<strike id="xjjvr"></strike>

    <dl id="xjjvr"><span id="xjjvr"></span></dl>

<video id="xjjvr"><track id="xjjvr"></track></video>

<track id="xjjvr"><menuitem id="xjjvr"></menuitem></track>

    <dfn id="xjjvr"><address id="xjjvr"></address></dfn>
    <address id="xjjvr"><menuitem id="xjjvr"><th id="xjjvr"></th></menuitem></address>

                <sub id="xjjvr"></sub>
                  <progress id="xjjvr"><meter id="xjjvr"><progress id="xjjvr"></progress></meter></progress>

                  YUNDUN | 云原生應用零信任實踐

                  2020-12-31 12:18:20

                  1126日,YUNDUN CTO胡金涌,受邀參與2020上海數字創新大會,并于零信任下的新體系論壇中發表演講《云原生應用零信任實踐》,本文將對演講精華進行提煉分享。

                  “社會為何和諧?”源于人人知我,我知人人,一切社會行為都將與“身份”進行綁定,從而實現當你已產生風險行為,甚至將產生風險行為時,對你施以控制,限制風險的擴散乃至發生。真實世界需要身份,數字世界也需要身份?;谏矸萁⒌牧阈湃卫砟顖猿帧坝啦豢尚?,始終認證”原則,將身份的必要性,擴散至全量的應用場景,從訪問行為產生之初根除了不可信區域的產生,獲得了安全從業者的認同。

                  絕大多數企業已經完成了基于傳統網絡邊界的防護體系建設,若要完全“推倒重來”,無疑是將業務穩定、成本消耗等考慮置之不顧。因此安全廠商零信任產品的實現也需從適用性考慮,進行逐步地融合、迭代。

                  YUNDUN現有的安全產品生態在傳統邊界模型下已經實現了較強大的防護能力,覆蓋網絡安全、應用安全、性能優化等需求場景。若要在此基礎上實現零信任訪問,需遵循“永不可信,始終驗證”原則,并具象化零信任的核心思想“基于身份的動態訪問控制”。YUNDUN結合現有的智能安全平臺,增添身份認證、應用與權限管理、可信安全代理等五大模塊,最終形成較完整的零信任框架:

                  身份認證:在YUNDUN邊緣安全加速節點上面集成身份認證和訪問控制,并通過標準協議與各家的IAM來實現打通,實現外部的身份認證源。目前已經支持釘釘、企業微信、微信等,同時還支持OIDC、SAML 2.0,用戶提供身份信息之后安全代理做一些權限的校驗來判定他是否有權限訪問這個應用;

                  應用與權限管理:包括應用的權限設置,訪問應用時需要的身份信息,實現將企業的所有的應用統一管理起來,實現所有應用的集中授權;

                  可信安全代理:在目前智能邊緣節點上增加權限檢查,對每一個請求進行身份驗證和訪問控制;

                  應用門戶和單點登錄:統一的應用管理和訪問控制; 

                  日志審計:基于大數據的用戶訪問行為分析,實現動態的權限控制。 

                  統一的應用管理和訪問控制 

                  YUNDUN基于現有的邊緣安全加速節點,集成身份認證和訪問控制,實現了可信應用代理。訪問網關充當了業務應用的訪問入口,最大化的降低了業務應用被暴露在互聯網中的各類攻擊風險,無法被外部掃描滲透,不再被動的修復漏洞,實現了對源站應用的隱身保護。同時將相關日志信息作為數據源與SOC/SIEM/UEBA等安全檢測平臺對接聯動分析,實現持續的信任評估。

                  最終實現企業所有應用,包含自有應用和SaaS應用來統一的管理和訪問控制,確保訪問的安全性。用戶能夠訪問的所有應用,全部以目錄的形式,羅列在各自的門戶中,同時基于用戶個人的角色和權限,讓不同的用戶組、不同的用戶,具備不同的訪問權限,從而看到不同的應用列表,并且為了加固安全,用戶在進入到這個集中門戶的時候,需要完成多因子身份認證。 

                  一次典型的應用請求流程如下: 

                  用戶在瀏覽器中打開https://app.domain.com; 

                  請求到達智能邊緣云,檢查請求的身份信息,若發現沒有身份,則重定向至身份認證頁面; 

                  用戶完成身份認證,請求重定向至邊緣云;

