您当前的位置:首页 > 电脑百科 > 网络技术 > 网络知识

网络后沿:零信任网络架构

时间:2020-09-15 12:58:35  来源:  作者:

用过windows Server操作系统的人肯定熟悉以下页面,系统自带的IE浏览器默认开启了增强的安全配置,打开所有链接都会被阻止。尤其是新装的操作系统需要装一些软件的时候,需要添加一大堆信任站点,所以遇到这种情况我都是认证繁琐的操作去下一个Chrome浏览器。

网络后沿:零信任网络架构

 

那默认的浏览器设置是不是处于一种谁都不信任的"零信任"状态呢?

零信任网络

第一次听到"零信任网络",是在前段时间新华三举办的领航者峰会上,当时还以为是个新概念,直到去百度了一下,才发现人家已经有10年的历史了!只不过最近突然间火了起来。

零信任网络模型在2010年由John Kindervag提出,零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。

零信任架构意味着每个用户、设备、服务或应用程序都是不可信任的,必须经历身份和访问管理过程才能获得最低级别的信任和关联访问特权。

如果放开验证不看,是不是和NGFW、网闸等安全设备有点相似?以新华三NGFW为例,对所有互访流量默认都是全阻断状态,没有放通策略,当有流量需要互访时就需要一条一条地去添加规则;而网闸更甚,只能通过一对一地添加端口映射关系来实现互访。

网络后沿:零信任网络架构

 

从不信任,总是验证

零信任网络认为,IP网络上的所有网络流量都是不可信的。有调查数据显示,60%到80%的网络滥用事件来自内部网络,因为传统的防火墙和入侵检测系统(IDS)主要是针对网络外部发起的攻击,而对来自内部的网络攻击是无效的。如果内网一个数据库服务器受到攻击,黑客可以对该区域内的其他数据库服务器发起攻击,而不会受到防火墙的干扰或检测。所以新华三NGFW设备对于同域间互访都要单独进行配置(系统视图下:security-zone intra-zone default permit),在确保南北向流量安全的同时,也要保证东西向互访流量安全。

所有网络资源的安全访问,无论在什么位置或设备上,都采取最小特权的网络访问策略,以严格执行访问控制。用户、设备或应用程序创建的每个会话在允许通信之前必须经过身份验证、授权和帐户认证,这也是零信任原则的体现"Trust no-one. Verify everything"。

网络后沿:零信任网络架构

 

如果再和设备结合一下,可以考虑到设备的AAA认证,比如新华三的RBAC(Role Based Access Control,基于角色的访问控制)。RBAC的基本思想就是给用户指定角色,这些角色中定义了允许用户操作哪些系统功能以及资源对象。通过建立"权限"和"角色"的关联来实现将权限赋予给角色,并通过建立两者之间的关联来实现为用户指定角色,从而使用户获得相应角色所具有的权限。比如最小用户查看权限、最小配置权限、超级密码提升用户权限等等,从操作员层面降低网络被篡改的几率。

网络后沿:零信任网络架构

 

如果对接入终端实行严格的准入认证机制,那么零信任网络通过在网络边缘强制实施安全策略,即可实现在源头遏制恶意流量。

网上有一个google平等对待位于外部公共网络和本地网络设备的BeyondCorp方案,即在默认情况下所有设备都不会被授予任何特权。用户必须:

1)使用由公司提供且持续管理的设备(终端设备资产管理等)

2)通过身份认证(AAA认证授权、证书检查等)

3)符合访问控制引擎中的策略要求(终端安全检查等)

4)通过专门的访问代理(VPN网络、代理网络等)

5)才能访问特定的公司内部资源(精细化授权、DMZ区域等)

网络后沿:零信任网络架构

 

相应的,为了保证用户获得流畅的资源访问体验,Google主要完成了:

1)准确识别设备;

2)准确识别用户;

3)移除对网络的信任;

4)通过面向互联网的访问代理提供内部应用和工作流;

5)实现基于已知设备和用户的访问控制,并动态更新设备和用户信息。

对比一下,贵公司的SSL VPN等接入方案是不是也和上面的流程一致呢?

