亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        零信任應(yīng)用SDP技術(shù)應(yīng)用場景與方案落地

        2022-04-04 12:55:30呂蘊(yùn)藉
        關(guān)鍵詞:用戶服務(wù)

        呂蘊(yùn)藉

        基于軟件定義邊界(Software Defined Perimeter,SDP)是在網(wǎng)絡(luò)邊界模糊和消失趨勢下給業(yè)務(wù)資源提供的隱身衣,使網(wǎng)絡(luò)黑客看不到目標(biāo)而無法發(fā)動攻擊。

        隨著移動業(yè)務(wù)快速擴(kuò)展,物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市的持續(xù)發(fā)展,資產(chǎn)防護(hù)的安全邊界越來越不清晰,傳統(tǒng)的邊界防護(hù)架構(gòu)越來越顯得力不從心。邊界安全主要存在的問題有如下幾點(diǎn):

        黑客可以輕松劫持邊界內(nèi)的設(shè)備并從內(nèi)部攻擊企業(yè)

        隨著自帶設(shè)備(BYOD)、外包人員、合作伙伴的增多,以及邊界內(nèi)部設(shè)備不確定因素的增加,導(dǎo)致安全漏洞不斷增多。企業(yè)的業(yè)務(wù)資源除了部署在傳統(tǒng)數(shù)據(jù)中心,也在不斷向外部云資源擴(kuò)展,如PaaS,IaaS,SaaS。因此,邊界安全網(wǎng)絡(luò)設(shè)備在拓?fù)渖喜⒉荒芎芎玫乇Wo(hù)企業(yè)應(yīng)用基礎(chǔ)設(shè)施。

        邊界內(nèi)部設(shè)備不斷增長,移動終端、遠(yuǎn)程辦公、企業(yè)業(yè)務(wù)在內(nèi)網(wǎng)和公有云同時(shí)部署,這樣的趨勢已經(jīng)破壞了企業(yè)使用的傳統(tǒng)安全模型。因此需要一種新方法,能夠?qū)吔绮磺逦木W(wǎng)絡(luò)業(yè)務(wù)場景進(jìn)行更好的安全保護(hù)。

        SDP的防護(hù)架構(gòu),以軟件定義邊界,將網(wǎng)絡(luò)空間的網(wǎng)絡(luò)元素身份化,通過身份定義訪問邊界,是零信任落地實(shí)現(xiàn)的一種重要方式。SDP旨在使應(yīng)用程序所有者能夠在需要時(shí)部署邊界,以便將業(yè)務(wù)和服務(wù)與不安全的網(wǎng)絡(luò)隔離開來??梢哉f,SDP是在網(wǎng)絡(luò)邊界模糊和消失趨勢下給業(yè)務(wù)資源提供的隱身衣,它使網(wǎng)絡(luò)黑客看不到目標(biāo)而無法發(fā)動攻擊。

        SDP架構(gòu)

        SDP架構(gòu)主要由SDP客戶端、SDP控制器、SDP網(wǎng)關(guān)組成:

        SDP客戶端:為C/S型客戶端應(yīng)用、B/S型Web應(yīng)用提供統(tǒng)一的應(yīng)用訪問入口,支持應(yīng)用級別的訪問控制。

        SDP控制器:主要包含身份管理、PKI、可信評估、策略管理等組件。身份管理組件,對用戶和終端認(rèn)證,基于用戶和應(yīng)用的可信度生成動態(tài)權(quán)限;PKI公鑰基礎(chǔ)設(shè)施,為用戶頒發(fā)身份密鑰;可信評估組件,對用戶、應(yīng)用進(jìn)行持續(xù)可信評估;策略管理組件,根據(jù)用戶權(quán)限以及策略規(guī)范生成用戶訪問權(quán)限,生成安全隧道策略,并下發(fā)到客戶端和網(wǎng)關(guān)。

        SDP網(wǎng)關(guān):對應(yīng)用業(yè)務(wù)進(jìn)行隱藏保護(hù)。在接收到控制器下發(fā)的策略后,和客戶端建立安全隧道,并起到業(yè)務(wù)代理作用,訪問應(yīng)用業(yè)務(wù)。

