首頁|必讀|視頻|專訪|運營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計算|芯片|報告|智慧城市|移動互聯(lián)網(wǎng)|會展
首頁 >> 互聯(lián)網(wǎng) >> 正文

BingoIAM一體化零信任:原理、實現(xiàn)與架構(gòu)創(chuàng)新

2024年10月24日 10:08  來源:企業(yè)網(wǎng)D1Net  

摘自:懂企業(yè)的品高云

一、零信任架構(gòu)

零信任架構(gòu)是一種網(wǎng)絡安全模型,它基于“永不信任,始終驗證”的原則,強調(diào)持續(xù)的監(jiān)控和評估。在零信任模型中,無論請求來自何處,確保只有驗證過的實體才能訪問相應的資源,從而減少安全風險并提高整體的網(wǎng)絡安全性。

NIST和CSA定義了零信任的三大關鍵技術(shù):身份與訪問管理(IAM,Identity and Access Management)、軟件定義邊界(SDP,Software Defined Perimeters)、和微隔離(MSG,Micro-Segmentation)。簡單來說,身份與訪問管理(IAM)用于主體對客體的訪問授權(quán)、軟件定義邊界(SDP)用于實現(xiàn)南北向安全(用戶與服務器間的安全),微隔離(MSG)用于實現(xiàn)東西向安全(服務器與服務器間的安全)。

1.1 零信任架構(gòu)現(xiàn)狀與優(yōu)勢

當前,零信任架構(gòu)正迅速成為企業(yè)網(wǎng)絡安全設計的核心。隨著遠程工作和云計算的普及,傳統(tǒng)的基于邊界的安全措施已不足以應對復雜的網(wǎng)絡威脅。零信任架構(gòu)的優(yōu)勢在于其靈活性和適應性,能夠跨不同環(huán)境(包括多云和混合云環(huán)境)提供一致的安全策略。這種以身份為核心的訪問控制機制,實時檢測和響應威脅、自動化執(zhí)行安全策略確保了只有經(jīng)過嚴格驗證的用戶和設備才能訪問受保護的資源,從而顯著提高企業(yè)對高級持續(xù)性威脅的防御能力。

1.2 零信任架構(gòu)核心概念 

二、堅不可摧的SDP

SDP(Software Defined Perimeter,軟件定義邊界)是國際云安全聯(lián)盟CSA于2013年提出的基于零信任(Zero Trust)理念的新一代網(wǎng)絡安全模型。它通過軟件來重新定義和控制網(wǎng)絡邊界,而不是依賴于傳統(tǒng)的物理網(wǎng)絡邊界。SDP的核心理念是將網(wǎng)絡訪問控制從網(wǎng)絡層面轉(zhuǎn)移到身份層面,實現(xiàn)更細粒度的安全控制。

2.1 SDP從未被攻破

在網(wǎng)絡安全領域,軟件定義邊界(SDP)以其堅不可摧的安全性而著稱。如下表所示,這些歷史性的安全測試和挑戰(zhàn)活動,無不證明了這一點。SDP不僅是一個技術(shù)解決方案,更是一種對網(wǎng)絡安全的堅定承諾。隨著網(wǎng)絡威脅的不斷演變,SDP的這一紀錄顯得尤為寶貴,為尋求最高安全標準的企業(yè)和組織提供了信心和保障。

2.2 SDP核心原理

軟件定義邊界(SDP)是建立一個高度安全、細粒度控制的網(wǎng)絡訪問環(huán)境,其設計包含以下幾個關鍵方面:

三、BingoIAM SDP技術(shù)實現(xiàn)

3.1、基于Rust全棧自研

SDP核心服務作為網(wǎng)絡流量的入口,承擔著至關重要的角色。它必須同時運行在操作系統(tǒng)的內(nèi)核態(tài)和用戶態(tài)。對性能、穩(wěn)定性和安全性有著極高的標準。在這樣的背景下,選擇恰當?shù)募夹g(shù)棧顯得尤為關鍵。傳統(tǒng)技術(shù)如Java和Golang因垃圾回收(GC)問題而受限,而C/C++雖性能卓越,卻因內(nèi)存安全問題使得開發(fā)、測試與運維成本居高不下。經(jīng)過深思熟慮,BingoIAM最終決定采用Rust這一新興的系統(tǒng)編程語言,全面自主研發(fā)SDP全棧解決方案。

