详解零信任架构中的安全网关Word下载.docx

详解零信任架构中的安全网关Word下载.docx

《详解零信任架构中的安全网关Word下载.docx》由会员分享，可在线阅读，更多相关《详解零信任架构中的安全网关Word下载.docx（2页珍藏版）》请在冰点文库上搜索。

无论是NIST还是Beyondcorp还是SDP，所有零信任架构中，最中心的部分都是“安全网关”。

下图是NIST的零信任架构图，图中蓝框里就是“安全网关”。

从图中可以看到安全网关的作用为：

（1）安全网关隔开了左侧外网和右侧内网。

用户在左侧网络中。

用户想获取右侧的数据资源，只能通过网关进入。

网关就像是门卫一样，合法的让进，不合法的拦住。

（2）所有的安全策略都由网关执行。

零信任要求对用户的身份、设备、行为路径等等多个方面进行检测和判断，检测结果由网关执行。

用户的请求到网关之后，网关解析出请求中的用户信息，然发给各个策略检测模块。

所有的检测结果都汇聚到网关，由网关最终执行。

下面介绍安全网关的具体架构。

2、Web代理网关

Beyondcorp是世界上最早落地的零信任项目，Beyondcorp网关的名字叫“访问代理”（AccessProxy），如下图所示。

Beyondcorp的安全网关实际上相当于一个“Web代理”，只支持web网站的接入，不支持c/s架构的应用。

这个网关可以用类似Nginx的代理服务器实现。

Web代理网关的功能包括：

（1）转发请求。

这是代理服务器最基础的功能。

网关根据用户访问的域名不同，分别转发到网关后面的不同服务器。

（2）获取身份。

从架构图中可以看到，Beyondcorp架构中还包括“单点登录”。

所以，网关对用户身份的判断可能也是通过单点登录的token实现的。

Beyondcorp架构中，客户端是一个Chrome浏览器上的代理插件。

用户访问数据时，插件应该在cookie或包头中加上了代表用户身份的token。

Beyondcorp还要验证设备信息。

设备信息可能也是用类似的方式，通过浏览器插件把信息插进包头里带给网关的。

（3）验证身份。

网关可以将访问者的身份信息发给Beyondcorp的身份管理模块。

身份管理模块进行对比和判断，然后返回验证结果。