详解零信任架构中的安全网关.docx
《详解零信任架构中的安全网关.docx》由会员分享,可在线阅读,更多相关《详解零信任架构中的安全网关.docx(2页珍藏版)》请在冰点文库上搜索。
详解零信任架构中的安全网关
详解零信任架构中的安全网关
安全网关是零信任架构的中心,是零信任理念的执行者。
1、零信任架构的中心
无论是NIST还是Beyondcorp还是SDP,所有零信任架构中,最中心的部分都是“安全网关”。
下图是NIST的零信任架构图,图中蓝框里就是“安全网关”。
从图中可以看到安全网关的作用为:
(1)安全网关隔开了左侧外网和右侧内网。
用户在左侧网络中。
用户想获取右侧的数据资源,只能通过网关进入。
网关就像是门卫一样,合法的让进,不合法的拦住。
(2)所有的安全策略都由网关执行。
零信任要求对用户的身份、设备、行为路径等等多个方面进行检测和判断,检测结果由网关执行。
用户的请求到网关之后,网关解析出请求中的用户信息,然发给各个策略检测模块。
所有的检测结果都汇聚到网关,由网关最终执行。
下面介绍安全网关的具体架构。
2、Web代理网关
Beyondcorp是世界上最早落地的零信任项目,Beyondcorp网关的名字叫“访问代理”(AccessProxy),如下图所示。
Beyondcorp的安全网关实际上相当于一个“Web代理”,只支持web网站的接入,不支持c/s架构的应用。
这个网关可以用类似Nginx的代理服务器实现。
Web代理网关的功能包括:
(1)转发请求。
这是代理服务器最基础的功能。
网关根据用户访问的域名不同,分别转发到网关后面的不同服务器。
(2)获取身份。
从架构图中可以看到,Beyondcorp架构中还包括“单点登录”。
所以,网关对用户身份的判断可能也是通过单点登录的token实现的。
Beyondcorp架构中,客户端是一个Chrome浏览器上的代理插件。
用户访问数据时,插件应该在cookie或包头中加上了代表用户身份的token。
Beyondcorp还要验证设备信息。
设备信息可能也是用类似的方式,通过浏览器插件把信息插进包头里带给网关的。
(3)验证身份。
网关可以将访问者的身份信息发给Beyondcorp的身份管理模块。
身份管理模块进行对比和判断,然后返回验证结果。