您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

零信任下的应用安全网关该如何建设?

时间:2019-12-30 13:17:48  来源:  作者:

零信任网络环境主要是由google(BeyondVCorp架构)开始,目前国内很多厂商(360、新华三、安恒等)已有零信任的解决方案,如:360的零信任架构依托身份中心、业务安全访问及动态访问控制三个层面,主要解决零信任环境中业务信任问题。因为零信任建需要“刮骨”建设,涉及客户基础环境支撑及改动(奔跑的赛车换发动机)、领导支持力度等多个方面,总的来说落地效果不是特别好。

应用层零信任建设主要依托于应用安全网关,通过安全网关串联部署,实现隐藏内部,统一对外、实时监测的效果,因此本文主要介绍应用安全网关。但因为网关需要与用户管理所结合,所以文章会对用户管理系统部分进行介绍,以便读者更清晰了解应用层的零信任建设框架

一、零信任介绍

零信任环境的建设应从主机、网络、应用等多个层面的,具体零信任内容,请参考之前所写文章《零信任网络架构设计》,在此对零信任不过多介绍。

零信任下的应用安全网关该如何建设?

零信任网络架构示例图

二、零信任下的应用安全网关建设思路

应用层面的零信任建设相对于主机与网络更容易落地及切入用户。应用层零信任建设从实施周期、业务影响、建设效果等多个方面相比主机与网络,短期效果会更直接,更容易起步。

应用层零信任建设主要包含应用安全网关系统、用户管理系统两大系统(可以将系统中的模块拆分,因产品及项目而异)。

应用安全网关系统包括:访问控制、反向代理、负载均衡、统一接入、安全防护(主要为WAF相关功能)、访问审计(审计4-7层流量)、HTTPS支持等。

用户管理系统:身份认证、动态授权、SSO、用户管理、信任评估等。

零信任下的应用安全网关该如何建设?

功能参考图

实际过程中会将身份认证、动态授权等功能抽离成独立系统。因为需要考虑网络与主机层面的认证与授权等操作,所以抽离后的身份认证和动态授权会提供主机、网络、应用三个层面的相关服务。 具体需要因产品及项目而异。

三、零信任下的应用安全网关技术路线

目前业界应用应用安全网关基本是基于自有安全产品基础上进行的开发,有的基于WAF,有的基于VPN、有的基于下一代墙,但是功能基本都有限。

本次应用安全网关的选择可基于开源JanusecWAF网关进行二次开发。Janusec是基于Golang打造的应用安全网关,支持HTTP2和HTTPS,私钥加密存在数据库中,提供负载均衡的统一的WEB管理。

零信任下的应用安全网关该如何建设?

逻辑图

基于Janusec架构的设计重点

  • 应用网关:统一HTTPS接入,统一管理证书和秘钥;
  • 安全防护:网关内置WEB应用防火墙、CC防护;
  • 数据保护:对私钥采取加密措施;
  • 负载均衡:前端负载均衡与后端负载均衡;
  • 4-7层审计:审计留痕是应用安全网关应具有的功能,在提供安全防护的同时,记录4-7层数据信息,方便异常问题时的回溯分析。如采用了网络流量采集设备(如科来等),可不需进行审计。
  • 应用访问控制:需要依托高性能的规则引擎机制,主要从应用提取相应规则固化至规则引擎系统中,通过对规则评判实现业务访问控制。可基于开源较为活跃的Drools等。
  • 可开发性:基于Golang的开源系统,可实现与用户管理结合。如身份认证、信任评估与应用访问控制结合等。

举例场景:

1.工程师员工笔记本发起访问请求,提交给网关。如果结合主机可信,需要携带设备证书。

2.访问网关没有检测到有效凭据,重定向至用户管理系统中的身份认证模块。

3.工程师通过基于U2F的双因子身份通过认证,获得token,重定向至网关。

4.网关认证后,访问控制会对每一个请求执行授权检查(通过转到对应服务器,不通过则拒绝请求)。访问控制可基于属性的权限控制(ABAC)与信任评估模型两者集合进行检验。如:满足信任等级,满足相应用户群组,满足相应操作属性等内容才可访问该应用。