Rust是除了C語言外,第二個進入到Linux內(nèi)核開發(fā)的編程語言,證明了其在系統(tǒng)編程領域的可靠性和效率,其核心優(yōu)勢包括:

目前國內(nèi)外在SDP領域的開源技術(shù)幾乎沒有,尤其是基于Rust的實現(xiàn),沒有任何現(xiàn)成的技術(shù)資料可供參考。BingoIAM團隊憑借對SDP核心需求的深刻理解,以及對Rust語言核心特性的全面掌握,從零開始,實現(xiàn)了SDP從內(nèi)核態(tài)到用戶態(tài),從設備端代理到服務端網(wǎng)關的全棧自研。

3.2、深入內(nèi)核

基于內(nèi)核eBPF(Extended Berkeley Packet Filter)與XDP(eXpress Data Path),結(jié)合Rust語言的開發(fā)技術(shù),為網(wǎng)絡性能優(yōu)化和安全增強提供了強大的工具,為構(gòu)建高性能、高安全性的系統(tǒng)回調(diào)函數(shù)提供了堅實的基礎。

在內(nèi)核層面進行開發(fā):

eBPF+XDP技術(shù)應用:通過結(jié)合eBPF的內(nèi)核編碼能力和XDP的快速網(wǎng)絡數(shù)據(jù)處理特性,我們打造了高效的網(wǎng)絡內(nèi)核擴展,eBPF+XDP還適用于如網(wǎng)絡調(diào)優(yōu)、安全增強、監(jiān)控和追蹤等各種場景。

TCP握手的鑒權(quán)機制:在TCP握手前實現(xiàn)驗證機制,對客戶端IP地址和端口進行認證鑒權(quán),這一步驟決定是否允許建立網(wǎng)絡連接。

IP白名單的訪問控制:基于eBPF+XDP的內(nèi)核擴展,我們將驗證通過的IP端口記錄于eBPF Map白名單中。這種機制僅允許合法的訪問請求,從而確保業(yè)務資源安全性和完整性。

目前主流eBPF內(nèi)核代碼都是基于C語言進行開發(fā),BingoIAM團隊為了技術(shù)棧的統(tǒng)一和更好的可維護性,經(jīng)過對eBPF原理的深入理解和工程實踐,最終選擇了使用Rust來編寫eBPF代碼,實現(xiàn)從內(nèi)核態(tài)到用戶態(tài)開發(fā)語言的統(tǒng)一。

3.3、網(wǎng)絡隱身對抗DDoS風暴

網(wǎng)絡隱身

零信任網(wǎng)關利用網(wǎng)絡隱身技術(shù),在接收到TCP數(shù)據(jù)包時,自動丟棄未經(jīng)授權(quán)的請求,不向客戶端返回任何數(shù)據(jù)包,即可使客戶端無法探測到端口的開放狀態(tài),確保網(wǎng)關對未授權(quán)用戶和潛在攻擊者不可見且無法訪問;而當客戶端請求攜帶有效憑證時,網(wǎng)關才會響應并允許授權(quán)訪問。這種方法確保了只有經(jīng)過驗證和授權(quán)的流量才能到達目標服務,從而體現(xiàn)其隱身能力、提高業(yè)務數(shù)據(jù)的安全性。

第三代SPA單包授權(quán)

SPA單包授權(quán)是一種網(wǎng)絡認證技術(shù),通過單個含有終端身份信息的數(shù)據(jù)包發(fā)送至網(wǎng)關SPA端口,進行“敲門”操作,網(wǎng)關驗證身份后,對終端IP地址的白名單“開門”,允許其訪問零信任網(wǎng)關的TCP端口,不再丟棄來自該IP的數(shù)據(jù)包,實現(xiàn)用戶身份驗證和授權(quán),簡化了認證流程,提高了安全性和效率,集成零信任安全技術(shù)模型,實現(xiàn)基于身份的策略實施。

