读零信任网络：在不可信网络中构建安全体系17无控制器架构 ...

1. 建立体系框图

1.1. 实现零信任网络的第一步重要工作是建立体系框图
1.2. 体系框图可以或许帮助我们透彻地理解内部网络和外部网络间的通信模式，有助于体系通信信道的筹划
1.3. 对于现有的网络来说，发起首先利用日志工具来记录网络流量，然后观察通信信息的流向，一旦捕捉到网络流量信息，构造体系框图就是一个简单地将通信流量举行分类的过程
2. 理解网络流量

2.1. 网络流量是源体系和目标体系之间具有时间限定的通信

• 2.1.1. 对于双向传输协议（如TCP协议）来说，单个网络流量可以或许完全覆盖一个完整的会话过程
  
• 2.1.2. 对于单向传输协议（如UDP协议）而言，单个网络流量一般只能覆盖网络会话的单一方向的通信
  

2.2. 从逻辑上来说，捕捉现有生产网络中的全部流量是现有网络体系向零信任模型转变的第一步

• 2.2.1. 长期记录并分析网络流量是一种非侵入式的网络分析方法，它可以或许发现现有网络中存在哪些范例的网络连接，在新的安全模型下应当如何思量安全筹划
  
• 2.2.2. 假如没有预先的网络流量收集过程，那么在现有网络体系向零信任模型迁移的过程中可能会引发频繁的网络通信标题，使得迁移过程具有过大的侵入性和破坏性
  

2.3. 网络流量的收集方式思量因素

• 2.3.1. 网络的范例
  
  
  
  • 2.3.1.1. 物理网络还是虚拟网络
    
  • 2.3.1.2. 物理网络的原始网络流量数据包很容易被捕捉，大多数交换机都支持把数据包镜像到SPAN端口（镜像端口）
    
  • 2.3.1.3. 在网络负载不高的交换机上启用此方法是相对安全的，但是可能会造成网络中的某些错误数据包丢失
    
  • 2.3.1.4. 利用串接在网络中的TAP装备来捕捉数据包，TAP装备能包管全部网络数据都被传输到监控装备上
    
  • 2.3.1.5. 虚拟网络自身提供了查看网络流量的能力，但这种能力仅停顿在相对粗粒度的阶段
    
  
  
• 2.3.2. 管理员对端点体系的访问级别
  
  
  
  • 2.3.2.1. 在端点体系可控的情况下，安装工具监听网络流量可以更细粒度地把握网络流量的泉源
    
  • 2.3.2.2. 收集并记录全部网络流量之后，下一个目标就是基于高层的体系级连接来对网络流量举行分类
    

    2.3.2.2.1. 零信任网络的很多安全操作都要基于这个体系级连接数据库来举行
    

    
    
  
  

2.4. 对超大规模网络而言，捕捉和分类全部网络流量将会是一项非常繁重的工作

• 2.4.1. 零信任网络可以在现有的基于界限安全模型的网络基础上分阶段实现，对网络流量的捕捉也可以分阶段地举行
  
• 2.4.2. 在完成一个网络区域的零信任模型改造之后，再逐渐扩展到其他网络区域，徐徐实现全面的零信任网络
  
  
  
  • 2.4.2.1. 这种方法在增强现有网络的安全性的同时，也充分思量了体系实现的可行性
    
  
  

3. 无控制器架构

3.1. 成熟的零信任网络的核心由几个控制平面体系构成，它提供关键的安全服务
3.2. 实现全部控制平面体系是一种非常理想的状态，在实际建设过程中，可以从现有的通用基础办法着手一步一步向理想架构迭代
3.3. 配置管理体系

