基于零信任打造封闭访问空间
发布时间:2021-02-20 02:26
开放是互联网的宗旨,封闭是网络安全的需要,基于场景去权衡封闭与开放的关系是应用和安全要考虑的首要问题之一。零信任网络将封闭区间延伸至用户侧和数据侧,从紧靠用户的统一入口,到贴近应用的访问网关,加上控制中心,零信任网络打造了一个全封闭的应用访问系统,最大化封闭区间,最小化数据暴露面,充分保障应用访问安全。所有的实名访问场景,或者说所有对应用访问安全有要求的场景,都将逐步升级到零信任网络的安全框架下,但是零信任之路刚刚开始,在很长的时期内传统安全加零信任的混合状态会一直存在,零信任的落地需要权衡封闭与开放,安全与便利的关系,需要在保障应用访问安全的同时,给予用户最便利的访问方式。
【文章来源】:信息安全与通信保密. 2020,(08)
【文章页数】:9 页
【部分图文】:
SDP封闭系统
2.2.2 零信任引流原理与传统DNS解析不同,零信任基于私有协议智能引流用户的访问请求(如图2所示)。控制中心对用户的身份和接入设备鉴权之后,会下发引流策略到客户端(统一入口),用户通过统一入口访问应用发起域名请求时,请求的是内部定义的私有域名,网卡驱动收到请求后将请求包转发给客户端,客户端对包进行过滤,解析用户的访问请求,同时读取控制中心下发的引流策略,识别目的网关,然后将解析的结果通过网卡驱动响应给访问列表。得到目的网关地址后,用户和网关的通道开始建立,再通过网关访问之后的应用。
2.4 SPA机制隐藏应用为了保障应用侧的访问安全,实现只有让合法用户才能访问进来,零信任SDP强制执行“连接前验证”模型,通过SPA来实现这一点(如图3所示)。SPA是一种轻量级安全协议,在允许网络访问相关系统组件(控制中心或访问网关)之前验证设备或用户的身份,连接请求的信息(包括请求者的IP地址)在单个网络消息中进行加密和验证,通过配置默认丢弃(Default-Drop)的防火墙策略使保护的服务对外不可见,这类服务从sshd和Open VPN到POP和IMAP等邮件协议甚至HTTP的各种服务。默认情况,系统丢弃所有TCP和UDP数据包,而不响应这些尝试,也不向潜在攻击者提供有关端口受监视的信息,这样可以屏蔽用户服务在nmap使用者面前的可见性。所有用户只有在身份验证和授权之后,才会被授予对服务的访问权限。
本文编号:3042079
【文章来源】:信息安全与通信保密. 2020,(08)
【文章页数】:9 页
【部分图文】:
SDP封闭系统
2.2.2 零信任引流原理与传统DNS解析不同,零信任基于私有协议智能引流用户的访问请求(如图2所示)。控制中心对用户的身份和接入设备鉴权之后,会下发引流策略到客户端(统一入口),用户通过统一入口访问应用发起域名请求时,请求的是内部定义的私有域名,网卡驱动收到请求后将请求包转发给客户端,客户端对包进行过滤,解析用户的访问请求,同时读取控制中心下发的引流策略,识别目的网关,然后将解析的结果通过网卡驱动响应给访问列表。得到目的网关地址后,用户和网关的通道开始建立,再通过网关访问之后的应用。
2.4 SPA机制隐藏应用为了保障应用侧的访问安全,实现只有让合法用户才能访问进来,零信任SDP强制执行“连接前验证”模型,通过SPA来实现这一点(如图3所示)。SPA是一种轻量级安全协议,在允许网络访问相关系统组件(控制中心或访问网关)之前验证设备或用户的身份,连接请求的信息(包括请求者的IP地址)在单个网络消息中进行加密和验证,通过配置默认丢弃(Default-Drop)的防火墙策略使保护的服务对外不可见,这类服务从sshd和Open VPN到POP和IMAP等邮件协议甚至HTTP的各种服务。默认情况,系统丢弃所有TCP和UDP数据包,而不响应这些尝试,也不向潜在攻击者提供有关端口受监视的信息,这样可以屏蔽用户服务在nmap使用者面前的可见性。所有用户只有在身份验证和授权之后,才会被授予对服务的访问权限。
本文编号:3042079
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3042079.html
