阿威十八式 发表于 2024-8-4 21:44
  
非常好的实践教程,谢谢分享
江南岸别离 发表于 2024-9-16 09:47
  
感谢分享,学习一下~
【2022争霸赛*干货满满】深信服Atrust零信任实施方案规划说明分享
  

山东_朱文鑫 185175人觉得有帮助

{{ttag.title}}
本帖最后由 山东_朱文鑫 于 2022-9-16 23:19 编辑

大家好,我是大白,正所谓黄沙百战穿金甲,不破楼兰终不还,我也在努力的给大家展现更多更加优质的帖子,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。

大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!

好的废话不多说今天讲一下深信服Atrust零信任实施方案规划分享,因为此次案例的整个流程以及配置相对比较复杂并且非常的长,所以本次只针对整个流程做一个总结性的概述讲解进行发帖,后续根据情况会分步进行讲解配置使用。

首先说一下零信任是什么?有什么用?深信服 aTrust 零信任访问控制系统是基于零信任理念设计的 SDP 产品。aTrust 以身份为中心,用身份重塑边界;通过网络隐身、动态业务准入等实现可信访问;通过动态权限控制、权限基线工具等实现智能权限;通过免客户端、权限申请自服务等实现简单运维。深信服零信任访问控制系统,为用户构建更安全、体验好的安全解决方案。

深信服零信任访问控制系统aTrust整体由控制中心、安全代理网关、客户端组成,其中控制中心与安全网关部署在服务端,客户端部署在终端设备上。在服务端侧,控制中心是整个访问控制系统的大脑,在访问者与资源之间建立动态、细粒度的访问规则,并将访问规则下发给安全代理网关,安全代理网关依据规则对用户流量进行代理转发。

此次项目的:

本次深信服的零信任aTrust实施的主要目的,对在网络建设方面提出的相关需求,结合深信服零信任aTrust设备的安全接入能力,进行有效的部署。解决数字化转型过程中的内部威胁,包括权限化最小化、缩小数据暴露面、动态的权限控制和访问策略。满足企业在数字化转型过程中面临安全问题,做好安全稽查,发现安全风险,规范员工行为,并能灵活适配企业数字化转型下的移动化和云化趋势。



方案设计说明


为实现项目目标,结合深信服零信任设备的安全能力,进行有效部署,解决身份的最小权限化,有效缩小数据暴露面,和通过动态的权限控制和访问策略,有效解决数字化转型过程中的内部威胁。满足内部监控和外部合规要求,实现用户和资源的统一管控,整体方案规划设计如下:

1.零信任aTrust旁挂部署,旁挂在交换机上,不更改原有网络拓扑结构,对客户的网络影响降到最低,并给aTrust单独规划一个管理口。

2.配置【用户管理】,客户的用户目录分为CAS目录和本地目录。其中CAS是要对其服务器进行同步,获取账户名和其电话号码;而本地目录通过导入的方式进行添加。

3.配置【认证管理】,此次有两种主认证方式。一种为CAS认证,一种为本地认证。两种认证与把授信终端和短信认证相结合的用户自主授权绑定的二次认证进行想结合。完成最终认证方式。

4.配置【应用管理】,获取客户内网的应用资产,是隧道或WEB模式完成应用的的发布配置。主要是WEB的全网资源(知网和图书馆资源)。

5.配置【授权】,通过资源与角色进行关联,结合用户或者账号,方便与用户与资源之间的管控。

6.配置【策略管理】,包括用户防爆破、密码安全等,对用户登录和应用访问过程中进行全面的安全防护。

7.配置【安全策略】,只要用于上线准入模块,对客户端接入内网的PC端进行扫描,安装接入内网时,其PC的安全把保障。

8.部署外置数据中心,或对接syslog日志服务器,将aTrust上相关的日志信息,发送出去,用户行为分析和日志存储。

业务流量走向:

aTrust控制中心和代理网关旁挂部署,不参与业务流量选路,只有在设备故障或直连线路故障时才会影响业务流量走向。aTrust旁挂模式部署,需注意流量来回路径一致。

正常通讯的业务流量如图:



功能规划


用户目录是用来管理各认证服务器的用户信息(如手机号)和组织结构,同时可管理认证服务器组织架构和用户的应用访问授权。

新建用户目录,支持带管理接口自动获取用户,也支持不带管理接口自定义获取用户(批量导入用户)。

基于服务器同步使用的用户目录,其支持对服务器上用户的结构通过同步的方式,获取到零信任用户目录中,方便其他认证方式和用户授权。





认证服务器:


aTrust设备支持多种主认证和辅助认证的方式,用户可根据现场实际情况,进行认证对接。实现用户在登录认证服务器的同时上线aTrust,避免重复认证,提高体验性。

此次与零信任设备对接的是CAS认证服务器。



认证策略:


aTrust支持实现,不同的用户使用不同的认证策略。且在不同的认证策略下,用户登录的过程中存在不同的认证形式。

主认证:CAS认证、本地认证。

辅认证:授信终端、短信认证

此次实施是基于两部分用户目录进行认证的,分别是CAS认证和本地认证;而辅认证则是通过授信终端用户自主授信的方式(短信认证)来进行验证的







安全检查策略:


对用户PC终端进行安全管控,禁止接入设备在接入内网时启用了抓包等黑客软件的进程。此次安全检查策略可通过对用户进行设置。

此次配置[上线准入策略]设定终端的PC用户,若开启某些黑客软件的进程,就将其进行阻拦,禁止其接入内网。



用户权限策略


管理员需要对不同部门的人员,如财务部、IT部、信息部等不同的部分进行不同的授权,通过对组和用户的授权,实现用户精细化授权。

1.进入[用户管理]配置页面内,我们可针对不同的组织架构(如财务、IT等)进行不同的应用授权,减少权限放大的问题。

2.同时,可对特定的人员(如跨部门的人员,一个用户即需要访问财务,也需要访问IT部的部分资源),那么将这部分的人,组合成一个群组,进行授权。

3.可针对单个用户进行授权,将授权的颗粒度缩小至用户层面。





策略管理


对于用户接入的整体安全性,我们配置针对用户的策略,包括全局策略和用户策略。其中全局策略是针对所有用户的安全策略,用户策略可实现针对特定用户,配置不同的安全防护。

1.全局策略,可配置防爆破、密码安全策略等配置

   可配置防爆破策略,防止黑客获取了用户名后,尝试性登录,限制用户登录错误的次数。设定登录错误次数,如果过多就锁定用户,或锁定IP,以此来实现终端接入的安全性。

   设定密码安全策略,设定用户首次登录强制性修改密码,同时设定密码的有效期。



2.用户策略,可配置针对用户账号(本地)方面的限制


   针对本地用户进行在线设备PC端和移动端的限制,同时对其超时注销的时间等进行配置,若到了规定时间,即可进行自动注销。




外置数据中心


为了满足行业监管需求和企业内部审计要求,需要保留日志六个月以上。保存日志的同时,希望能对用户日志进行一定的分析,通过图文进行显示。

1.准备零信任的外置数据中心,安装好外置数据中心设备。

2.在[审计中心/外置日志中心]中,完成外置数据中心的配置,实现用户日志同步给外置数据中心设备保存。并实现用户日志的审计和展示,提高运维效率。



终端管理:


   终端列表用于展示所有曾经登录过的终端的信息,包括终端名称,类型,atrust版 本,硬件特征码等,具体可展示的信息可以点击右上角的进行查看。管理员可 以在本模块对列表中的用户进行授信该终端的操作。(可再次开启硬件特征码的识别。)


网络规划:

与客户沟通好配置aTrust设备的网络路由回包,上连核心交换机配置aTrust设备的网关地址,同时配置路由指向aTrust网络,保证网络正常访问。

资源发布:

此次资源发布分为WEB资源、隧道资源和WEB全网资源。

隧道资源单纯的是以IP+地址的形式进行发布。

WEB资源发布是基于7层进行发布的。

其中:因为要发布知网和图书馆资源,所以要进行WEB全网的发布(需要客户方有泛域名、DNS服务器、泛域名认证证书),WEB资源要在WEB全网发布后再进行发布,隧道资源发布按需即可。

   本次分享贴主要还是针对方案规划的说明式分享,详细的配置以及全过程是非常的多,一篇是没有办法进行叙述完成,并且长贴对于阅读者的耐性要求还是比较高的,为了方便大家进行借鉴,后续会针对配置逐一进行解析说明。

  整个项目的实施主要是对于CAS服务器的对接使用以及知网这种泛域名的配置,再就是零信任要发布域名进行登录管理设备是需要零信任写HOST才可以正常访问使用。

以上就是本次的深信服Atrust零信任实施方案规划说明分享,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!

励志分享超清壁纸语句~~:



青春并不是指生命的某个时期,而是指一种精神状态。——塞·厄尔曼


好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!

打赏鼓励作者,期待更多好文!

打赏
45人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
新版本体验
技术盲盒
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

25
14
5

发帖

粉丝

关注

本版达人