• 3.3.1. IT运营管理成熟的机构大多利用配置管理工具来管理其基础办法
  
• 3.3.2. 配置管理体系可以计算出体系从当前状态到理想状态需要举行哪些配置变动
  
• 3.3.3. 可以保持整个体系变动的一致性
  
• 3.3.4. 配置数据可以保存在版本控制体系中，因此可以或许提供各种变动及其缘故原由的历史记录
  
• 3.3.5. 配置漂移发生的可能性微乎其微，因为配置状态受到配置管理体系的羁系
  
• 3.3.6. 摆设配置管理体系的第一种用途通常是管理个人计算机的配置
  
  
  
  • 3.3.6.1. 个人计算机的初始状态通常为“白板”状态（即只安装操作体系的初始安装配置）​，然后配置管理体系会基于这些计算机在基础办法中的角色重新将它们配置成理想状态
    
  • 3.3.6.2. 以自动化的方式实现此配置过程可以使基础办法的变动简单易行
    
  
  
• 3.3.7. 配置管理体系不仅有利于基础办法的管理，也可以作为通用的自动化管理框架
  
  
  
  • 3.3.7.1. 配置管理体系可以用作零信任网络的控制平面，提供部分安全功能
    
  
  
• 3.3.8. 很多控制配置管理体系支持资源或操作集合的扩展机制，利用这些机制，可以在体系中构建更复杂的资源概念
  
  
  
  • 3.3.8.1. 可以定义服务资源的概念，用来表示全部使网络服务可用的标准基础办法
    
  
  
• 3.3.9. 在摆设配置管理体系时，应当以尽快使体系配置达到稳定状态为目标
  
  
  
  • 3.3.9.1. 配置管理体系只是实现零信任网络控制平面的一个过渡工具，最终将会由专用的控制器负责实现控制平面的功能
    
  
  

3.4. 应用认证和授权

• 3.4.1. 零信任场景中的典型机构通常会提供很多服务，并且这些服务大多是利用客户端浏览器来访问
  
  
  
  • 3.4.1.1. 每项服务都必须具备认证和授权的能力
    
  
  
• 3.4.2. 将每个应用体系与外部身份管理体系举行集成，以提供集中的认证和授权查抄功能
  
  
  
  • 3.4.2.1. SAML（安全断言标记语言）​、OAuth2等都是用来集成应用体系和身份管理体系的协议和技能
    
  
  
• 3.4.3. 应用体系利用集中式身份管理体系提供的认证和授权能力并不意味着其完全不需要具备授权能力
  
  
  
  • 3.4.3.1. 应用体系需要保留应用级授权能力，特殊是在用户权限经常变化的情况下
    
  
  
• 3.4.4. 正确的做法是把账户管理、用户认证以及高级别的授权/访问等使命交给外部集中式身份管理体系完成，而应用体系保留应用级授权操作
  
• 3.4.5. 应用体系与身份管理体系集成提供认证能力时，必须利用多因子认证机制，确保用户凭证不会被轻易盗取
  

3.5. 认证负载均衡和代理

• 3.5.1. 在后端体系中，对应用举行授权的较好方法就是在运行时插入一个临时凭证，可以是API密钥、短期证书等
  
• 3.5.2. 每一个凭证都唯一代表了运行的应用实例
  
• 3.5.3. 在采用负载均衡的体系中，负载均衡软件本身可以被看作是服务端应用，每个软件实例都需要首先利用临时凭证向上游主机标识本身
  
  
  
  • 3.5.3.1. 这一认证过程是终端装备认证的一种补充
    
  
  
• 3.5.4. 负载均衡器就可以承担用户和客户端装备的认证和授权职责，在须要的情况下，它也可以与身份管理体系集成
  
• 3.5.5. 利用安全令牌而不是TOTP（基于时间的一次性口令）
  
  
  
  • 3.5.5.1. 利用安全令牌的协议（如U2F）可以或许有用防御钓鱼攻击，同时对于用户来说其易用性也更好
    
  • 3.5.5.2. 应尽可能选择安全令牌体系代替传统的TOTP
    
  
  

