開(kāi)放是互聯(lián)網(wǎng)的宗旨,封閉是網(wǎng)絡(luò)安全的需要,基于場(chǎng)景去權(quán)衡封閉與開(kāi)放的關(guān)系是應(yīng)用和安全要考慮的首要問(wèn)題之一。零信任網(wǎng)絡(luò)將封閉區(qū)間延伸至用戶側(cè)和數(shù)據(jù)側(cè),從緊靠用戶的統(tǒng)一入口,到貼近應(yīng)用的訪問(wèn)網(wǎng)關(guān),加上控制中心,零信任網(wǎng)絡(luò)打造了一個(gè)全封閉的應(yīng)用訪問(wèn)系統(tǒng),最大化封閉區(qū)間,最小化數(shù)據(jù)暴露面,充分保障應(yīng)用訪問(wèn)安全。所有的實(shí)名訪問(wèn)場(chǎng)景,或者說(shuō)所有對(duì)應(yīng)用訪問(wèn)安全有要求的場(chǎng)景,都將逐步升級(jí)到零信任網(wǎng)絡(luò)的安全框架下,但是零信任之路剛剛開(kāi)始,在很長(zhǎng)的時(shí)期內(nèi)傳統(tǒng)安全加零信任的混合狀態(tài)會(huì)一直存在,零信任的落地需要權(quán)衡封閉與開(kāi)放,安全與便利的關(guān)系,需要在保障應(yīng)用訪問(wèn)安全的同時(shí),給予用戶最便利的訪問(wèn)方式。 

【文章來(lái)源】：信息安全與通信保密. 2020,(08)

【文章頁(yè)數(shù)】：9 頁(yè)

【部分圖文】：

SDP封閉系統(tǒng)

2.2.2 零信任引流原理與傳統(tǒng)DNS解析不同，零信任基于私有協(xié)議智能引流用戶的訪問(wèn)請(qǐng)求（如圖2所示）�？刂浦行膶�(duì)用戶的身份和接入設(shè)備鑒權(quán)之后，會(huì)下發(fā)引流策略到客戶端（統(tǒng)一入口），用戶通過(guò)統(tǒng)一入口訪問(wèn)應(yīng)用發(fā)起域名請(qǐng)求時(shí)，請(qǐng)求的是內(nèi)部定義的私有域名，網(wǎng)卡驅(qū)動(dòng)收到請(qǐng)求后將請(qǐng)求包轉(zhuǎn)發(fā)給客戶端，客戶端對(duì)包進(jìn)行過(guò)濾，解析用戶的訪問(wèn)請(qǐng)求，同時(shí)讀取控制中心下發(fā)的引流策略，識(shí)別目的網(wǎng)關(guān)，然后將解析的結(jié)果通過(guò)網(wǎng)卡驅(qū)動(dòng)響應(yīng)給訪問(wèn)列表。得到目的網(wǎng)關(guān)地址后，用戶和網(wǎng)關(guān)的通道開(kāi)始建立，再通過(guò)網(wǎng)關(guān)訪問(wèn)之后的應(yīng)用。

2.4 SPA機(jī)制隱藏應(yīng)用為了保障應(yīng)用側(cè)的訪問(wèn)安全，實(shí)現(xiàn)只有讓合法用戶才能訪問(wèn)進(jìn)來(lái)，零信任SDP強(qiáng)制執(zhí)行“連接前驗(yàn)證”模型，通過(guò)SPA來(lái)實(shí)現(xiàn)這一點(diǎn)（如圖3所示）。SPA是一種輕量級(jí)安全協(xié)議，在允許網(wǎng)絡(luò)訪問(wèn)相關(guān)系統(tǒng)組件（控制中心或訪問(wèn)網(wǎng)關(guān)）之前驗(yàn)證設(shè)備或用戶的身份，連接請(qǐng)求的信息（包括請(qǐng)求者的IP地址）在單個(gè)網(wǎng)絡(luò)消息中進(jìn)行加密和驗(yàn)證，通過(guò)配置默認(rèn)丟棄（Default-Drop）的防火墻策略使保護(hù)的服務(wù)對(duì)外不可見(jiàn)，這類(lèi)服務(wù)從sshd和Open VPN到POP和IMAP等郵件協(xié)議甚至HTTP的各種服務(wù)。默認(rèn)情況，系統(tǒng)丟棄所有TCP和UDP數(shù)據(jù)包，而不響應(yīng)這些嘗試，也不向潛在攻擊者提供有關(guān)端口受監(jiān)視的信息，這樣可以屏蔽用戶服務(wù)在nmap使用者面前的可見(jiàn)性。所有用戶只有在身份驗(yàn)證和授權(quán)之后，才會(huì)被授予對(duì)服務(wù)的訪問(wèn)權(quán)限。


本文編號(hào)：3042079