        SDP要求客戶端在訪問被保護(hù)的服務(wù)器之前,首先進(jìn)行認(rèn)證和授權(quán),然后在端點(diǎn)和應(yīng)用基礎(chǔ)設(shè)施之間建立實(shí)時(shí)加密連接訪問通路。SDP零信任的流程主要如下:

        SDP控制器服務(wù)上線,連接至適當(dāng)?shù)恼J(rèn)證和授權(quán)服務(wù),例如PKI頒發(fā)證書認(rèn)證服務(wù)、設(shè)備驗(yàn)證、地理定位、SAML、OpenID、oAuth、LDAP、Kerberos以及多因子身份驗(yàn)證等服務(wù);

        SDP客戶端在控制器注冊,控制器為客戶端生成ID和一次性口令的種子,用于單包認(rèn)證(SPA);

        SDP客戶端利用控制器生成的一次性口令種子和隨機(jī)數(shù)生成一次性口令,進(jìn)行單包認(rèn)證,單包認(rèn)證后,進(jìn)行用戶身份認(rèn)證,認(rèn)證通過后控制器為客戶端分發(fā)身份令牌;

        在SPA認(rèn)證、用戶身份認(rèn)證通過后,SDP控制器確定SDP客戶端可以連接的SDP網(wǎng)關(guān)列表;

        SDP控制器通知SDP網(wǎng)關(guān)接收來自SDP客戶端的通信,以及加密通信所需的所有可選安全策略、訪問權(quán)限列表;

        SDP客戶端向每個(gè)可接受連接的SDP網(wǎng)關(guān)發(fā)起單包授權(quán),并創(chuàng)建與這些SDP網(wǎng)關(guān)的雙向加密連接,例如TSL、IPsec等;

        SDP客戶端的業(yè)務(wù)訪問請求到達(dá)SDP網(wǎng)關(guān)后,網(wǎng)關(guān)提取用戶身份令牌,根據(jù)令牌、要訪問的業(yè)務(wù)和用戶的權(quán)限確認(rèn)用戶是否有權(quán)限訪問該業(yè)務(wù);

        允許訪問的業(yè)務(wù)請求予以放行。

        SDP應(yīng)用場景

        基于SDP的零信任架構(gòu)能夠保護(hù)各種類型的業(yè)務(wù)服務(wù)免受網(wǎng)絡(luò)基礎(chǔ)攻擊,以下是幾種比較常見的應(yīng)用場景。

        企業(yè)應(yīng)用隔離

        對于涉及知識產(chǎn)權(quán)、財(cái)務(wù)信息、人力資源的數(shù)據(jù)以及僅在企業(yè)網(wǎng)絡(luò)內(nèi)可用的其他數(shù)據(jù)集,攻擊者可能通過入侵網(wǎng)絡(luò)中的一臺計(jì)算機(jī),從而進(jìn)入內(nèi)部網(wǎng)絡(luò),然后橫向移動獲得高價(jià)值信息資產(chǎn)的訪問權(quán)限,造成數(shù)據(jù)泄露。

        企業(yè)可以在數(shù)據(jù)中心內(nèi)部署SDP,以便將高價(jià)值應(yīng)用程序與數(shù)據(jù)中心中的其他應(yīng)用程序隔離開來,并將它們與整個(gè)網(wǎng)絡(luò)中的未授權(quán)用戶隔離開。

        未經(jīng)授權(quán)的用戶將無法檢測到受保護(hù)的應(yīng)用程序,將減輕這些攻擊所依賴的橫向移動。

        私有云和公有云混合場景

        SDP將應(yīng)用統(tǒng)一匯總到網(wǎng)關(guān),進(jìn)行統(tǒng)一的管控。對于私有云、公有云混合的應(yīng)用場景,SDP可以對業(yè)務(wù)進(jìn)行統(tǒng)一防護(hù),實(shí)現(xiàn)用戶無差異感。