3.4、mTLS對抗第三方攻擊

自適應mTLS安全隧道

自適應mTLS安全隧道是一種先進的網(wǎng)絡安全技術(shù),它利用TLS協(xié)議在計算機網(wǎng)絡中建立加密通信通道,確保數(shù)據(jù)傳輸?shù)陌踩院屯暾。這種隧道能夠根據(jù)網(wǎng)絡狀況、安全威脅和用戶需求動態(tài)調(diào)整其加密策略和性能。

我們的SDP網(wǎng)關不僅支持標準的mTLS證書,還兼容國密標準。這一靈活性在mTLS握手的Client Hello階段尤為關鍵,客戶端在此階段聲明其支持的密碼套件,網(wǎng)關則相應地選擇合適的證書和協(xié)議完成握手。

銅鎖安全增強

螞蟻金服銅鎖密碼庫(Tongsuo)是螞蟻集團自主研發(fā)的密碼學解決方案,是開放原子開源基金會的開源項目,它不僅代表了金融級的安全標準,還體現(xiàn)了國家級開源基金會的權(quán)威性。它集成了包括多方安全計算(MPC)、同態(tài)加密(HE)在內(nèi)的前沿技術(shù),簡化了隱私算法的應用;贠penSSL優(yōu)化,Tongsuo提供了高性能的密碼學運算能力,支持大規(guī)模數(shù)據(jù)處理。符合國家密碼法要求,經(jīng)過嚴格審查,Tongsuo確保了算法的安全性和可靠性,降低了企業(yè)進入隱私計算的門檻。螞蟻金服銅鎖密碼庫不僅為金融行業(yè)提供了高標準的安全解決方案,也為更廣泛的領域提供了數(shù)據(jù)安全和隱私保護的強大支持。

BingoIAM零信任解決方案深刻理解國密算法的重要性,采用銅鎖密碼庫來全面支持國密算法的實施?蛻舳送ㄟ^單包認證后,訪問零信任網(wǎng)關時,采用國密雙證書,通過TLCP協(xié)議進行數(shù)據(jù)加密傳輸,保證數(shù)據(jù)的傳輸過程中不產(chǎn)生泄露風險,TLCP是中國國家標準制定的傳輸層密碼協(xié)議,包括SM2、SM3、SM4等。零信任網(wǎng)關通過對接BingoIAM獲取客戶端的授權(quán)數(shù)據(jù),在客戶端與網(wǎng)關進行TLCP握手時,識別制定客戶端是否有權(quán)限訪問制定的服務。通過使用國密SM3進行數(shù)據(jù)包簽名和SM4進行加密,BingoIAM不僅增強了數(shù)據(jù)的防篡改和防泄露能力,也更好地適應了信創(chuàng)環(huán)境的要求。

3.5、IAM+SDP+端應用一體化訪權(quán)管控

BingoIAM和SDP網(wǎng)關共同構(gòu)建了一個強大的安全架構(gòu)。IAM平臺負責身份認證和訪問授權(quán),確保只有經(jīng)過驗證和授權(quán)的用戶才能訪問資源。而零信任SDP網(wǎng)關則在網(wǎng)絡層面實施細粒度的訪問控制,根據(jù)IAM的授權(quán)結(jié)果動態(tài)調(diào)整訪問權(quán)限。這種協(xié)同工作機制實現(xiàn)了從身份到網(wǎng)絡的全面安全控制,保障了資源的安全性和合規(guī)性,同時支持了靈活的訪問策略,以適應不斷變化的業(yè)務需求。

零信任終端:提供統(tǒng)一認證的Android、PC、iOS零信任安全終端,支持將企業(yè)各類型應用發(fā)布至終端,構(gòu)造零信任終端應用市場門戶,并提供企業(yè)級通訊錄,促進員工高效溝通與協(xié)作。