 

总体来讲,通过应用安全网关建设会加强应用管控能力,但零信任环境建设单靠应用层是完全不够的,我们应从主机、网络、应用多个层面进行建设并有效串联,才能实现零信任最大化。同样实施的周期、环境的改动、业务的变动、管理层意愿等多个方面也是制约零信任发展的重要因素。



Tags:网关   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
写一个shell获取本机ip地址、网关地址以及dns信息。经常会遇到取本机ip、网关、dns地址,windows一个命令ipconfig /all全部获取到,但linux系统却并非如此。linux系统都自带ifc...【详细内容】
2021-12-27  Tags: 网关  点击:(2)  评论:(0)  加入收藏
按照现在主流使用微服务架构的特点,假设现在有A、B、C三个服务,假如这三个服务都需要做一些请求过滤和权限校验,请问怎么实现?...【详细内容】
2021-11-01  Tags: 网关  点击:(33)  评论:(0)  加入收藏
有好多人问过我:网关是不是就是路由器!?虽然在许多网络中,路由器充当了网关的角色,但这两个概念并不等同。路由器:将数据包从一个网络转发到另一个网络的网络设备。基于内部路由表...【详细内容】
2021-10-22  Tags: 网关  点击:(27)  评论:(0)  加入收藏
一、组网需求外网接口使用专线,由运营商分配指定的静态地址,内网为192.168.1.0/24网段,实现基本上网功能。 二、网络拓扑 假设运营商分配的地址如下:网段: 202.1.1.8/29分配ip地...【详细内容】
2021-06-24  Tags: 网关  点击:(502)  评论:(0)  加入收藏
一、Zuul简介Zuul相当于是第三方调用和服务提供方之间的防护门,其中最大的亮点就是可动态发布过滤器二、Zuul可以为我们提供什么1、权限控制2、预警和监控3、红绿部署、(粘...【详细内容】
2021-04-21  Tags: 网关  点击:(230)  评论:(0)  加入收藏
随着互联网技术的飞速发展,各类线上业务蓬勃发展,软件系统如雨后春笋般呈现在我们面前。 图片来自 Pexels为了提高系统的性能和可靠性,将应用服务进行拆分微服务化。作为系统入...【详细内容】
2021-04-07  Tags: 网关  点击:(174)  评论:(0)  加入收藏
在微服务架构中,不同的微服务可以有不同的网络地址,各个微服务之间通过互相调用完成用户请求,客户端可能通过调用N个微服务的接口完成一个用户请求。因此,在客户端和服务端之间...【详细内容】
2021-04-02  Tags: 网关  点击:(249)  评论:(0)  加入收藏
物联网的许多应用实现不完全依赖于云平台,边缘计算技术可以实现物联网应用产生更快速的网络响应,满足行业应用在实时业务、应用智能、安全与隐私保护等方面的需求。2020 年全...【详细内容】
2021-01-18  Tags: 网关  点击:(91)  评论:(0)  加入收藏
何为云原生随着云计算的应用普及,最近几年,云原生技术(Cloud Native)的概念很火。Pivotal公司的Matt Stine于2013年首次提出云原生的概念;云原生的具体含义在过去的几年中也在不...【详细内容】
2021-01-11  Tags: 网关  点击:(107)  评论:(0)  加入收藏
今天谈下对API网关接入的接口服务进行安全管理方面的内容。在原来谈Kong网关的时候,曾经谈到Kong网关和安全相关的插件能力,其中包括了身份认证插件:Kong提供了Basic Authenti...【详细内容】
2020-12-30  Tags: 网关  点击:(108)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(29)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(20)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(633)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条