Page 27 - 金融科技视界2023-4期
P. 27
Technical Tracking
技术追踪
关实现的SPA(单包认证)特性,采
用先身份认证后网络连接的机制,
隐藏了远程办公对外暴露的服务;
二是实现了以应用为粒度的精准按
需开放访问需求,解决了VPN只能
按网段或IP地址粗粒度过度授权的
问题,整体降低了传统远程办公场
景的安全隐患。
2.MicroSegment解决方案。
通过在内网区域部署集中式或分布
式代理网关及控制中心,为资产提供
图 零信任安全架构
注:安全控制中心(图①)作为安全控制平面的计算点,以实现对业务访问端到端的多 应用间的细粒度隔离,改善了企业内
维度信任评估,并指导可信代理网关(图②)在网络层执行实时评估的结果,实现动态 网粗犷的网络分区和大量无授权访
授权可访问资源。
问的松散控制的现状。实现方式目前
分为SDN网络微分段、主机微分段、
容器微分段三种技术流派。
零信任解决方案 S D N 网 络 微 分段 是 一种 基 于
SDN网络的微分段技术方案,SDN
目前业界已经实现的零信任解决方案可以分为两大类,一类 的结构天然支持控制与执行解耦,
是侧重于增强边界安全防护的SDP(软件定义边界)解决方案, SDN控制器作为微分段控制中心、
另一类是侧重于加固内部应用间访问控制的MicroSegment(微 leaf交换机作为代理网关。它利用
分段)解决方案。 VxLAN等overlay网络技术与SDN
专用设备的结合,通过将网络空间内
1.SDP解决方案。通过在网络边界部署代理网关和对应的 部的主机分组并利用网络协议的特
策略控制中心,为外网到内网的边界业务数据提供访问安全控 定字段进行标识区分,同时在SDN设
制。在实现方式上,代理网关存在两种差异化形式:软件形态和 备上构建实施组间流量控制策略,从
硬件专用设备形态两种,软件形态部署灵活,硬件形态转发能力 而达到比单独使用VLAN/VxLAN
强,一般根据场景实际需求选择合理的软件或硬件实现方案进 更细粒度的访问控制。
行部署。以远程办公场景为例,传统的远程办公场景中最大的
安全隐患在于SSL-VPN Server始终存在互联网暴露面,一旦黑 主机微分段则是一种基于主机
客成功利用SSL-VPN Server存在的安全漏洞,流量将绕过互 的微分段解决方式,它通过在应用侧
联网DMZ分区所部署的各类安全监控设备,直接入侵到企业内 植入轻量级Agent,纳管系统防火墙
网中的各个办公系统。而零信任SDP解决方案一是通过代理网 并收集用户态网络连接信息,实现对
2023.4 金融科技视界 25
