零信任实施案例分享

哈喽！大家好我是阿硕

    今天来一个零信任实施案例，实施过程中也是遇到了几个小坑，分享出来希望能帮助大家在工作中规避一下风险

    首先说一下项目背景：xx集团想要缩小自身公网暴露面，解决身份的最小权限化，动态调整资源的权限控制和访问策略，以及部分分支访问资源的权限控制，满足内部监控和外部合规要求，实现用户和资源的统一管控。

    客户基础网络背景：客户出口网络包含互联网以及分支专线。互联网出口部署有负载均衡设备、出口防火墙、WAF设备。分支专线部署有分支汇聚交换机、内网防火墙、WAF。服务器区域为内网和互联网共用一套私有云，云内针对内网和互联网使用逻辑隔离。PS:服务器区包含核心交换机、服务器交换机、WAF为一个整体完全托管三方，本次实施无权限对此部分做改动。

      

     方案设计：

        【网络规划】：因为出口防火墙以下为不可动状态，以及访问源涉及互联网和分支专线，所以控制中心和代理网关分别将业务线接到出口的路由设备上，互联网出口映射控制中心443端口和代理网关441端口（控制中心端口可改，代理网关441端口不可改）。使用带外管理口将控制中心和代理网关进行对接。下面为大家呈上拓扑：

PS:第一次发帖不太会调整图片大小，望大家海涵

【用户管理规划】:客户组织架构为内部数据库同步到钉钉，所以我们选择从钉钉将用户同步过来。部分临时用户选择使用零信任本地用户。

【认证规划】：客户的用户目录分为钉钉目录和本地目录。其中钉钉目录要与钉钉做认证对接；而本地目录在有需求的时候手动进行添加。将钉钉扫码登录作为主要认证方式。

【资源规划】：获取客户内部资源和资源授权需求，涉及web资源和隧道资源。web资源需要向用户获取设备使用格式的证书。

数据流解析

   【web资源】

1.公网PC浏览器输入https://x.abc.cn地址，回车访问。

2.客户端DNS解析：浏览器调用客户端操作系统的HOSTS文件或DNS服务器进行解析，将x.abc.cn解析到负载均衡，负载均衡再将数据流引入到代理网关。

3.跳转到SDPC认证：PROXY发现首次访问，会跳转到配置好的SDPC地址 (https://atrust.abc.cn:9443)进行认证。若用户未登录，则会弹出认证页面；如果已经登录，则直接302回PROXY，用户无感知。

4.服务端资源鉴权：代理网关根据前端访问地址x.abc.cn鉴权确认用户是否具备权限，并在资源列表中找到该应用的后端访问地址(x.abc.cn)。

5.服务端DNS解析：PROXY先从SDPC上配置的HOSTS找到x.abc.cn的IP地址；或者从PROXY上配置的DNS服务器解析出x.abc.cn的内网IP。

6.代理访问后端业务：根据上一步解析的结果，进行代理访问。

7.代理网关向web服务器请求真实的资源web界面，再将请求结果返回给用户。

8.用户访问成功。

【隧道资源】

1、资源配置：首先，确保在aTrust设备上正确配置了隧道资源。需要确认隧道资源已经发布，并且相关的协议设置正确。

2、客户端连接：客户端连接控制中心认证成功后，控制中心会向客户端下发隧道连接信息。

3、客户端访问服务器的数据经过本地虚拟网卡（加密隧道）/WFP驱动抵达综合网关/代理网关。其中隧道域名资源和隧道IP资源的数据引流流程有差异：

①隧道域名资源：启用了解析地址伪装（Fake IP）的情况下，都先通过fakeDNS劫持返回fake IP，再通过本地路由将访问请求引流至aTrust客户端虚拟网卡；从aTrust 2.3.10版本开始，若未启用解析地址伪装（Fake IP）的情况，域名会通过控制中心预解析（移动端仍然会用FakeIP，是否启用地址伪装均不影响移动端），也就是说域名会通过控制中心的网口DNS去解析（优先使用HOST），解析之后的IP会直接下发给客户端（定时30分钟一次），然后终端看到的就不是Fakeip ，而是控制中心解析出来的真实IP，长隧道资源再通过本地路由将访问请求引流至aTrust客户端虚拟网卡，短隧道资源Windows使用WFP驱动将访问请求引流到aTrust客户端，Mac/Linux使用路由将访问请求引流到aTrust客户端。

②隧道IP资源：aTrust2.3.10之前版本通过终端本地路由将访问请求引流至aTrust客户端socks5代理虚拟网卡；aTrust2.3.10版本开始，短隧道资源Windows使用WFP驱动将访问请求引流到aTrust客户端，Mac/Linux使用路由将访问请求引流到aTrust客户端。

4、分离式部署的情况下，代理网关向控制中心查询该用户是否有访问服务器的权限，有权限则由代理网关代理用户访问服务器；综合网关部署的情况下，直接由综合网关代理用户访问服务器

5、服务器响应请求并返回数据给代理网关/综合网关；

6、用户访问成功。

设备调试

     在完成设备授权后就到了详细配置阶段

  【网络配置】   

      PS：坑1  虽然设备上可以设置多个wan口并且配置网关，但是设备回包还是根据配置的路由进行选路，所以多wan场景还是推荐互联网指默认路由，管理网以及内网还是指明细路由。

  控制中心

代理网关

代理网关加入控制中心

【用户配置】

PS：坑2  客户如果是多运营商出口场景，推荐让客户将控制中心访问互联网地址优先指定到一条出口线路，因为后续控制中心去钉钉或者企微同步组织架构对接的是域名，可能存在使用运营商A地址去运营商B的dns解析域名，导致解析不成功进而导致用户同步超时。

【用户认证】

【添加应用并授权】

  web应用

隧道应用

应用授权

可以将单个应用或应用分类授权给单个用户或者整个用户组

【全局策略以及用户策略】

以上为零信任控制中心和代理网关的相关配置

接下来为零信任上线前的验证工作

web应用

1.把web应用的前端访问地址的端口通过出口设备映射出去

2.修改测试电脑的host文件，将web应用的域名ip指到代理网关映射ip上

3.测试能否认证，应用能否正常访问以及页面功能是否正常

隧道应用

电脑安装零信任客户端，填好接入地址后能否认证，认证成功后能否正常访问资源

业务验证成功后就要上线了，心里是不是相当激动，是不是松了一口气。要真是这样你就要踩坑了！！！

坑3 一定要找客户确认是否有业务需要获取到真实的访问ip

      一定要找客户确认是否有业务需要获取到真实的访问ip

      一定要找客户确认是否有业务需要获取到真实的访问ip

    重要的事情说三遍

有一部分特殊业务是需要获取真实访问的源ip，比如我踩过的坑：招标系统 。客户招标系统需要排查是否有围标，串标等问题，访问源ip是排查的其中一项。这种场景一般推荐配合XFF功能将访问源ip插入到数据包实现客户需求，需要客户业务系统配合改造识别这个字段。

  以上就是本次的深信服Atrust零信任实施方案规划说明分享，感谢大佬们的参阅

感谢大家

硕爷V5 零信任这一块还得看我硕爷