本帖最后由 张尔祥12189 于 2020-11-30 19:17 编辑
第1章 项目背景 1.1 文档目的 本次某公司精益信任aTrust实施的主要目的,旨在配合XXX公司的网络建设项目。对贵单位在网络建设方面提出的相关需求,结合某公司精益信任aTrust设备的安全能力,进行有效部署。 1.2 需求说明 项目前期,就精益信任aTrust的整体使用场景,和接入安全,易用性,与运维管理等进行深入的沟通了解,同时我司现场对关键业务也做了详细的信息收集。整理出针对此次项目的需求,以及需要达成的相关目标,具体列举如下。 1.2.1 传输安全 经过沟通,贵单位希望业务系统不暴露在互联网直接访问,需要访问的人员需要通过安全认证后才能接入,访问指定的业务系统,且访问过程中全程加密,防止数据被窃取。 1.2.2 权限隔离 经过沟通,业务系统的访问做精细化分权和限制,通过对部门、角色和用户与业务系统之间的访问权限做梳理,保障业务系统安全。 (1)能提供权限梳理工具来帮助梳理静态权限,提供信任引擎来基于身份实现细粒度的动态权限管控; (2)权限梳理工具梳理后,能多种方式分配应用系统权限(智能分配或手动分配) 1.2.3 多终端访问 经过沟通,贵单位主要使用在如下场景: (1)远程终端使用Windows、Mac电脑接入aTrust设备,访问公司业务系统; (2)需支持iOS、Android移动终端接入,访问公司业务系统。 : 目前版本移动端接入只支持B/S应用,暂不支持C/S应用。
1.2.4 认证安全 经过沟通,XXX单位对用户的认证安全要求,希望使用:radius认证+短信认证,保障接入终端身份可靠。 1.2.5 接入策略 经过沟通,贵单位对接入策略要求,希望能做到以下方面从而保障业务系统安全。 (1)出差员工的账号限制接入时间,非业务时间段需增强认证接入; (2)员工的账号密码不能为弱密码,若为弱密码登录需增强认证接入 (3)员工是否在异地,如在异地需做增强认证接入 1.2.6 终端安全 经过沟通,贵单位对接入终端安全性要求,希望能做到以下方面从而保障业务系统安全。 (1) 必须满足安全基线条件规则要求(如:安装EDR、是否加入公司的域控、是否打了打了指定的操作系统补丁等等) (2) 电脑是否为授信终端,否者不能登录 (3) 访问业务的应用必须为可信 1.2.7 审计安全 经过沟通,贵单位根据网络安全法要求,日志要求记录并保存不少于六个月,建议对接外置syslog服务器进行日志保存。 1.2.8 易用性 经过沟通,XXX单位希望实现:通过单点登录实现登录aTrust系统后自动登录业务系统。 (1) 可实现纯B/S应用,实现单点登录统一认证平台直接登录访问应用,免插件登录;
1.2.9 运维管理 经过沟通,贵单位由于分支使用用户众多,需要考虑接入用户可以自主使用方便快捷的工具修复客户端问题。 1.3 设计目标 当前黑客攻击技术的多样性(比如合法身份伪造及其他社工类攻击技术)为系统接入安全提出了新的挑战,黑客可以很轻松的冒用他人身份信息,以合法身份访问业务系统、做非法的事。 因此,系统接入安全的保障工作需要从用户及终端合法性、最小/最细粒度权限管控、行为审计及异常处理、加密算法有效性四个方面开展,保障业务到用户端到端的安全性。 1.3.1 让业务系统的接入更加安全 提升黑客仿冒身份成本:提供多种身份认证方式,可以根据业务需求,采用多种组合身份认证方式,如用户名/密码+短信验证码认证等。 防止黑客控制终端:提供PC端安全检查机制,PC不符合安全基线则禁止接入用户访问应用;提供企业移动管理解决方案,检查终端的安全状态,并根据判定的结果对移动终端进行远程锁定或者数据擦除。 访问权限更小化:提供基于应用授权的细粒度访问权限控制,让用户只能访问同一台Web服务器上的有限页面,防止非法接入用户找到SQL注入漏洞页面;同时aTrust支持按组织、标签、角色、用户等分配访问权限,给客户多种权限分配,让用户按需配置各种应用的访问权限,提高安全性。 加密算法有效性:根据不同业务的安全级别,提供AES、SHA、RSA、RC4、GCM、ECDSA、MD5进行选择,保障数据的安全性。 1.3.2 提供更好的用户体验 兼容性:某公司精益信任aTrust具备操作系统和浏览器兼容性,Windows、MAC、移动终端都不是问题。 