aTrust零信任

零信任是一种安全理念,其核心思想是“从零开始信任”,即在网络安全中不默认信任任何用户、设备或应用。零信任的实施通常依赖于严格的身份验证和授权机制,以确保只有经过验证的用户和设备才能访问特定资源。

零信任的定义

  1. 理念基础:零信任的本质是以白名单的思路进行建设,强调在任何情况下都不应默认信任任何人或设备。
  2. 技术架构:零信任可以通过不同的技术架构实现,例如SDP(软件定义边界)和微隔离技术。SDP主要解决终端到业务的安全问题,而微隔离则用于服务器间的安全。

零信任的作用

  1. 动态权限控制:通过身份验证和动态权限控制,零信任能够根据用户的行为和环境动态调整访问权限,从而减少潜在的安全风险。
  2. 增强安全性:零信任架构能够有效防止内部和外部的安全威胁,确保只有经过授权的用户才能访问敏感数据和应用。
  3. 适应多种场景:零信任理念可以应用于多种场景,包括企业内部网络、云环境以及远程办公等,提供灵活的安全解决方案。
  4. 全面的安全防护:通过与其他安全组件的联动,零信任能够实现全方位的安全防护体系,提升整体的安全性。

零信任对威胁的应对方法

针对外部威胁

多源信任评估:

  • 身份可信:通过多因素身份认证
  • 环境可信:对终端环境进行病毒、木马4、漏洞检测,防止已失陷终端访问业务
  • 行为可信:持续分析用户行为,及时发现潜伏威胁、攻击行为、病毒、木马
  • 访问控制(授权/阻断):根据信任评估结果,授权或阻断访问

针对内部威胁

采用NAC(802.1x准入)+FW(传统防火墙):

通过NAC实现身份化,将身份转换为IP,再由FW基于源IP段做粗粒度ACL访问控制

实现零信任:

零信任是基于身份的访问控制,去除对IP的依赖,做更精细化的访问控制,缩小信息暴露面

去除对IP的依赖后,同时适用于内网访问和移动办公

零信任四大场景

  • 移动场景
  • 内控
  • 多云安全访问
  • 统一访问控制

  • 移动场景

    • 环境检测与准入

    • 低危协议,体验优先;

      1. 对于访问B/S类Web应用,不建议做终端环境检测,优先考虑免客户端使用纯浏览器进行访问,获得最佳用户体验,免去终端运维成本;因为B/S应用几乎不存在终端感染到服务器的情况(除WebShell等主动攻击行为以外)。
      2. 对于Web服务器漏洞及WebShell使用IPS、WAF等产品进行常规防护。

    • 中高危协议,安全优先:

      1. 对于所有C/S应用,均建议开启终端环境检测,以防止中毒终端通过RDP、SSH、Redis、Sqlserver、IPC$等协议向内部服务器感染。
      2. 对RDP协议、SSH协议等高危协议,建议再加一层堡垒机防护(或使用RDP、SSH代理)。

    • 准入控制,用于推送安全基线,如:

      1.要求终端必需打齐操作补丁才允许访问C/S应用:

      2.要求终端必需安装杀毒软件;

      3.要求终端杀毒软件病毒库未过期,

    • 轻量级防病毒

  • 内控:数据访问安全

    • 流量身份化
    • 资产发现
      • 上线前资产梳理
      • 上线后,持续发现新建业务
      • 持续监控,发现违规/风险资产
    • 构建权限基线
    • 构建安全基线
    • 安全可视

  • 业务上云

    • 由控制器做统一的认证、鉴权
    • 认证鉴权通过后,同时可以连接多个数据中心

  • 统一访问控制

    • 零信任理念:零信任的本质是从零开始建立信任,采用白名单的方式进行安全建设。它强调在任何情况下都不应默认信任任何用户、设备或应用,所有的访问都需要经过严格的认证和授权。
    • 动态权限控制:aTrust通过身份重塑边界,利用动态权限控制和权限基线工具,实现智能权限管理。访问规则是动态的,会根据用户的访问行为、环境及业务系统的特性进行调整,从而有效防止对业务服务器的威胁。
    • 身份为中心:aTrust支持自适应身份认证,能够在用户使用弱密码、在异常时间段或异地登录时进行增强认证。这种方式在授信终端和内网环境中可以免去辅助认证,提供更好的用户体验。
    • 系统架构:深信服的零信任访问控制系统由控制中心、安全代理网关和客户端组成。控制中心负责建立和下发访问规则,安全代理网关根据这些规则对用户流量进行代理转发,客户端则负责终端安全风险的上报和网络数据的引流。
    • 安全防护:aTrust提供开放API接口,可以与其他安全组件联动,通过对安全组件上报的信息进行统一处理,形成全方位的安全防护体系。

