国产免费无码XXXXX视频,国产最新精品自产在线观看

L君最近犯了愁,因為屢試不爽的銷售拜訪方式失效了。以前L君想要拜訪某位負(fù)責(zé)人,向門衛(wèi)保安報備該園區(qū)里任何一位聯(lián)系人,便能進(jìn)入園區(qū)辦公樓,從而接觸任何一個部門領(lǐng)導(dǎo),并且能在園區(qū)內(nèi)隨意走動。然而最近的保安系統(tǒng)升級,任何一次拜訪都會開通一條到被拜訪人辦公室的安全通道,在安全通道內(nèi)接觸不到園區(qū)內(nèi)任何其他的物品或人,連周邊環(huán)境也不可見。如果想同時順序拜訪兩位或以上領(lǐng)導(dǎo),則需要在園區(qū)內(nèi)通過被拜訪人之間的特殊信任關(guān)口進(jìn)行訪問;如果30分鐘之內(nèi)沒有任何交流,則安全通道關(guān)閉、退出園區(qū),下次拜訪需再次到門衛(wèi)認(rèn)證并開啟新的安全通道。

在傳統(tǒng)網(wǎng)絡(luò)中,假如IT的防火墻或VPN可以類比升級前的門衛(wèi)保安,被訪問人類比后端服務(wù)資產(chǎn),銷售拜訪則對應(yīng)了后端資產(chǎn)的訪問請求,如下圖所示。

黑客越過防火墻之后,就好比銷售“騙”過了門衛(wèi)保安,便可以在內(nèi)網(wǎng)中訪多種數(shù)據(jù)資產(chǎn)。而升級后的保安系統(tǒng),則可以類比于零信任框架,通過Software Defined Perimeter(軟件定義邊界,即SDP)很好地解決了上述安全問題,做到“門衛(wèi)保安不好‘騙’,被訪問人不可見”的防護(hù)效果。

下面我們一起探究零信任實現(xiàn)框架SDP是什么?

為什么安全?

有哪些關(guān)鍵技術(shù)和防護(hù)場景?

SDP是什么

Gartner在零信任網(wǎng)絡(luò)訪問市場指南報告中稱:“SDP是圍繞某個應(yīng)用或一組應(yīng)用創(chuàng)建的基于身份和上下文的邏輯訪問邊界。應(yīng)用是隱藏的,無法被發(fā)現(xiàn),并且通過信任代理限制一組指定實體訪問,在允許訪問之前,代理會驗證指定訪問者的身份,上下文和策略合規(guī)性,這個機(jī)制將應(yīng)用資源從公共視野中消除,從而顯著減少攻擊面”。

SDP架構(gòu)分為三個部分,即客戶端、控制器、網(wǎng)關(guān):

SDP客戶端:通常是安裝在用戶終端上的一個軟件,功能包括設(shè)備驗證,和SDP網(wǎng)關(guān)建立隧道等

SDP控制器:可以充當(dāng)客戶端和后端資產(chǎn)之間的信任協(xié)調(diào)人,對用戶請求進(jìn)行身份驗證和授權(quán)驗證

SDP網(wǎng)關(guān):負(fù)責(zé)授權(quán)對之前隱藏的未知資源訪問。狹義上SDP網(wǎng)關(guān)是和客戶端之間TLS連接的終點,向控制器確認(rèn)客戶端是否可以訪問指定資源的,是否可以和應(yīng)用系統(tǒng)建立連接。廣義上還包含東西向微服務(wù)之間的訪問。

SDP為什么安全

由RSA組織的四次SDP黑客大賽上,每次開賽前都會向黑客介紹SDP架構(gòu)及以上三個組件。2014年第一次大賽持續(xù)了一周,超過一百萬次端口掃描,但從監(jiān)控日志來看,沒有任何一個黑客成功連接到目標(biāo)系統(tǒng)。第二次大賽進(jìn)行了一個月左右,組織者特意提供了SDP各個組件的IP地址,作為攻擊目標(biāo)。雖然來自104個國家的黑客發(fā)起了1100萬次攻擊,但還是沒有黑客挑戰(zhàn)成功。2015年第三次SDP黑客大賽上組織者降低難度,結(jié)果依舊與前兩次一樣。2016年第四次大賽主要驗證了SDP的高可用,承受住來自191個攻擊者的上百萬次攻擊,業(yè)務(wù)不中斷。