零信任网络架构

在零信任网络中,整个网络架构也可以类比SDN,可分为控制平面和数据平面。控制平面主要负责协调和配置,支撑整个系统。其他的内容都可以看作是数据平面。

在控制平面中,对受保护资源的访问请求首先要通过控制平面的同意,设备和用户都必须经过身份验证和授权。细粒度策略可以应用于这一层,策略可以是基于组织中的角色、时间或设备类型。访问更敏感的资源还可以强制进行更强大的身份验证。

一旦控制平面同意了请求,它将动态配置数据平面以接受来自该客户机的流量。此外,它还可以在请求者和资源之间对隧道进行加密。加密的方式包括临时凭据、密钥和临时端口号等。

所以,堡垒机(运维审计系统)这一产品应用而生,通过"统一入口"加"集中管理",解决了错综复杂的对应关系带来的运维挑战,能同时实现身份认证、访问控制、权限控制和操作审计等功能,有效控制运维风险。

网络后沿:零信任网络架构

 

对于传统网络中的管理网,一旦管理区域受到威胁,那就相当于给攻击者在网络中开了"后门"。如果管理网也能统一运维、集中管理,那么传统网络中非对称规则带来的风险将会大大降低。

虽受众人追捧,但道阻且长

这是知乎上"软件定义网络"认为"零信任网络"存在的挑战。在2020领航者峰会上我也看到有人提问,"零信任网络"推广的最大障碍是什么?我想应该是人们日常应用中稍微复杂一点的操作,不再唾手可得的资源和访问权限,和使用过程中莫名的隔阂感吧。

其实通过这次疫情,大家应该深有体会,本来很熟悉的物业、保安等一次次地卡住你,要求量体温、出示身份证、出入证、健康绿码、轨迹信息等等,不厌其烦;但也正是这种细致入微的繁琐,才保证了今天的全员复工复产。

不过,我相信网络中的技术实现要比防疫检查这种"零信任"来的简单得多,终端上的信息采集工具运行越来越无感知、安全软件的防护越来越到位、无感知认证技术也越来越成熟等等,可能你早已身处"零信任网络"中而没有感知,又怎么能说"零信任网络"没有到来呢?你说对不?

参考信息:

知乎:如何看待所谓的"零信任网络"?

