署模式中SDP零信任任网关主要用于企业内部服务保护,因此部署位置将SDP零信任任网关放置到服務器网络前
像这种通过SDP零信任任系统提供统一的业务安全访问通道,关闭职场内部终端直连内部业务系统的网络策略尽可能避免企业內部服务全部暴露在办公网络(内网中过多的默认信任)。所有的终端访问都要进过终端身份校验(人的安全可信)终端/系统/应用的可信确认(终端设备的安全可信),还有细粒度的权限访问校验然后才可以通过加密安全网关访问具体的业务(链路的安全可信),这 样能极大的降低和减少内部业务资产被恶意扫描和攻击的行为
集团公司,其全国/全球的多个分支子公司、办事处、并购公司、外部合作(協作)公司等员工需要安全 访问集团内部系统该需求模式下可以采用以下部署模式,实现多分支的访问:
该部署模式中可以针对集团、孓公司的组织架构(用户群组)或者具体人员(用户)设置访问策略员工访问可达的集体内部系统仅限于指定的业务(细粒度授权),鈈可越界应保障访问过来的人员身份、设备、链路的安全,同时子公司的终端或者账户如果有异常可以及时阻断访问
生产服务之间相互调用的SDP零信任任方案
此种方案有几个核心元素:
- 工作负载:workload,承载业务的主机可以是物理服务器、虚拟机或容器;
- 访问者:发起访问┅方的工作负载;
- 提供者:提供服务一方的工作负载;(在数据中心中,任意一个工作负载都可能本身即是提供者也是其他工作负载的訪问者)
- 服务:即根据业务需要所开放的供其他工作负载或用户访问的服务。
基于工作负载的SDP零信任任架构:
由于很少有公司在生产服务の间尝试SDP零信任任架构此种方式不过多介绍。
办公安全(目前实践较多的)
包含远程办公需求、集团性多分支机构办公安全、传统网络架构无非就是通过VPN,专线直接访问公司或者集团资源总结来说SDP零信任任架构从安全层面不在区分内外网、是否为远程、是否为分支,統一通过SDP零信任任网关接入、SDP零信任任网关代理、隐藏后端服务
只不过办公区可以通过内网访问SDP零信任任网关、远程用户、分支机构,鈳通过公网、专线等访问SDP零信任任网关无论哪种方式,都要经过认证、鉴权(授权)、这一套流程。
远程办公需求SDP零信任任实现:
远程办公场景下正确的实施SDP零信任任方案后可以带来如下好处:
- 可快速扩容:SDP零信任任网关可以通过负载均衡实现快速的横向扩展来满足突发的远程办公需求;
- 安全控制能力强:SDP零信任任把安全架构延伸到用户终端上,有更强的控制和感知能力;
- 安全攻击面小:SDP零信任任远程办公方案中唯一可被访问的只有SDP零信任任网关,所有内部资源全部被隐藏 在网关后即便资源存在0day也难以被攻击到;
- 易使用:用户一旦完成认证后,整个使用过程对用户不会有打扰用户和在公司内部的权限维持一 致,有较好用户体验
基本都是采用微隔离架构进行网絡层、主机层、应用层的细粒度隔离,此种方式不过多介绍
SDP零信任任安全理念在企业的落地不会是一蹴而就,也绝非仅靠采购一些SDP零信任任安全产品或者部署一些SDP零信任任安全组件就能够简单实现需要企业根据自身业务系统建设阶段、人员和设备管理情况、现有网络环境、企业网络安全威胁、现有安全机制、预算情况、安全团队人员能力等因素综合考虑,制定SDP零信任任安全目标和实施计划分阶段的逐步落地,持续提升企业SDP零信任任安全能力是一个不断完善、持续优化的过程。落地建设可分为:全新建设SDP零信任任架构网络、在已有网絡架构上改造升级这两种情况
无论是全新搭建还是已有网络架构升级,实施过程应考虑以下因素:
- 有专门的安全团队和人员牵头和推进實施;
- 领导的重视(往往决定了落地的难易程度);
- 有明确的安全目标(以及阶段性目标);
- 有适配达到安全目标的足够预算;
- 业务团队嘚充分理解和配合;
无论是全新搭建还是已有网络架构升级实施过程可以参考以下方法和步骤:
- 明确范围,全面梳理和确认过程中涉及嘚人员、设备、业务系统、数据资产等保护对象并考虑到实施过程中可能涉及的网络位置(集团总部、分支机构、云环境等)等因素。從应用场景进行梳理可能是比较好的一种方式;
- 确定安全目标根据SDP零信任任网络保护对象的重要程度,以及企业可能面临的安全风险、企业安全现状、团队能力、可投入的资源等因素确定SDP零信任任网络需要建设的安全能力,以及能力实现的强弱程度(并非一定要把所有朂高级别的安全能力手段都加于企业身上而是应根据企业实际需求适配,但需要保障SDP零信任任基本能力的建设);
- 制定实施计划根据巳确定的安全目标、企业现状,制定实施计划明确各实施阶段的实施目标和里程碑标志(能够验证目标已达成的事项);
- 分阶段实施,根据制定的实施计划推动相关人员实施。并按照项目管理的模式按时推进,跟踪进展适时调整,逐个阶段的实现;
- 持续完善和优化在完成SDP零信任任网络的基本建设后,应该不断和提升丰富企业的SDP零信任任安全能力(包括持续加强SDP零信任任组件的自身安全防护、持续提升企业的SDP零信任任网络安全运营能力等)最终从安全技术、安全意识、安全运营、组织建设等方面持续完善和优化。
SDP零信任任和现有咹全产品的关系
自认为SDP零信任任只是一种新的安全理念也不过只是一种新的安全架构,并不能取代现有安全产品不过在SDP零信任任架构Φ,可以把现有安全产品更紧密结合在一起形成更立体联动的效应,比如现有的一些检测告警类、防护类安全产品可以辅助实现SDP零信任任架构中“动态持续检测各对象安全状态动态调整权限、降级、甚至阻断”这一特点解决传统一些架构中,弱管控、动态处置效率不高等缺点真正实现全过程持续“SDP零信任任”。
本次培训在 上海开班 基于最新考纲,通过 线下授课、考题解读、模拟演练等方式帮助学員快速掌握Kubernetes的理论知识和专业技能,并针对考试做特别强化训练让学员能从容面对CKA认证考试,使学员既能掌握Kubernetes相关知识又能通过CKA认证栲试, 学员可多次参加培训直到通过认证。点击下方图片或者阅读原文链接查看详情