        軟件即服務(wù)(SaaS):供應(yīng)商可以使用SDP安全架構(gòu)來保護(hù)他們提供的服務(wù)。在這種應(yīng)用場景下,SaaS服務(wù)就是一個(gè)SDP網(wǎng)關(guān),而所有要訪問的用戶就是SDP客戶端。

        通過使用SDP架構(gòu),SaaS廠商在將服務(wù)提供給全球互聯(lián)網(wǎng)用戶的同時(shí)不必再為安全問題擔(dān)憂。

        基礎(chǔ)設(shè)施即服務(wù)(IaaS)供應(yīng)商可以為客戶提供SDP即服務(wù)作為受保護(hù)的入口。

        客戶可以充分利用IaaS的靈活性和性價(jià)比,減少各種潛在的攻擊。

        平臺即服務(wù)(PaaS):供應(yīng)商可以通過將SDP架構(gòu)作為服務(wù)的一部分來實(shí)現(xiàn)差異化。

        為最終用戶提供了一種嵌入式安全服務(wù),可以緩解基于網(wǎng)絡(luò)的攻擊。

        與云桌面VDI聯(lián)合使用

        虛擬桌面基礎(chǔ)架構(gòu)(VDI)可以部署在彈性云中,這樣VDI的使用可以按小時(shí)支付。

        如果VDI用戶需要訪問公司內(nèi)部服務(wù)器,VDI可能難以使用,并且可能會產(chǎn)生安全漏洞。如果VDI與SDP相結(jié)合,就可以通過更簡單的用戶交互和細(xì)粒度訪問來解決這兩個(gè)問題。

        大量的新設(shè)備正在連接到互聯(lián)網(wǎng)上。要管理這些設(shè)備或從這些設(shè)備中提取信息,亦或二者兼有,后端應(yīng)用程序的任務(wù)很關(guān)鍵,因?yàn)橐洚?dāng)私有或敏感數(shù)據(jù)的保管人。

        軟件定義邊界可以用于隱藏這些服務(wù)器及其在Internet上的交互,以最大限度提高安全性和正常運(yùn)行時(shí)間。

        SDP零信任的落地應(yīng)用通過整合一體化電信級可信網(wǎng)關(guān)、安全準(zhǔn)入終端和安全態(tài)勢分析引擎的核心優(yōu)勢,例如新華三已實(shí)際構(gòu)建以安全接入為核心的SDP零信任解決方案。方案主要由SDP客戶端、SDP可信網(wǎng)關(guān)、SDP控制器組成,結(jié)合對零信任的研究實(shí)踐,通過對用戶的統(tǒng)一安全接入及動態(tài)權(quán)限管理,實(shí)現(xiàn)了身份、終端、應(yīng)用系統(tǒng)的安全可信。目前支持兩種模式,有客戶端模式和無客戶端模式。

        客戶端模式

        客戶端模式應(yīng)用在安全級別較高的場景下,需要在終端PC安裝客戶端??蛻舳嗽谶M(jìn)行業(yè)務(wù)訪問前都要先通過SPA認(rèn)證才能進(jìn)行后續(xù)的業(yè)務(wù)處理,并且此模式下可以實(shí)時(shí)對用戶和終端進(jìn)行風(fēng)險(xiǎn)評估,實(shí)現(xiàn)策略的動態(tài)調(diào)整。

        策略中心和網(wǎng)關(guān)默認(rèn)關(guān)閉所有服務(wù)端口。

        終端安裝客戶端插件后,需要客戶端注冊,確??蛻舳丝尚牛梢詫蛻舳诉M(jìn)行控制),注冊后的客戶端獲得身份ID、設(shè)備指紋(SPA種子)。

        客戶端進(jìn)行業(yè)務(wù)訪問前,根據(jù)設(shè)備指紋和隨機(jī)數(shù),借助HOTP算法生成一次性口令,進(jìn)行SPA認(rèn)證,確保設(shè)備可信。

        SPA認(rèn)證通過后,客戶端到策略中心進(jìn)行認(rèn)證,認(rèn)證通過后,策略中心下發(fā)用戶權(quán)限、用戶令牌,并把用戶上線信息下發(fā)到網(wǎng)關(guān)。

