上回我們講完零信任的業(yè)務(wù)安全部分(ABAC),現(xiàn)在我們來(lái)看看網(wǎng)絡(luò)安全。
零信任下的網(wǎng)絡(luò)安全包括兩部分在:一部分在終端,另一部分在網(wǎng)關(guān)。在終端的稱(chēng)為可信代理,裝有可信代理的終端為可信終端;在網(wǎng)關(guān)后端的為單報(bào)認(rèn)證(SPA),稱(chēng)之為可信網(wǎng)關(guān)。
那么零信任的網(wǎng)絡(luò)安全
能解決什么問(wèn)題呢?
先認(rèn)證后連接
我們現(xiàn)有的機(jī)制是先連接后認(rèn)證,意味著任何終端都可以與被訪問(wèn)的資源建立連接,這個(gè)就存在著很大的潛在風(fēng)險(xiǎn),被訪問(wèn)的資源對(duì)任何終端都是開(kāi)放的,即便是有不合法的終端來(lái)連接也是如此,而被訪問(wèn)的資源無(wú)法事先知道終端的合法性,存在被侵入和劫持的可能。對(duì)于零信任的網(wǎng)絡(luò)安全則要求先認(rèn)證后連接,這樣對(duì)于無(wú)法通過(guò)認(rèn)證的終端將被拒絕而無(wú)法與被訪問(wèn)資源建立連接。如下圖所示:
這里的紅線表示非可信終端的訪問(wèn),綠線表示可信終端的訪問(wèn)。
被訪問(wèn)的資源對(duì)外不可見(jiàn)
典型的例子就是VPN訪問(wèn)了,VPN一直以來(lái)被企業(yè)用作遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)的工具,當(dāng)VPN認(rèn)證通過(guò)后,內(nèi)網(wǎng)的所有應(yīng)用服務(wù)將暴露給訪問(wèn)者,這就存在一個(gè)問(wèn)題:如果內(nèi)網(wǎng)中存在A和B資源,當(dāng)訪問(wèn)者只需訪問(wèn)A資源的時(shí)候,B資源同樣被暴露給了訪問(wèn)者,即便訪問(wèn)者沒(méi)有B資源的權(quán)限,但這不妨礙訪問(wèn)者與B資源建立連接,如果要解決這個(gè)問(wèn)題,這就又回到了先認(rèn)證后連接的解決方案。
針對(duì)這個(gè)情況,VPN無(wú)法解決,零信任的網(wǎng)絡(luò)安全方案中會(huì)通過(guò)可信網(wǎng)關(guān)屏蔽所有非訪問(wèn)的資源,訪問(wèn)者只能夠訪問(wèn)可以被訪問(wèn)的資源。以前面的例子來(lái)說(shuō),如果訪問(wèn)者需要訪問(wèn)A資源,在零信任網(wǎng)絡(luò)安全下訪問(wèn)者的身份認(rèn)證通過(guò)后只有A資源對(duì)其可見(jiàn),B資源是不可見(jiàn)的。
為了便于對(duì)整體零信任下網(wǎng)絡(luò)安全的理解,我們可以看下整體概念圖:
數(shù)字證書(shū)可以標(biāo)識(shí)每個(gè)可信終端,可信代理有多種模式,PC端既可以作為C/S模式下的訪問(wèn),也可以作為非托管設(shè)備的代理服務(wù),PC端的Agent實(shí)際有網(wǎng)絡(luò)服務(wù)代理的功能,典型的就是VPN技術(shù);瀏覽器則相當(dāng)于一個(gè)容器或沙箱,可以保障在瀏覽器中的內(nèi)容是安全的;而移動(dòng)需要一個(gè)APP來(lái)代理網(wǎng)絡(luò)服務(wù),其他的APP通過(guò)SDK與之通訊進(jìn)行后臺(tái)資源訪問(wèn)。
用戶要訪問(wèn)受保護(hù)資源之前,其設(shè)備是要先進(jìn)行注冊(cè)的,訪問(wèn)的時(shí)候再進(jìn)行認(rèn)證,向SAP控制中心發(fā)送單個(gè)報(bào)文,該報(bào)文不會(huì)有返回信息,是單向的認(rèn)證方式,所以被稱(chēng)為單報(bào)認(rèn)證。認(rèn)證通過(guò)后SAP控制中心會(huì)調(diào)整可信網(wǎng)關(guān)的訪問(wèn)策略,只允許認(rèn)證通過(guò)的設(shè)備可以訪問(wèn)可信網(wǎng)關(guān),至于用戶是否能訪問(wèn)受保護(hù)資源,還需要進(jìn)行動(dòng)態(tài)策略決策(屬于零信任下的業(yè)務(wù)安全部分)才能知道有無(wú)權(quán)限,業(yè)務(wù)安全部分這里就不展開(kāi)了,感興趣的同學(xué)可以看之前的文章