新一代SDP安全邊界:通過使用第三代SPA技術(shù),有效防止TCP SYN DDO、惡意嗅探、網(wǎng)絡掃描等攻擊,同時,最小化按需開放流量訪問窗口,建立更嚴格、更安全的零信任身份邊界。

統(tǒng)一身份治理中心:提供八大模塊、1000+功能的企業(yè)級身份管理中心,集中管理企業(yè)數(shù)字身份,提供認證、訪問、授權(quán)、審計、安全防護等全方位身份治理能力。

四、一體化零信任BingoIAM重塑邊界

4.1、基礎架構(gòu)說明

在零信任IAM的框架下,SDP和IAM零信任客戶端共同構(gòu)成了一個動態(tài)的安全訪問環(huán)境。用戶在嘗試訪問資源時,IAM零信任客戶端首先進行身份驗證和權(quán)限評估,然后通過SDP建立安全的訪問路徑。在整個訪問過程中,IAM持續(xù)監(jiān)控用戶行為,并根據(jù)實時反饋動態(tài)調(diào)整訪問權(quán)限,確保資源的訪問是種符合零信任的原則。

BingoIAM:零信任安全架構(gòu)的核心,它通過精細化的訪問控制策略,確保只有經(jīng)過驗證和授權(quán)的用戶才能訪問特定的資源。在零信任模型中,IAM的作用不僅僅是用戶身份的認證,更重要的是對用戶訪問權(quán)限的持續(xù)評估和動態(tài)調(diào)整。

IAM零信任客戶端:作為IAM的延伸,部署在用戶的設備上,負責執(zhí)行安全策略,監(jiān)控用戶行為,并與IAM服務器進行實時通信。通過集成多因素認證、設備合規(guī)性檢查、環(huán)境感知等安全措施,為用戶的每一次訪問請求提供上下文感知的認證和授權(quán)。

零信任控制器:核心管理組件,保護網(wǎng)絡邊界,通過隱身技術(shù)和早期握手驗證減少威脅,攔截未授權(quán)訪問,保證通信加密。并負責身份驗證、會話管理和實時策略下發(fā),確保系統(tǒng)組件和流程的高效集成。

業(yè)務網(wǎng)關:作為安全策略的執(zhí)行點,控制和監(jiān)控進出業(yè)務系統(tǒng)的所有網(wǎng)絡流量,確保只有經(jīng)過驗證和授權(quán)的訪問被允許,同時提供加密通信和日志記錄以增強安全性和合規(guī)性。

4.2、基礎流程說明 

1. 加載基礎憑證:由于認證服務(SSO)與零信任控制器均在零信任網(wǎng)關安全邊界的保護內(nèi),不可直接訪問。因此,在客戶端啟動時需加載基礎憑證作為客戶端初始身份,該身份憑證受安全策略管控,只能用于訪問認證服務與零信任控制器,用于完成初始登錄與憑證換發(fā)。

2. 用戶登錄:前端通過客戶端基礎憑證的身份訪問認證服務進行用戶登錄,成功登錄后獲取到SSO頒發(fā)的訪問令牌。

3. 注冊設備:前端獲取到客戶端設備信息,生成設備的唯一標識,攜帶第2步得到的訪問令牌請求認證服務,上報設備信息進行設備注冊,后續(xù)由IT管理員或自動審批機制對該設備進行準入審批。

4. 換發(fā)憑證:通過客戶端初始加載的基礎憑證、SSO頒發(fā)的訪問令牌、設備本身的標識,請求零信任控制器換發(fā)用戶憑證,標識唯一的用戶身份。

5. 業(yè)務訪問:使用第4步獲取的用戶憑證訪問安全邊界內(nèi)的經(jīng)授權(quán)的應用服務。

4.3、部署架構(gòu)說明

企業(yè)網(wǎng)絡環(huán)境的復雜性源于業(yè)務需求的多樣性(業(yè)務擴展、分支機構(gòu)、并購與合作)、技術(shù)演進的快速性(云計算、物聯(lián)網(wǎng)、移動計算、微服務架構(gòu))以及安全挑戰(zhàn)(全球化、遠程工作、數(shù)據(jù)泄露、網(wǎng)絡攻擊)的不斷變化。在這樣的背景下,零信任SDP架構(gòu)應適配包括多網(wǎng)架構(gòu)、云邊協(xié)同、地區(qū)網(wǎng)絡隔離、總部與分支機構(gòu)連接、數(shù)據(jù)中心、服務網(wǎng)格以及無線網(wǎng)絡在內(nèi)的多種網(wǎng)絡場景。

