详解零信任架构中的安全网关
安全网关是零信任架构的中心,是零信任理念的执行者。
1、零信任架构的中心
无论是NIST还是Beyondcorp还是SDP,所有零信任架构中,最中心的部分都是“安全网关”。下图是NIST的零信任架构图,图中蓝框里就是“安全网关”。
从图中可以看到安全网关的作用为:
(1)安全网关隔开了左侧外网和右侧内网。用户在左侧网络中。用户想获取右侧的数据资源,只能通过网关进入。网关就像是门卫一样,合法的让进,不合法的拦住。
(2)所有的安全策略都由网关执行。零信任要求对用户的身份、设备、行为路径等等多个方面进行检测和判断,检测结果由网关执行。用户的请求到网关
之后,网关解析出请求中的用户信息,然发给各个策略检测模块。所有的检测结果都汇聚到网关,由网关最终执行。
下面介绍安全网关的具体架构。
2、Web代理网关
Beyondcorp是世界上最早落地的零信任项目,Beyondcorp网关的名字叫“访问代理”(Access Proxy),如下图所示。
nginx和网关怎么配合使用
Beyondcorp的安全网关实际上相当于一个“Web代理”,只支持web 网站的接入,不支持c/s架构的应用。这个网关可以用类似Nginx的代理服务器实现。
Web代理网关的功能包括:
(1)转发请求。这是代理服务器最基础的功能。网关根据用户访问的域名不同,分别转发到网关后面的不同服务器。
(2)获取身份。从架构图中可以看到,Beyondcorp架构中还包括“单点登录”。所以,网关对用户身份的判断可能也是通过单点登录的token实现的。Beyondcorp架构中,客户端是一个Chrome浏览器上的代理插件。用户访问数据时,插件应该在cookie或包头中加上了代表用户身份的token。Beyondcorp还要验证设备信息。设备信息可能也是用类似的方式,通过浏览器插件把信息插进包头里带给网关的。
(3)验证身份。网关可以将访问者的身份信息发给Beyondcorp的身份管理模块。身份管理模块进行对比和判断,然后返回验证结果。
为了提升验证速度,可以把身份信息在网关上也存储一份。
这一步会非常影响网关的性能,所以要看一个零信任产品好不好,就看网关的验证算法快不快了。
(4)放行或拦截。网关根据验证结果决定将访问请求转发到真实的服务器上,或者转发到报错页面上。(Beyondcorp的报错页面上会引导用户去自助申请权限,这个体验做得非常很好。)
Web代理网关的好处:
(1)预验证、预授权。只有通过身份验证的用户才能接入企业资源,其他人会被拦在外面,完全碰不到企业资源,相当于在整个资源外面多了一层防护罩。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。