aTrust与SSL VPN的区别

  • SSL VPN 典型安全痛点:
    • _端口之痛_:VPN产品无一例外,都需要开放网络端口进行监听,这无疑是门户洞开,攻击者可以全天候的对VPN进行密码爆破、注入攻击尝试等,并往往最终得逞。
    • _认证之痛_:VPN产品采用静态认证方式,安全性弱。缺乏终端认证、自适应多因子认证等能力;VPN一次认证始终访问的工作模式无法在用户访问过程中持续验证用户身份和终端是否可信。
    • _权限之痛_:VPN产品提供网络隧道接入能力,用户拨通VPN后,事实上就和内网在网络层面打通了,用户终端上的恶意软件,意图不轨的用户都可以肆无忌惮的对内网资源进行访问和窃取。
    • _漏洞之痛_:VPN产品漏洞层出不穷,攻击者利用VPN漏洞极易绕过VPN用户验证,直接进入VPN后台将VPN作为渗透内网的跳板,进行肆意横向移动。
    • _架构之痛_:VPN产品作为远程接入的专用产品,大多属于单体架构,自成一体,和其他安全能力,比如终端安全能力、权限管理系统、威胁检测系统等难以打通;事实上,VPN在安全运营范畴也经常位于 “遗忘角落”。
  • aTrust解决方案:
    • _端口隐藏_:基于SPA单包授权技术,默认情况下端口全隐藏,业务全隐身,只有验证用户和设备身份的合法性后,才针对合法用户合规终端开放网络端口和业务访问权限。有效缓解DDoS攻击、流量攻击、端口扫描、远程注入等威胁。
    • _最小权限_:遵循最小权限原则,基于场景化应用授权而非网络全开放,用户只能访问完成其日常工作所必须的应用资源。访问权限可以基于角色、访问上下文、访问者的信任等级等多维属性制定,并可在风险发生时动态实时撤销。
    • _自身安全_:内置WAF组件,有效缓解漏洞注入、溢出攻击等威胁;内置RASP模块,抵御基于传统签名方式无法有效保护的未知攻击,同时具备基于自学习的进程白名单和驱动级文件防纂改能力。
    • _持续验证_:通过自适应多因子认证能力,根据人员、终端、环境等因素动态调整认证策略,兼顾安全与易用,访问过程中,根据风险情况,持续验证用户身份是否可信;另外,不仅仅验证人员身份,还持续对终端设备身份、设备归属、设备健康度进行评估。
    • _架构安全_:在统一的零信任架构视野下构建远程安全访问能力,避免远程接入场景成为整体安全能力的短板,且可持续扩展到其他业务场景,最终实现全场景零信任架构。

设备部署

  • 硬件部署
  • 软件部署

硬件部署

零信任aTrust分为“分离式部署”和“综合网关部署”两种形式

分离式部署有控制中心、代理网关两台设备

  1. 控制中心设备:型号以字母“C”结尾,例如:aTrust-1000-B1080C。
  2. 代理网关设备:型号以字母“G”结尾,例如:aTrust-1000-B1060G。
  3. 综合网管设备:型号以字母“M”结尾,例如:aTrust-1000-V1050M。

深信服aTrust设备,控制中心和安全代理网关的默认的出厂IP均为ETH0:10.254.254.254/24。

如果电脑连接的是aTrust设备控制中心或安全代理网关的ETH0口,需要线在电脑上配置一个10.254.254.0/24网段的地址,打开浏览器输入https://10.254.254.254:4433 登录设备网关控制台。控制中心或安全代理网关控制台管理端口是4433

软件部署

支持虚拟化部署的平台:

  1. 深信服超融合平台(HCI V5.8.6及以上)
  2. VMware 5.0及以上,使用KVM虚拟化技术,支持qcow2格式导入的虚拟化环境
  3. 各种常见公有云平台,如阿里云、腾讯云、华为云、亚马逊云等

参数要求:

配置项 控制中心(SDPC) 安全代理(Proxy) 综合网关
CPU 8核 4核 8核
内存 16GB 8GB 16GB
磁盘 200GB 200GB 200GB
网口数 4个 4个 4个