简化用户访问和使用aTrust的操作:某公司精益信任aTrust大幅提升用户操作体验,例如在访问B/S架构应用时可免插件访问应用。同时提供下载、安装速度更快的轻量级安装包,一次安装、无需JAVA等其他支持软件即可使用新版本的各类浏览器登录aTrust;为开发APP的用户提供SDK,用户点击APP后自动连接aTrust而不需要额外做连接aTrust的操作;移动端和PC端应用实现单点登录等。 提升系统访问速度:通过一系列的优化技术(如流压缩、流缓存、TCP协议代理等)提升用户的系统访问速度,增加用户体验。
第2章 实施规划 2.1 设备清单 本次实施工作包含某公司精益信任aTrust设备2台,设备清单如下
设备版本信息如下:
2.2 实施拓扑 2.2.1 实施拓扑 某公司精益信任aTrust-SDPC设备单臂部署在私有云区,互联网出口防火墙映射443端口给用户做认证、鉴权、策略管理和处置结果下发,某公司精益信任aTrust-Proxy设备单臂部署在外联接入区,互联网出口防火墙映射443和441端口。给用户做应用访问代理,负责执行控制器下发的策略,并收集访问请求的原始数据,如下图所示: 2.3 设备互联 设备名称 | | | | | https://172.XX.133.X:4433 | | | | | | https://XXX.XXX.com.cn:4430 | | | | | | | | | | | | | | | | | | | | | |
设备名称 | | | | | https://172.XX.133.XX:4433 | | | | | | https://XXX.XXX.com.cn:4430 | | | | | | | | | | | | | | | | | | | | | |
第3章 实施前准备 3.1 确认项目需求 某公司负责实施的现场工程师将与客户项目接口人、相关领导,确认本项目的需求、实施时间、实施地点。 3.2 确认项目实施方案 某公司负责实施的现场工程师将与客户项目接口人、相关领导对本次上线实施方案进行确认。 3.3 上线前准备 3.3.1 客户准备 | | | 提前规划虚拟机位置、配置规划、链路建立与连通测试。 | | 为某公司提供零信任设备接入网络用到的IP地址,并确保该IP地址可以访问互联网 | | 为某公司工程师提供测试网络接入,以便设备上线后测试网络连通性。 | | 根据网络安全法要求,日志必须留存6个月以上,需要提供一台syslog日志服务器,服务器存储尽量更大一些,具体需要多少需要根据每天的日志量评估。 | | 向某公司说明实施工程师进入机房需要准备带哪些证件及注意事项。 | | 将aTrust-SDPC设备内网IP的443端口映射到互联网,aTrust-Proxy设备内网IP的443映射到互联网。如若有隧道应用还需映射aTrust-Proxy设备内网ip的441端口 | | 将域名的A记录指向aTrust-Proxy映射后的地址,准备好受信的SSL证书以消除证书不受信的告警框。 |
3.3.1 客户准备 3.3.2 某公司准备 3.4 分工界面 实施人员联系方式: 实施分工界面: 实施人员 | | | 1.协助安排相关人员配合本次aTrust-SDPC和aTrust-Proxy设备上线,配置测试; 2.实施、功能验证过程中的沟通协调; 3.确认aTrust设备上线后功能验证的结果。 | | 1.配置上线aTrust-SDPC设备; 2.记录设备上线结果; 3.在现场负责处理aTrust设备上线以及功能验证过程中遇到的问题; 4.aTrust设备上线故障问题的回退等工作。 |