為應對當今企業(yè)面臨的復雜網(wǎng)絡環(huán)境,滿足不同規(guī)模和需求的企業(yè)網(wǎng)絡部署。零信任BingoIAM架構(gòu)提供了高效擴展模型,簡化網(wǎng)絡管理,同時提供必要的安全性和靈活性。

單控制器模型:在此模型中,控制器與業(yè)務網(wǎng)關集成于一體,提供完整的SDP功能。它適用于小型企業(yè)或資源受限的環(huán)境,如初創(chuàng)公司或小型辦事處,它們需要快速部署SDP解決方案而無需大量投資。這種架構(gòu)簡化了網(wǎng)絡的運維管理,通過集中化的策略控制,提高了對網(wǎng)絡安全態(tài)勢的響應速度和處理效率。

單網(wǎng)關模型:此模型包含一個控制器和一個獨立的業(yè)務網(wǎng)關,適合中小型企業(yè)使用。適用于企業(yè)需要更精細控制訪問權(quán)限的場景,例如,一個中型企業(yè)希望在保持成本效益的同時,為企業(yè)提供定制化的安全訪問策略。

多網(wǎng)關模型:通過一個控制器管理多個業(yè)務網(wǎng)關,旨在為不同安全等級、網(wǎng)絡流量的業(yè)務應用提供訪問控制。適用于大型企業(yè)或擁有多個業(yè)務單元的組織,它們需要對不同級別的業(yè)務數(shù)據(jù)實施分層安全保護。保持對特定區(qū)域或類型的流量進行定制化的安全控制,增強了網(wǎng)絡的靈活性和細粒度訪問管理。

多網(wǎng)域模型:包含多個可同步的控制器和業(yè)務網(wǎng)關,用于管理單個企業(yè)內(nèi)不同的網(wǎng)絡業(yè)務域。適用于跨地域經(jīng)營的大型企業(yè),需要在各個分支機構(gòu)間同步安全策略并統(tǒng)一管理。在不同地理位置部署多個控制中心,這種架構(gòu)不僅提升了網(wǎng)絡服務的冗余和容錯能力,還能夠根據(jù)地域特性和需求,實現(xiàn)更快速的本地化管理和服務,優(yōu)化了用戶體驗和網(wǎng)絡性能。

多中心模型:包含多個控制器和業(yè)務網(wǎng)關,每個控制器可以管理一個或多個網(wǎng)關,它們之間相互隔離。適用于需要高度隔離保護的多環(huán)境企業(yè),如金融機構(gòu)或政府機構(gòu),它們在不同的網(wǎng)絡中心運行著敏感數(shù)據(jù)。適合大型企業(yè)或需要地理分布控制點的組織,增強了可擴展性和高可用性。

云邊端模型:針對云邊端協(xié)同的場景,允許用戶在辦公終端通過加密隧道安全地訪問邊緣節(jié)點和公私混合云內(nèi)的業(yè)務資源。適用于零售或制造行業(yè),需要在云和邊緣計算環(huán)境中實現(xiàn)數(shù)據(jù)的快速處理和安全訪問。確保不同網(wǎng)絡區(qū)域之間數(shù)據(jù)傳輸?shù)陌踩院透綦x性。SDP的策略執(zhí)行和訪問控制功能,為多網(wǎng)域環(huán)境提供了強大的安全保障,有效防止?jié)撛诘木W(wǎng)絡攻擊和數(shù)據(jù)泄露。

