详解零信任架构中的安全网关.docx
- 文档编号:22812079
- 上传时间:2023-04-28
- 格式:DOCX
- 页数:2
- 大小:274.17KB
详解零信任架构中的安全网关.docx
《详解零信任架构中的安全网关.docx》由会员分享,可在线阅读,更多相关《详解零信任架构中的安全网关.docx(2页珍藏版)》请在冰豆网上搜索。
详解零信任架构中的安全网关
详解零信任架构中的安全网关
安全网关是零信任架构的中心,是零信任理念的执行者。
1、零信任架构的中心
无论是NIST还是Beyondcorp还是SDP,所有零信任架构中,最中心的部分都是“安全网关”。
下图是NIST的零信任架构图,图中蓝框里就是“安全网关”。
从图中可以看到安全网关的作用为:
(1)安全网关隔开了左侧外网和右侧内网。
用户在左侧网络中。
用户想获取右侧的数据资源,只能通过网关进入。
网关就像是门卫一样,合法的让进,不合法的拦住。
(2)所有的安全策略都由网关执行。
零信任要求对用户的身份、设备、行为路径等等多个方面进行检测和判断,检测结果由网关执行。
用户的请求到网关之后,网关解析出请求中的用户信息,然发给各个策略检测模块。
所有的检测结果都汇聚到网关,由网关最终执行。
下面介绍安全网关的具体架构。
2、Web代理网关
Beyondcorp是世界上最早落地的零信任项目,Beyondcorp网关的名字叫“访问代理”(AccessProxy),如下图所示。
Beyondcorp的安全网关实际上相当于一个“Web代理”,只支持web网站的接入,不支持c/s架构的应用。
这个网关可以用类似Nginx的代理服务器实现。
Web代理网关的功能包括:
(1)转发请求。
这是代理服务器最基础的功能。
网关根据用户访问的域名不同,分别转发到网关后面的不同服务器。
(2)获取身份。
从架构图中可以看到,Beyondcorp架构中还包括“单点登录”。
所以,网关对用户身份的判断可能也是通过单点登录的token实现的。
Beyondcorp架构中,客户端是一个Chrome浏览器上的代理插件。
用户访问数据时,插件应该在cookie或包头中加上了代表用户身份的token。
Beyondcorp还要验证设备信息。
设备信息可能也是用类似的方式,通过浏览器插件把信息插进包头里带给网关的。
(3)验证身份。
网关可以将访问者的身份信息发给Beyondcorp的身份管理模块。
身份管理模块进行对比和判断,然后返回验证结果。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 详解 信任 架构 中的 安全网关