3.6. 基于关系的策略

• 3.6.1. 零信任提倡由控制平面负责将授权判定结果导入到网络中，然后建立可信通信
  
• 3.6.2. 在基于关系的策略中，两个实体之间的通信安全策略的定义和控制与传统的防火墙数据包过滤机制非常类似，同时还要求利用TLS连接包管安全性
  
• 3.6.3. 主要的区别在于策略的作用范围，零信任模型中的策略作用范围不再是网段之间的通信，而是装备之间的通信
  
  
  
  • 3.6.3.1. 这种机制也被称为“微界限”​
    
  
  

3.7. 策略分发

• 3.7.1. 不完善的零信任网络不仅要思量如何强制实行策略，还要思量如何分发策略
  
• 3.7.2. 假如在零信任网络摆设中缺少控制平面，那么就必须用配置管理体系来弥补这一缺失
  
• 3.7.3. 配置管理体系可以或许对装备进举措态的配置，使装备实行预期的网络通信，详细实现方法是根据关系策略数据库配置基于主机的防火墙
  
  
  
  • 3.7.3.1. 主机防火墙可以或许配置针对每台主机的强制实行策略，这种方式比防火墙的集中式强制实行全局策略更易于操作
    
  
  
• 3.7.4. 利用现有的配置管理体系构建虚拟控制平面，就可以将实行责任分发到网络布局中
  
  
  
  • 3.7.4.1. 缺点
    

    3.7.4.1.1. 假如该策略被删除或者篡改，那么主机可能会受到侵害
    

    3.7.4.1.2. 在策略被摆设到体系之后，通过配置管理体系举行的变动往往不能在整个体系中长期保持一致
    

    
    
  
  

4. 定义和安装策略

4.1. 安全策略的保存应当独立于实施它们的个人装备

• 4.1.1. 有利于实行安全策略的审计，查抄安全策略的实施是否达到预期
  
• 4.1.2. 在切换策略实行体系时可以重复利用策略定义
  

4.2. 利用单独数据库保存的安全策略很快就会过时，除非接纳某种机制确保它和实行时的安全策略一致

• 4.2.1. 解决这一标题的较好办法就是利用配置管理体系，基于策略数据库生成策略的实施配置
  

4.3. 随着网络成熟度的提高，体系管理员更愿意把安全策略定义提取到外部举行保存，如许他们就可以把这些安全策略定义应用在其他地方

• 4.3.1. 假如把安全策略定义从配置管理体系中提取出来的话，基于主机的防火墙和托管的网络防火墙就可以共享同一个策略数据库来举行配置
  

4.4. 在定义新策略（特殊是在现有网络基础上定义新策略）时，其测试机制会给体系管理员带来非常大的帮助

• 4.4.1. 体系应当有能力实行提议的策略，并且在实行后报告利用新策略后哪些流量被拒绝了
  

4.5. 建立策略测试体系需要记录生产环境网络流量的数据库、策略模仿器，以及可以标识当宿世产环境策略和新定义策略区别的体系等组件
4.6. “先记录后实行”的过程可以或许为发现生产环境网络中的不测事故提供充裕的时间包管

• 4.6.1. 在此基础上分阶段摆设更新策略，在某一个特定的网络范围内实行策略变动，可以在不影响整个生产体系的条件下发现不测标题
  

4.7. 更简单、安全地导入策略变动的方法

• 4.7.1. 抽取所需策略集的一个子集，该策略子集就是发起策略
  
• 4.7.2. 以仅记录日志的方式摆设发起策略
  
• 4.7.3. 在一个足够长的周期内收集生产环境的网络流量
  
• 4.7.4. 研究那些实行发起策略后被拒绝的网络流量
  
• 4.7.5. 实行发起策略
  
• 4.7.6. 重复上述（1）～（5）步调，直到所需策略都摆设完成
  
• 4.7.7. 完成全部策略摆设后，开启一个默认拒绝全部流量的策略
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。