多云模型:針對多云環(huán)境,用戶可以在辦公終端通過加密隧道訪問不同云服務提供商的業(yè)務資源。適用于科技和媒體公司,它們利用多云策略來優(yōu)化性能、成本和安全性,同時需要確保數(shù)據(jù)的一致性和保護。支持企業(yè)通過互聯(lián)網(wǎng)實現(xiàn)語音、視頻和數(shù)據(jù)通信,無論員工身在何處,都能保持高效的協(xié)作和溝通。SDP的靈活性和可靠性,為跨國、跨地公司提供了無縫的通信解決方案,促進了企業(yè)內(nèi)部業(yè)務的順暢運作。

五、總結(jié)與展望

在當前復雜多變的網(wǎng)絡安全環(huán)境中,SDP(軟件定義邊界)技術(shù)以其獨特的身份驅(qū)動安全防護、細粒度訪問控制策略和對零信任模型的支持,正成為身份管理和網(wǎng)絡安全領域的新寵。BingoIAM的零信任解決方案通過集成SDP能力,不僅提升了企業(yè)資源的保護水平,加強了訪問控制,還簡化了網(wǎng)絡架構(gòu),降低了成本。

展望未來,隨著網(wǎng)絡安全威脅的不斷演變,BingoIAM將繼續(xù)深化SDP技術(shù)的應用,加強與零信任模型的融合,提升系統(tǒng)的靈活性和響應能力。同時,BingoIAM也將不斷優(yōu)化其零信任架構(gòu),為企業(yè)提供更為安全、靈活和可靠的網(wǎng)絡環(huán)境。

連接合并復用:為減少安全隧道建立的時間消耗,支持多個請求通過單一的長期連接并行傳輸,從而提高效率和減少延遲。

弱網(wǎng)訪問優(yōu)化:提供無連接的通道和請求機制,能夠在網(wǎng)絡條件不佳時提供更穩(wěn)定的連接和更快的傳輸速度。

持續(xù)監(jiān)控響應:實時監(jiān)控用戶和設備的行為,及時應對和恢復安全事件,降低安全漏洞的風險。

智能化/自動化:利用人工智能和機器學習技術(shù),實現(xiàn)自動化的安全決策和威脅檢測,提升安全操作效率。

我們將持續(xù)探索身份安全的革新成果,期待BingoIAM在信創(chuàng)領域創(chuàng)造更多的價值

敬請 期 待

更多BingoIAM的相關信息,將在近期的產(chǎn)品發(fā)布會上一一揭曉,掃描下方二維碼馬上預約吧!

編 輯:孫秀杰
飛象網(wǎng)版權(quán)及免責聲明:
1.本網(wǎng)刊載內(nèi)容,凡注明來源為“飛象網(wǎng)”和“飛象原創(chuàng)”皆屬飛象網(wǎng)版權(quán)所有,未經(jīng)允許禁止轉(zhuǎn)載、摘編及鏡像,違者必究。對于經(jīng)過授權(quán)可以轉(zhuǎn)載,請必須保持轉(zhuǎn)載文章、圖像、音視頻的完整性,并完整標注作者信息和飛象網(wǎng)來源。
2.凡注明“來源:XXXX”的作品,均轉(zhuǎn)載自其它媒體,在于傳播更多行業(yè)信息,并不代表本網(wǎng)贊同其觀點和對其真實性負責。
3.如因作品內(nèi)容、版權(quán)和其它問題,請在相關作品刊發(fā)之日起30日內(nèi)與本網(wǎng)聯(lián)系,我們將第一時間予以處理。
本站聯(lián)系電話為86-010-87765777,郵件后綴為cctime.com,冒充本站員工以任何其他聯(lián)系方式,進行的“內(nèi)容核實”、“商務聯(lián)系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權(quán)。
相關新聞              
 
人物
中國電信李峻:只有當人工智能成為公共基礎設施,才能普惠大眾
精彩專題
2024中國算力大會
2024年國際信息通信展
中國信科亮相2024年國際信息通信展
第25屆中國國際光電博覽會
CCTIME推薦
關于我們 | 廣告報價 | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號-1  電信與信息服務業(yè)務經(jīng)營許可證080234號 京公網(wǎng)安備110105000771號
公司名稱: 北京飛象互動文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復制、鏡像