零信任关键技术—安全接入代理的应用场景

技术文章

安全接入代理技术能够统筹管理所有访问连接,为认证成功且具有权限的访问主体建立安全访问通道,帮助企业构建虚拟网络边界。
安全接入代理技术主要由安全接入代理网关提供,
安全接入代理网关分为三种类型:
安全接入网关、API 网关、SDP 网关
安全接入网关、 API 网关用于敏感应用场景,SDP 网关用于非敏感应用场景。

敏感应用场景
企业应用为敏感应用时,企业一般会禁止用户从互联网访问企业应用,且要求将业务应用拆分成应用前端和应用后端(API 服务),以实现 API 或服务级别的权限控制。此种场景下,由安全接入网关和 API 网关提供安全接入代理功能。

安全接入网关和 API 网关提供的安全接入代理功能主要体现在以下几点:

l 网络隐身:隐藏业务 IP,所有应用前端对外暴露一个虚拟地址(使用端口区分不同的应用前端)以减少资源暴露面。

l 用户和终端认证:联动身份引擎、环境感知代理对用户和终端进行认证,确保用户和终端的合法性。

l SSL 解密:用户加密访问应用,安全接入网关和 API 网关拦截到用户访问请求时, 能够解密 HTTPS 报文并读取报文中的信息,进而根据读取的信息判断用户请求是否合法。

此场景下的安全接入代理技术具体实现过程如下图所示。

  1. 用户通过虚拟地址加密访问应用前端。
  2. 安全接入网关接收到请求后,先解密 HTTPS 报文,然后检查报文中是否含有用户令牌,如果有,则继续后续步骤;如果没有,则将用户请求重定向到身份引擎进行用户认证。如果认证通过,则获取到用户令牌;如果认证失败,则中断用户请求。
  3. 安全接入网关从请求报文中获取 DeviceID,并请求环境感知代理验证 DeviceID 的合法性,如果验证通过,则继续后续步骤;如果验证失败,则中断用户请求。
  4. 安全接入网关向身份引擎申请应用令牌。
  5. 安全接入网关根据“虚拟地址:端口”获取对应的应用前端地址,并将请求转发给应用前端。
  6. 应用前端接收到请求后,先执行用户应用鉴权。如果鉴权通过,应用前端向 API网关转发用户的 API 访问请求,用户可以继续访问 API 服务;如果鉴权失败,则中断用户请求。
  7. API 网关向身份引擎请求验证用户令牌、应用令牌的合法性。如果验证通过,则继续后续步骤;如果验证失败,则中断用户请求。
  8. API 网关将用户的 API 访问请求转发到应用后端,由应用后端执行用户 API 鉴权, 如果鉴权通过,则响应用户请求。

非敏感应用场景

企业应用为非敏感应用时,企业一般允许用户从互联网访问企业应用,存在大量 移动办公场景,且没有 API 或服务级别的细粒度控制需求,因此无需进行应用拆分。 此种场景下,由 SDP 网关提供安全接入代理功能。

SDP 网关提供的安全接入代理功能主要体现在以下几点:

l 网络隐身:隐藏业务 IP,所有应用对外暴露一个虚拟地址(使用端口区分不同的应用)以减少资源暴露面,且必须通过认证的客户端才能连接 SDP 网关,屏蔽绝大多数非法用户的网络攻击。

l 预认证:SDP 网关要求用户在访问企业应用前,必须提前进行认证以确保用户合法性。

l 预授权:根据用户不同的职能及工作需求,依据最小化权限原则,在用户接入前, SDP 网关可授予此用户完成工作所需的最小访问权限。

l SSL 解密:用户加密访问应用,SDP 网关拦截到用户访问请求时,能够解密HTTPS 报文并读取报文中的信息,进而根据读取的信息判断用户请求是否合法。

此场景下的安全接入代理技术具体实现过程如下图所示。

  1. 用户向 SDP 控制器发送 SPA(Single Packet Authorization,单包授权)认证请 求,SDP 控制器收到请求后向身份引擎请求认证。如果认证通过,则继续后续步骤;如果验证失败,则中断用户请求。
  2. SDP 控制器依据最小化权限原则,向客户端、SDP 网关下发“用户源 IP:目的端口”,表示只对特定的源地址用户放开特定的业务端口。
  3. 用户向 SDP 控制器发送用户认证请求,SDP 控制器收到请求后向身份引擎请求认证。如果认证通过,则继续后续步骤;如果认证失败,则中断用户请求。
  4. 用户通过虚拟地址加密访问应用服务器,SDP 网关拦截到请求后,解密 HTTPS 报文,判断是否是特定的源地址用户访问特定的业务端口,如果是,则继续后续步骤;如果不是,则中断用户请求。
  5. SDP 网关向身份引擎请求应用鉴权,如果鉴权通过,则继续后续步骤;如果鉴权失败,则中断用户请求。
  6. SDP 网关根据“访问虚拟地址+端口”获取对应的应用地址,并将请求转发给应用。

————————————————
版权声明:本文为CSDN博主「wang_angela01」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/u013750302/article/details/121513220

相关文章