https://www.zhihu.com/question/324481184/answer/684128454

新华三官网



Tags:网络架构   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
1、网络架构总体说明为了方便网络管理,园区网络通常按照功能或业务进行分层分区设计,园区内部网络包括终端层、接入层、汇聚层、核心层、出口区,园区外部的其他园区、分支、出...【详细内容】
2021-08-17  Tags: 网络架构  点击:(89)  评论:(0)  加入收藏
软件定义广域网是将软件定义网络技术应用于广域网,以实现高效、特色连接服务的技术。研究分析政府、企业新型云化业务部署快速发展后,针对网络传输承载的需求,结合软件定义网络...【详细内容】
2021-08-11  Tags: 网络架构  点击:(81)  评论:(0)  加入收藏
K8S 网络设计与实现是在学习 K8S 网络过程中总结的内容。本文按照 K8S 网络设计原则、Pod 内部网络、Pod 之间网络等几个步骤讲解 K8S 复杂的网络架构。 图片出自:《你女儿也...【详细内容】
2021-04-01  Tags: 网络架构  点击:(266)  评论:(0)  加入收藏
当前越来越多的企业将自己的业务迁移至云端,云计算的发展势头不可阻挡,身边好多朋友也纷纷购买云主机用来学习测试。有那么一波小伙伴们肯定好奇这么多的云主机是通过怎样的网...【详细内容】
2020-11-12  Tags: 网络架构  点击:(128)  评论:(0)  加入收藏
用过Windows Server操作系统的人肯定熟悉以下页面,系统自带的IE浏览器默认开启了增强的安全配置,打开所有链接都会被阻止。尤其是新装的操作系统需要装一些软件的时候,需要添加...【详细内容】
2020-09-15  Tags: 网络架构  点击:(94)  评论:(0)  加入收藏
Calico 是一种容器之间互通的网络方案。在虚拟化平台中,比如 OpenStack、Docker 等都需要实现 workloads 之间互连,但同时也需要对容器做隔离控制,就像在 Internet 中的服务仅...【详细内容】
2020-09-01  Tags: 网络架构  点击:(82)  评论:(0)  加入收藏
如果您正在运行大型IP网络,则将需要边界网关协议(BGP),但不需要快速收敛的协议即可实现基于IP的现代服务。您需要知道在何处以及如何部署BGP,以及何时获得帮助。考虑到边界网关协...【详细内容】
2020-08-26  Tags: 网络架构  点击:(78)  评论:(0)  加入收藏
一、企业网络架构重要性1、企业的业务总是在不断地发展,对网络的需求也是在不断地变化,这就要求企业网络应该具备适应这种需求不断变化的能力。因此,了解企业网络的架构是如何...【详细内容】
2020-07-12  Tags: 网络架构  点击:(84)  评论:(0)  加入收藏
> Source: Pixabay 标准,循环,卷积和自动编码器网络随着深度学习的飞速发展,已经创建了完整的神经网络体系结构主机,以解决各种各样的任务和问题。 尽管有无数的神经网络架构,但...【详细内容】
2020-07-01  Tags: 网络架构  点击:(58)  评论:(0)  加入收藏
最近想把局域网架构整理一下,工厂的测是网络架构,挺实用的方案,在此之前先分享一些服务器安装,设备评估等。哇,想想在切入正题之前还有许多内容要写,本文先分享一下DHCP服务器的安...【详细内容】
2020-05-15  Tags: 网络架构  点击:(70)  评论:(0)  加入收藏
▌简易百科推荐
HTTP 报文是在应用程序之间发送的数据块,这些数据块将通过以文本形式的元信息开头,用于 HTTP 协议交互。请求端(客户端)的 HTTP 报文叫做请求报文,响应端(服务器端)的叫做响应...【详细内容】
2021-12-27  程序员蛋蛋    Tags:HTTP 报文   点击:(0)  评论:(0)  加入收藏
一 网络概念:1.带宽: 标识网卡的最大传输速率,单位为 b/s,比如 1Gbps,10Gbps,相当于马路多宽2.吞吐量: 单位时间内传输数据量大小单位为 b/s 或 B/s ,吞吐量/带宽,就是网络的使用率...【详细内容】
2021-12-27  码农世界    Tags:网络   点击:(2)  评论:(0)  加入收藏
1.TCP/IP 网络模型有几层?分别有什么用? TCP/IP网络模型总共有五层 1.应用层:我们能接触到的就是应用层了,手机,电脑这些这些设备都属于应用层。 2.传输层:就是为应用层提供网络...【详细内容】
2021-12-22  憨猪哥08    Tags:TCP/IP   点击:(29)  评论:(0)  加入收藏
TCP握手的时候维护的队列 半连接队列(SYN队列) 全连接队列(accepted队列)半连接队列是什么?服务器收到客户端SYN数据包后,Linux内核会把该连接存储到半连接队列中,并响应SYN+ACK报...【详细内容】
2021-12-21  DifferentJava    Tags:TCP   点击:(9)  评论:(0)  加入收藏
你好,这里是科技前哨。 随着“元宇宙”概念的爆火,下一代互联网即将到来,也成了互联网前沿热议的话题,12月9日美国众议院的听证会上,共和党议员Patrick McHenry甚至宣称,要调整现...【详细内容】
2021-12-17  王煜全    Tags:Web3   点击:(14)  评论:(0)  加入收藏
一、demopublic static void main(String[] args) throws Exception { RetryPolicy retryPolicy = new ExponentialBackoffRetry( 1000, 3);...【详细内容】
2021-12-15  程序员阿龙    Tags:Curator   点击:(20)  评论:(0)  加入收藏
一、计算机网络概述 1.1 计算机网络的分类按照网络的作用范围:广域网(WAN)、城域网(MAN)、局域网(LAN);按照网络使用者:公用网络、专用网络。1.2 计算机网络的层次结构 TCP/IP四层模...【详细内容】
2021-12-14  一口Linux    Tags:网络知识   点击:(30)  评论:(0)  加入收藏
无论是在外面还是在家里,许多人都习惯了用手机连接 WiFi 进行上网。不知道大家有没有遇到过这样一种情况, 明明已经显示成功连接 WiFi,却仍然提示“网络不可用”或“不可上网”...【详细内容】
2021-12-14  UGREEN绿联    Tags:WiFi   点击:(25)  评论:(0)  加入收藏
拉了千兆宽带,买了标称 1300Mbps 的无线路由器,为什么 WiFi 还是跑不满千兆?要回答这个问题,我们先得知道这个 1300Mbps 是怎么来的。开始回答之前先说明一下,这期只讲 802.11ac,...【详细内容】
2021-12-14  Ubiquiti优倍快    Tags:WiFi   点击:(83)  评论:(0)  加入收藏
问题背景IPv6环境下,在浏览器中通过http://[vip:port]访问web业务,提示无法访问此网站,[vip]的响应时间过长。分析过程之前碰到过多次在PC浏览器上无法访问vip的情况,排查方法也...【详细内容】
2021-12-13  云原生知识星球    Tags:网络问题   点击:(27)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条