上回我們講完零信任的業(yè)務安全部分(ABAC),現(xiàn)在我們來看看網(wǎng)絡安全。
零信任下的網(wǎng)絡安全包括兩部分在:一部分在終端,另一部分在網(wǎng)關。在終端的稱為可信代理,裝有可信代理的終端為可信終端;在網(wǎng)關后端的為單報認證(SPA),稱之為可信網(wǎng)關。
那么零信任的網(wǎng)絡安全
能解決什么問題呢?
先認證后連接
我們現(xiàn)有的機制是先連接后認證,意味著任何終端都可以與被訪問的資源建立連接,這個就存在著很大的潛在風險,被訪問的資源對任何終端都是開放的,即便是有不合法的終端來連接也是如此,而被訪問的資源無法事先知道終端的合法性,存在被侵入和劫持的可能。對于零信任的網(wǎng)絡安全則要求先認證后連接,這樣對于無法通過認證的終端將被拒絕而無法與被訪問資源建立連接。如下圖所示:
這里的紅線表示非可信終端的訪問,綠線表示可信終端的訪問。
被訪問的資源對外不可見
典型的例子就是VPN訪問了,VPN一直以來被企業(yè)用作遠程訪問內(nèi)網(wǎng)應用服務的工具,當VPN認證通過后,內(nèi)網(wǎng)的所有應用服務將暴露給訪問者,這就存在一個問題:如果內(nèi)網(wǎng)中存在A和B資源,當訪問者只需訪問A資源的時候,B資源同樣被暴露給了訪問者,即便訪問者沒有B資源的權限,但這不妨礙訪問者與B資源建立連接,如果要解決這個問題,這就又回到了先認證后連接的解決方案。
針對這個情況,VPN無法解決,零信任的網(wǎng)絡安全方案中會通過可信網(wǎng)關屏蔽所有非訪問的資源,訪問者只能夠訪問可以被訪問的資源。以前面的例子來說,如果訪問者需要訪問A資源,在零信任網(wǎng)絡安全下訪問者的身份認證通過后只有A資源對其可見,B資源是不可見的。
為了便于對整體零信任下網(wǎng)絡安全的理解,我們可以看下整體概念圖:
數(shù)字證書可以標識每個可信終端,可信代理有多種模式,PC端既可以作為C/S模式下的訪問,也可以作為非托管設備的代理服務,PC端的Agent實際有網(wǎng)絡服務代理的功能,典型的就是VPN技術;瀏覽器則相當于一個容器或沙箱,可以保障在瀏覽器中的內(nèi)容是安全的;而移動需要一個APP來代理網(wǎng)絡服務,其他的APP通過SDK與之通訊進行后臺資源訪問。
用戶要訪問受保護資源之前,其設備是要先進行注冊的,訪問的時候再進行認證,向SAP控制中心發(fā)送單個報文,該報文不會有返回信息,是單向的認證方式,所以被稱為單報認證。認證通過后SAP控制中心會調整可信網(wǎng)關的訪問策略,只允許認證通過的設備可以訪問可信網(wǎng)關,至于用戶是否能訪問受保護資源,還需要進行動態(tài)策略決策(屬于零信任下的業(yè)務安全部分)才能知道有無權限,業(yè)務安全部分這里就不展開了,感興趣的同學可以看之前的文章