                  邊緣云驗證身份和權限,將請求轉發回源,并通過JWT附帶用戶身份; 

                  源應用校驗JWT,解碼身份信息,驗證賬號正確性,允許登錄業務系統。

                  內部應用的SaaS


                  傳統基于VPN構建的內網環境,有著內網粗顆粒度隔離、憑證泄露影響面巨大、遠程訪問遲緩、部署成本較大等不可規避的劣勢,對于多云架構的適配性較低,很難兼顧訪問速度與數據安全性。 

                  基于上述“應用場景:統一的應用的管理和訪問控制”的實現,YUNDUN將零信任的覆蓋面延伸至內網,替代VPN為企業實現網絡空間的私有化,并且實現內部應用的SaaS化。 

                  YUNDUN設計了一個連接器部署在企業NAT里面或者在云端的VPC里面,通過443端口和YUNDUN零信任POP點建立長連接,基于此連接的回路實現請求回源,訪問到內部應用,從而節省交互產生時的連接建立過程。當用戶訪問其業務時,請求通過邊緣安全節點路由到零信任POP點,最后通過已有的長連接將請求回送給內部應用。 

                  值得一提的是,在此零信任實現過程中存在兩個特異性的創新點: 

                  YUNDUN使用443端口來執行出向的連接,一方面是防火墻對443端口友好性較高,另一方面在443端口上運行的是HTTP2.0協議,支持連接復用,從而實現在一個出向連接上的回路上就可以支持很多的請求回送。 

                  為了進一步提升安全性,且簡化管理成本,防火墻只需要配置一條規則:將所有的入向連接阻斷,因為所有的請求回源全部依賴于出向連接的回路,交互過程無需入向鏈接。實現這一點非常重要,這樣保證應用在公網上的不可見,IP、端口掃描都掃不到,意味著業務資產在黑客眼里是“隱形”的。沒有人能攻擊他看不到的東西。這樣黑客惡意的攻擊自然就沒辦法進行,若要訪問應用,必須要經過身份認證和權限檢測。 

                  企業在自身的網絡邊界不需要做任何調整,無需VPN的技術需求,而基于部署在企業內部的YUNDUN連接器可以兼容企業已有的身份管理、身份控制能力,從而打通訪問鏈條,實現零信任的框架,而且由于邊緣節點靜態資源緩存,同時還能兼顧應用的加速訪問。 

                  用戶訪問行為分析


                  YUNDUN零信任可應用于用戶行為分析,通過記錄并可視化詳盡的零信任日志,以確保企業的管理者,特別是安全的管理人員,能夠明確掌控用戶行為軌跡,用戶接入設備等信息。日志審計,包括管理員日志、應用門戶日志,應用日志,ssh命令日志等,日志都是非常的詳細,比如什么時間,使用的哪個客戶端IP,使用的哪個身份認證方式(企業微信還是釘釘),身份信息,實施的安全策略,訪問的應用的URL,從而保證企業安全人員和管理者能夠看到并及時攔截各種威脅。有助于安全管理員做全面的審計,并對可疑的行為及時撤銷令牌。

                  隨著5G、云計算等技術的發展,IT基礎設施正在發生重大變革。去年,Gartner提出了SASE的概念,SASE,安全訪問服務邊緣,是一個結合了網絡服務和安全即服務的非常龐大的概念,未來可能的趨勢是,所有的企業的內部應用都能通過邊緣節點來訪問,并且不需要那么復雜的網絡架構,同時也能提高整體的安全性。

                  基于SASE構建整個安全產品平臺是YUNDUN想要實現的終極目標,路漫漫其修遠兮,吾將上下而求索。YUNDUN將保持在零信任道路上的探索與前進,最終實現核心安全業務的零信任,助力企業數據化轉型,讓安全更有價值。

                   


                  本網站上的內容(包括但不限于文字、圖片及音視頻),除轉載外,均為時代在線版權所有,未經書面協議授權,禁止轉載、鏈接、轉貼或以其他 方式使用。違反上述聲明者,本網將追究其相關法律責任。如其他媒體、網站或個人轉載使用,請聯系本網站丁先生:chiding@time-weekly.com

                  掃碼分享
                  亚洲国产欧美国产综合在线 亚欧有色51色 综合欧美亚洲色偷拍区