详解零信任架构中的安全网关.docx

1、详解零信任架构中的安全网关详解零信任架构中的安全网关安全网关是零信任架构的中心，是零信任理念的执行者。1、零信任架构的中心无论是NIST还是Beyondcorp还是SDP，所有零信任架构中，最中心的部分都是“安全网关”。下图是NIST的零信任架构图，图中蓝框里就是“安全网关”。从图中可以看到安全网关的作用为：（1）安全网关隔开了左侧外网和右侧内网。用户在左侧网络中。用户想获取右侧的数据资源，只能通过网关进入。网关就像是门卫一样，合法的让进，不合法的拦住。（2）所有的安全策略都由网关执行。零信任要求对用户的身份、设备、行为路径等等多个方面进行检测和判断，检测结果由网关执行。用户的请求到网关之后，

2、网关解析出请求中的用户信息，然发给各个策略检测模块。所有的检测结果都汇聚到网关，由网关最终执行。下面介绍安全网关的具体架构。2、Web代理网关Beyondcorp是世界上最早落地的零信任项目，Beyondcorp网关的名字叫“访问代理”（Access Proxy），如下图所示。Beyondcorp的安全网关实际上相当于一个“Web代理”，只支持web网站的接入，不支持c/s架构的应用。这个网关可以用类似Nginx的代理服务器实现。Web代理网关的功能包括：（1）转发请求。这是代理服务器最基础的功能。网关根据用户访问的域名不同，分别转发到网关后面的不同服务器。（2）获取身份。从架构图中可以看到，Beyondcorp架构中还包括“单点登录”。所以，网关对用户身份的判断可能也是通过单点登录的token实现的。Beyondcorp架构中，客户端是一个Chrome浏览器上的代理插件。用户访问数据时，插件应该在cookie或包头中加上了代表用户身份的token。Beyondcorp还要验证设备信息。设备信息可能也是用类似的方式，通过浏览器插件把信息插进包头里带给网关的。（3）验证身份。网关可以将访问者的身份信息发给Beyondcorp的身份管理模块。身份管理模块进行对比和判断，然后返回验证结果。