        客戶端在用戶認(rèn)證通過后,和網(wǎng)關(guān)進(jìn)行SPA認(rèn)證,認(rèn)證通過后建立可信隧道,進(jìn)行業(yè)務(wù)訪問。

        策略中心實(shí)時(shí)進(jìn)行用戶、終端的風(fēng)險(xiǎn)評估,根據(jù)風(fēng)險(xiǎn)調(diào)整用戶權(quán)限,并將動態(tài)權(quán)限、控制指令下發(fā)到網(wǎng)關(guān)。

        無客戶端模式

        無終端模式應(yīng)用在安全級別要求不高的場景,終端PC只需要通過瀏覽器進(jìn)行用戶認(rèn)證和業(yè)務(wù)訪問,此模式不涉及風(fēng)險(xiǎn)評估功能和SPA認(rèn)證。

        策略中心、網(wǎng)關(guān)需要默認(rèn)開啟業(yè)務(wù)需要訪問的端口。

        用戶訪問業(yè)務(wù)時(shí),如無用戶token,會被網(wǎng)關(guān)重定向到認(rèn)證頁面,對用戶進(jìn)行多因素認(rèn)證,認(rèn)證通過后為用戶推送用戶token。

        用戶認(rèn)證通過后,將用戶上線信息推送到網(wǎng)關(guān),并對用戶風(fēng)險(xiǎn)、終端風(fēng)險(xiǎn)、資產(chǎn)風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)安全評估,根據(jù)風(fēng)險(xiǎn)動態(tài)生成權(quán)限,下發(fā)到網(wǎng)關(guān)。

        用戶攜帶用戶token訪問業(yè)務(wù),網(wǎng)關(guān)根據(jù)用戶token識別用戶,進(jìn)行動態(tài)訪問控制。

        猜你喜歡
        用戶服務(wù)
        服務(wù)在身邊 健康每一天
        服務(wù)在身邊 健康每一天
        服務(wù)在身邊 健康每一天
        服務(wù)在身邊 健康每一天
        服務(wù)在身邊 健康每一天
        招行30年:從“滿意服務(wù)”到“感動服務(wù)”
        商周刊(2017年9期)2017-08-22 02:57:56
        關(guān)注用戶
        商用汽車(2016年11期)2016-12-19 01:20:16
        關(guān)注用戶
        商用汽車(2016年6期)2016-06-29 09:18:54
        關(guān)注用戶
        商用汽車(2016年4期)2016-05-09 01:23:12
        Camera360:拍出5億用戶
        免费成人福利视频| 人人妻人人做人人爽| 大肉大捧一进一出好爽视频| 亚洲精品无码久久毛片| 99免费视频精品| 大尺度极品粉嫩嫩模免费| 亚洲日韩精品a∨片无码加勒比| 国精品无码一区二区三区在线| 国产aⅴ夜夜欢一区二区三区| 亚洲av一区二区三区网站| 国产精品国产三级国产专播下 | 美女被强吻并脱下胸罩内裤视频| 少妇真人直播免费视频| 亚洲一本到无码av中文字幕| 欧美精品AⅤ在线视频| 日本熟妇免费一区二区三区| 日韩精品亚洲一区二区| 香蕉视频在线精品视频| 国产成人亚洲精品电影| 美女被强吻并脱下胸罩内裤视频 | 亚洲 欧美 综合 在线 精品| 无遮挡又黄又刺激又爽的视频| 久久久国产精品免费无卡顿| 国产成人高清视频在线观看免费 | av无码天堂一区二区三区| 亚洲一区域二区域三区域四| 日本真人边吃奶边做爽电影| www插插插无码免费视频网站 | 女优av一区二区三区| 国产精品老熟女露脸视频| 亚洲AV无码久久精品成人| 免费人成在线观看播放视频| 欧美综合天天夜夜久久| 亚洲av乱码中文一区二区三区| 激情亚洲综合熟女婷婷| 国产精品国产三级野外国产| 夜鲁很鲁在线视频| 免费高清日本中文| 男人天堂插插综合搜索| 免费a级毛片18禁网站app| 亚洲免费观看|