從下圖典型的SDP框架圖,SDP之所以安全,是因為控制器、客戶端、網(wǎng)關(guān)組成鐵三角架構(gòu)。并采用SPA單包授權(quán)使得服務(wù)隱身、漏掃失效,mTLS雙向認(rèn)證屏蔽了中間人攻擊。那么SDP關(guān)鍵技術(shù)有哪些,值得我們一起深入。

關(guān)鍵技術(shù)

SS(服務(wù)隱身)和SPA(單包授權(quán)認(rèn)證)

網(wǎng)關(guān)后面的服務(wù)端口默認(rèn)關(guān)閉,實現(xiàn)服務(wù)隱身。網(wǎng)關(guān)接收到了客戶端發(fā)出的SPA包,驗證合法之后,才會對這個客戶端的IP開放指定端口。但端口放行后,短時間內(nèi)沒有操作自動關(guān)閉,下次訪問同樣的服務(wù),放行端口動態(tài)變化。

mTLS(雙向認(rèn)證)

網(wǎng)關(guān)和客戶端雙方都有證書驗證,確保通信雙方都能互信。并且在協(xié)商過程中采用加密技術(shù),避免第三方攻擊。協(xié)商過程如下:

ABAC(基于屬性的訪問控制)

通過屬性來感知用戶的訪問上下文行為,并動態(tài)調(diào)整用戶信任級別。在實際實現(xiàn)中,這些屬性可以包括用戶身份,終端類型,設(shè)備屬性,接入方式,接入位置,接入時間等。值得一提的是不同于常見的將用戶通過某種方式關(guān)聯(lián)到權(quán)限的方式,ABAC則是通過動態(tài)計算一個或一組屬性來是否滿足某種條件來進(jìn)行授權(quán)判斷。

RBAC(基于角色的權(quán)限控制)

每個用戶關(guān)聯(lián)一個或多個角色,每個角色關(guān)聯(lián)一個或多個權(quán)限,從而可以實現(xiàn)了非常靈活的權(quán)限管理,這樣用戶只能訪問具有權(quán)限的應(yīng)用。

防護(hù)場景

場景一、安全加固(現(xiàn)網(wǎng)安全)

威脅分析:

◆現(xiàn)網(wǎng)安全接入網(wǎng)關(guān)設(shè)備通常采用旁路部署方式,邏輯上部署在用戶和被保護(hù)的服務(wù)器之間

◆網(wǎng)關(guān)到服務(wù)器之間使用明文傳輸,存在安全隱患

◆改造難,老舊業(yè)務(wù)系統(tǒng)沒有廠家維護(hù);采用硬件網(wǎng)關(guān)的方式實現(xiàn)訪問鏈路的https協(xié)議成本較高;通過中間件的形式進(jìn)行業(yè)務(wù)系統(tǒng)改造,對業(yè)務(wù)廠家的要求較高,易出現(xiàn)對接難、對接時間長的問題

解決方案:

●SDP網(wǎng)關(guān)貼近化部署,網(wǎng)關(guān)代替應(yīng)用監(jiān)聽業(yè)務(wù)服務(wù)端口,實現(xiàn)對所有訪問流量的訪問控制,有效屏蔽非授權(quán)用戶對內(nèi)網(wǎng)應(yīng)用系統(tǒng)的直接訪問等威脅

●采用國密算法,端到端全流程加密,規(guī)避最后100米的風(fēng)險

場景二、應(yīng)用零信任化(本地應(yīng)用、云計算安全)

威脅分析:

◆應(yīng)用服務(wù)端口暴露在網(wǎng)絡(luò)中,對內(nèi)網(wǎng)可見

◆應(yīng)用與應(yīng)用、應(yīng)用與微服務(wù)、微服務(wù)與微服務(wù)互相訪問,存在東西向滲透威脅

解決方案:

●應(yīng)用端口默認(rèn)關(guān)閉,即服務(wù)隱身,SDP網(wǎng)關(guān)負(fù)責(zé)開啟與關(guān)閉

●API網(wǎng)關(guān)以插件化的形式部署在應(yīng)用服務(wù)器上,嚴(yán)格控制東西流量

場景三、遠(yuǎn)程安全辦公(數(shù)字化轉(zhuǎn)型、物聯(lián)網(wǎng)等安全)

威脅分析: