头像被屏蔽
新手612152 发表于 2023-1-21 19:31
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
司马缸砸了光 发表于 2023-1-21 19:39
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手078326 发表于 2023-1-21 19:51
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
司马缸砸了光 发表于 2023-1-23 16:17
  
提示: 作者被禁止或删除 内容自动屏蔽
白鹭先生 发表于 2023-1-24 19:53
  
非常好的分享,对后续的项目实施很有帮助
头像被屏蔽
新手780102 发表于 2023-1-25 12:54
  
提示: 作者被禁止或删除 内容自动屏蔽
水之蓝色 发表于 2023-1-27 13:20
  
感谢楼主分享,学习一下!!!!!
头像被屏蔽
小高菜奈 发表于 2023-2-3 08:55
  
提示: 作者被禁止或删除 内容自动屏蔽
新手448129 发表于 2024-7-18 17:38
  
文章内容较乏味,建议楼主稍微润色下;
新人成长——atrust知识点分享。。。。
  

维客闯天涯 171543人觉得有帮助

{{ttag.title}}
aTrust——零信任

零信任:零信任是一种全新的安全架构理念,核心思想是“从不信任,始终校验”,以身份为核心去实现对人、设备、系统、和应用的全面、动态、智能的访问控制。
           并基于业务场景的人、环境、访问上下文等多维因素进行持续评估的,同时通过对信任等级、权限进行动态调整,形成具备动态自适应的安全闭环体系。

为什么需要零信任:
       使用场景:远程办公需求。
       安全场景:1.传统网络环境是按照分区来进行划分的,也就是基于防火墙的内外网,默认内网就是安全的
                但是现在数字化转型,企业的边界是不断虚化的,不是说传统网络内外网就直接划分了,多个数据中心等等这些场景很常见
           2. 还有就是传统默认认证后的用户就是可信的,
        过度VPN ——远程登录如果用户账号信息被爆破了,业务系统就会导致泄露,这也是VPN为什么那么多漏洞的问题。

针对VPN有什么提升
        1.VPN端口及认证页面暴漏问题,VPN产品都要开放网络端口进行监听,攻击者就可以全天候对VPN进行攻击          ——SPA端口隐藏
        2.认证问题:VPN一次认证通过之后就通过了,缺少终端全周期的一个检测,并不会在访问过程中持续验证用户身份和终端信任情况    ——最小权限   
                        访问权限可以基于角色、访问上下文、访问者的信任等级等多维属性制定,并可在风险发生时动态实时撤销。
        3.权限问题:访问权限固化   ——持续验证——动态权限调整
        4.漏洞问题:VPN漏洞很多      每次护网期间要关闭VPN,因为作为跳板机   ——持续验证
        5.架构问题:VPN大多单成一体,很难和其他产品进行联动     ——aTrust可以,比如说实现VDI和aTrust单点登录。

aTrust的思考,如何才能安全的远程办公呢
        1.访问必须是要在合规的终端上发生的。       终端环境检查(MAC地址、杀软、防火墙、补丁、进程等还有密码强度网络区域等到)
        2.访问的人必须是合法的,需要确认访问者的身份。        (多种身份认证方式,确保登录身份合法)
        3.数据通信传输的过程中需要进行加密,防止互联网传输时被抓包,监听。
        4.确保访问权限,相关业务只能允许相关业务需要人员访问。  (静态权限授权,按需收缩权限)
        5.确保下载到终端上的文件和数据不被泄露的        提供安全工作桌面
        6.这个访问行为是能进行审计的,日志是可以进行留存的        支持访问行为审计(谁、在什么时间、用什么终端、通过什么认证方式、访问什么业务系统、做了什么操作)

aTrust产品形态
        aTrust分为控制中心和代理网关,就是一个控制层次的一个数据层次,由控制中心区指挥代理网关,用户访问资源的时候,这个资源首先是被保护的,
        我这个访问要先经过控制平面去进行处理,包括 我这个设备的信息,用户身份的        认证和授权都是由控制中心进行处理的,控制中心完成检查 ,确定
        数据合法性之后,去匹配数据层面的代理网关,为访问请求者和被访问的资源之间协调相应配置。

        如果我这边不合法,比如atrust发现我这边终端已经失陷了(atrust有轻量级防病毒能力),客户端上报给aTrust控制器,控制中心通知代理网关执行安全基线
        去阻止失陷主机访问C/S类型的系统业务,但是B/S正常访问,不影响办公。

        最早出现是通过分离式形式出现的,两种产品形态。
        第一种是综合网关形式,控制中心和代网关二合一,这种情况适合于1000并发以内的规模。
        第二种是分为控制中心和安全网关两台设备,适合1000并发以上规模的场景,控制中心负责用户认证集群管理,代理网关负责隧道建立,数据转发和策略执行
        网关可以分部在不同的数据中心或云平台,用户登陆后访问不同数据中心的业务时,自动由对应的网关代理转发。

aTrust部署模式
        aTrust部署的话有两种模式,一种是网关模式部署,一种是旁路模式部署,基本都是旁路模式部署
        旁路模式部署就旁挂到核心交换机上,终端到控制中心通就行了,然后代理网关到内网服务器群通就可以了
        以C结尾是控制中心,以G结尾是代理网关,以M结尾结尾的是综合网关,支持虚拟化部署,最低要求8核16G 500G。
        然后具体各个平台虚拟化部署不展开了,注意的就是默认密码也不一样,大家注意一下部署后别同时开,因为地址默认一样。
        修改后进后台用户名还是admin  密码是后面加@sdp。

aTrust集群部署
        控制中心和代理网关都可以分别组建集群,组建集群的时候分为两种,就是主主和主备,主主—就是负载均衡,实现更多用户接入,响应速度更快
        主备,就是一个节点失效后业务可转移,不中断业务          组建集群的要求就是,硬件的CPU型号核数主频必须一致
        还有软件版本授权一致,虚拟机只能和虚拟机组建本地集群,硬件只能和硬件组建集群。

用户,资源,角色
        然后具体使用的时候整个用户层次的框架是和VPN差不多,用户,资源和角色,角色用来吧用户和资源关联在一起
        用户的话分为本地用户和外部用户,可以将第三方用户批量导入atrust,外部用户支持AD域、企业微信,钉钉
        认证方式主要分为主认证和辅助认证
        主认证有:用户名密码认证,钉钉、企业微信认证、AD认证,CAS票据认证,radius账号认证,证书认证,短信认证
        辅助认证有:短信辅助认证。TOTP令牌认证,radius令牌认证
        钉钉微信这些认证需要提前在设置里面进行一个启用才行,
        然后我们认证的时候可以去设置,进行一个相应的免二次认证,举例办事处换电脑
        资源的话分为两类,一种是web资源(443),一种是隧道资源(441),web资源可以实现免客户端登录
        这个免客户端登录指的是我不用去下载客户端,但是输入网址的话如果你没有认证就会跳转到控制中心那个接入页面做认证
        执政之后就可以访问WEB应用,这个认证主要是建立一个隧道本身的认证。

资源发布
        1.web应用
        规则:1、应用地址必须为IP或域名
                  2、访问地址必须为域名,不能为IP
                  3、手心证书需提出后缀域名与访问地址后缀域名不同的证书
                  4.授信证书默认选中顺序:相同单域名证书>包含该域名的多域名证书>泛域名证书>包含该域名后缀的泛域名证书的混合域名证书>内置证书
                  5.默认选择透明代理模式,透明代理模式浏览器不兼容的话选择智能改写模式
                 6.发布应用时候前端地址若写其他端口,代理网关也需要向外映射这个端口
                 7web资源前端访问地址解析到代理网关
        
      ps证书分类小知识点:
             SSL证书的第二个分类维度:根据单个证书保护的域名数分类。
[size=13.3333px]            单域名版:顾名思义,就保护一个域名。如果该域名前缀是 www,则通常可以免费保护不带 www 的根域名。
           多域名版:即可以保护多个域名的SSL证书。即 Multi Domain SSLFlex SSL 等。他们支持一张证书可以保护多个域  名,且这多个域名不仅限于相同根域名的子域名。
            通配符版:也俗称“泛域名”SSL证书,是目前较为流行的SSL证书版本。它可以保护同一级所有的子域名,不限制子域名数量,且无需对每个子域名进行验证,使用起来非常方便。
        
        
        1、透明代理模式:其实就类似于负载均衡或者可理解为nginx直接proxy_pass。此情况下,如果本身业务系统就是域名化的,那么建议前端访问域名(即用户浏览器中输入的域名)和后端访问域名(atrust代理网关访问的内网域名) 保持 一致,能减少不必要的改写问题。 注:透明代理模式下,如果发生不规范的访问,需要推动业务系统改造; 或者单独配置内容改写规则,由atrust进行改写。
        
        2、智能改写模式:aTrust会通过智能分析HOOK技术,在浏览器前端和后端流量侧,对不规范内容进行智能改写。
        a)、后端流量 – 由于流量经过了代理网关,对网页内容中的明文进行内容替换(从http改为https,从IP改为域名,从后端域名改为前端域名);
        b)、前端浏览器-- 通过代理网关注入Javascript脚本,对ajax请求、URL跳转等多个涉及到URL地址的地方进行hook,从而解决掉前端产生的绝对路径访问问题。
        
        依赖站点——在智能改写模式下应用,适用于WEB页面下有很多子应用的场景,如qq.com下有cf.qq.com
                                开启条件:必须要有泛域名证书并导入,导入后将下属站点地址填到依赖站点中,设备会对前端访问地址改写。
        
        2.隧道应用:基于终端C/S架构应用接入安全制定的一种访问内网资源的方式
                            选择TCP长链接,配置应用防护策略后,访问不符合策略时会直接阻断,不支持提示语显示和豁免补救
                           TCP协议支持单个IPIP范围、IP段及域名,域名支持通配符;UDP/ICMP/ALL协议仅支持单个IPIP范围、IP段,不支持域名
        
        3.免认证应用:客户有自己的统一身份认平台,实现atrust与业务系统单点登录,当客户认证服务器部署在内网,外网用户访问应用,必须登录atrust才能代理访问,但是其自身登录也依赖于统一身份认证平台,存在矛盾。此时,将同一身份认证平台发布成免认证应用,不需要经过认证,仍然由代理网关代理访问,进入内网,登录。
         实现逻辑:外网用户访问应用——atrust不认证代理访问内网统一身份认证平台进行登录
        步骤:1、新增免认证应用   2、新增免认证服务器

安全基线

        之前说的atrust安全很nb,比VPN厉害好多,具体再安全基线设置
        安全基线,之前说的终端环境检测那些就是通过安全基线这个模块来实现的,     先不说    安全基线包括终端准入,上线准入,业务准入
        我通过安全基线可以去实现一个防护,可以根据相应条件进行一个对应的设置
        比如收我去限制客户端是否从指定的代理网关接入,是否从所允许的地域接入,她所要接入的资源,是否符合我给他的一个设定,还有他接入的这个终端
        是什么终端,是否符合我的要求,他这个终端上是否打上了相应的补丁,终端是否安装杀毒软件,是否开启防火墙,还有你登录的时间是不是正常时间,
        是不是你的常用设备,这些都可以进行检测,除过这些还可以针对应用进行设置,比如说我A应用敏感度比较高,必须安装指定的杀毒软件才行,
        B需要特定环境C不做限制
        访问过程中中毒怎么办——动态ACL,就是自适应访问控制,我同样的终端和用户,不通的网络环境中,访问高敏感性应用,

  但是我们设置的时候
        1.对于访问B/S类Web应用,不建议做终端环境检测,优先考虑免客户端使用纯浏览器进行访问,获得最佳用户体验,免去终端运维成本;
             因为B/S应用几乎不存在终端感染到服务器的情况(除WebShell等主动攻击行以外)
        2. 对于所有C/S应用,均建议开启终端环境检测,以防止中毒终端通过RDP、SSH、Redis、Sqlserver、IPC$等协议向内部服务器感染。

SPA——单包授权
        为了解决端口一直暴露的情况,就是我对你所有要连接服务器的数据包进行一个认证授权,服务器通过后,才能响应。
        第一代UDP敲门,开放一个固定端口,有敲门放大风险。相当于我不想给你微信,我给你了个QQ,你只有加了我的QQ才能加我的微信
        缺点1:慢,加了qq太慢,2:本地IP共享出去了,所有人都去通过我这个名义加你的微信去了。
        第二代开放一个TCP端口,第三代,UDP敲门再验证TOTP令牌。

        比如说没开启SPA,就去SSL四次握手,我这边都可以去和你握手,恶意扫描,爆破,DDOS都可以
        开启SPA  就是等于我关闭正常握手途径,不是谁都能发起握手,只有携带对方授信的一个SPA种子才能去建立连接,我才会去响应你
        数据流大概是这样,客户端对访问服务器的流量进行劫持,然后生成动态令牌插入包里面,服务器收到校验,听上去安全很多,但是用户这边是没增加啥操作的
        SPA种子的分发,1.下载带种子的安装包2.开启SPA白名单,在规定时间和环境下,用户登录客户端后系统自动下发种子
        结合硬件特征码进行一个绑定,吧磁盘偷了放在其他电脑也无法使用。



二、产品问答

1.带SPA种子的客户端,换一个用户可以登录吗?
答:不能,因为结合硬件特征码进行一个绑定,即使磁盘偷了放在其他电脑也无法使用。

2.综合网关和分离式部署安全性能有区别吗?
答:这俩的区别就是并发数的区别,综合网关适合1000并发以下,分离式适合1000并发以上。

3.SPA第二代技术是如何实现的
答:开放一个TCP的端口实现的,同时增加硬件特征码,客户端本地种子绑定硬件特征并加密存储,即将将硬盘偷走挂载在其他电脑上也无法正常使用。

打赏鼓励作者,期待更多好文!

打赏
45人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
新版本体验
技术盲盒
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

25
14
5

发帖

粉丝

关注

本版达人