第4章 设备现场交付 4.1 线下设备部署 上线前,根据现场环境,结合需求调研信息,完成某公司精益信任aTrust控制中心和代理网关的基础网络配置,aTrust设备单臂部署不会影响现网环境,上线前先进行线下部署以节省上线时间。 4.1.1 基础网络配置 按2.3章的接口及地址规划,完成设备单臂部署配置,别分配置管理口地址和业务口地址,以及对应的管理网段的回包路由。 4.1.2 认证配置 本地账号认证,创建账号相对耗时,建议放在线下完成。根据贵单位的网络情况,把需要创建的账号提前收集出来整理成可以导入的表格,然后批量导入设备。 4.1.3 资源配置 资源配置相对耗时,建议放在线下完成。根据贵单位的网络情况,把需要发布的资源提前收集出来整理,然后依次配置相关资源。 4.1.4 策略配置 Ø 提前规划认证策略 Ø 提前规划资源组与部门(用户组)之间的匹配关系以创建角色 Ø 提前规划策略组与部门(用户组)之前的匹配关系以针对不同的部门(用户组)创建不同的策略组。 Ø 提前规划终端访问的安全策略 4.2 设备上线验证 4.2.1 上线前准备 线下完成设备部署、资源配置、策略配置后。在约定的割接时间,完成某公司精益信任aTrust的上线,建议可以参考以下步骤: Ø 出口设备映射的aTrust-SDPC的443端口到互联网,若有HTTP跳转HTTPS需求也需映射HTTP端口(默认TCP 80); Ø 出口设备映射的aTrust-Proxy的443端口到互联网,若有隧道应用还需映射441端口到互联网; Ø 同时上线aTrust-SDPC和aTrust-Proxy设备,确保设备正常运行; Ø 先在外网访问客户端接入地址,保证sdpc运行正常,用户接入使用正常; Ø 再登录测试用户,访问相关业务系统,保证用户能正常访问应用。 4.2.2 设备连通性测试 步骤 | | | | 测试机telnet aTrust-SDPC和aTrust-Proxy设备内网口ip的4433/443/22网络是否可达。 |
| | |
| | |
| | aTrust-SDPC和aTrust-Proxy设备telnet业务的IP和端口是否可达。 | |
1.1 策略配置 根据1.2章的需求解读,我司提出如下策略,匹配贵单位的安全需求: 传输安全:SSL/TLS协议算法勾选TLS1.0、TLS1.1、TLS1.2保障数据传输安全; 多终端访问:用户策略组中设置允许接入的客户端类型为PC/WEB端认证和移动端认证; 权限隔离:创建组织、标签、角色和用户,将组织、标签、角色和用户所能访问的资源关联,其他不能访问的资源不关联; 用户认证:除了创建账号密码以外,另外开启短信验证码或radius认证,只有通过两种认证模式认证成功后才能接入; 接入策略:创建时间策略,设置业务时间,在策略组中设置不允许接入时间段,并关联给对应的用户; 终端安全:创建安全基线和可信应用进程检查规则,电脑必须满足安全基线检车和可信应用进程才允许接入,不满足无法访问应用; 审计安全:搭建外置数据中心与aTrust对接,做日志审计,日志存留6个月以上。 易用性:开启单点登录功能,对于满足单点登录条件的资源配置单点登录; 运维管理:在Windows的PC上从aTrust的登录页面的诊断工具中下载一键诊断工具,简化运维。 第2章 效果验证 经前期现场与贵单位沟通,并于此次交付完成后的安全效果验证。我们采用“现场功能演示”进行。 2.1 现场效果演示 按前期沟通情况,完成aTrust的配置,配置完成后,通过互联网接入aTrust,访问内网资源展示效果; 2. 通过radius账号密码登录: 2. 点击业务平台管理系统: 4.可审计到web访问的url(GET或者POST)
4. 可看到发布的资源都能够看到水印 第6章 回退方案 精益信任aTrust单臂部署,对业务的影响不大,若本次设备上线部署出现不可控的异常问题,在短时间不能解决的,应尽快恢复业务,照以下回退方案对网络进行还原,保证内网用户上网正常,待故障问题查明并有明确解决方案后,再根据修改后的方案进行实施。 1.将本次实施涉及变动的相关网线连接恢复至变更前状态,并确保用户网络恢复正常。 2.重新梳理客户现网环境,排查故障原因。 第7章 设备部署实施 7.1 设备部署 步骤1. 首先将设备开机,在虚拟化环境中进入SDPC后台将地址配置为172.xx.133.xx,界面如下: 步骤2. 步骤3. 配置LAN口,通过[系统管理/网络部署/网络接口,点击<新增>添加一个网口,设置eth0为LAN口,并且设置好IP地址信息,界面如下: 步骤4. 配置路由,需要配置一条到0.0.0.0/0.0.0.0的默认路由指向前置网关。本案例中需要配置一条默认路由指向前置核心交换机,进入[系统管理/网络部署/路由设置,点击<新增>按钮配置路由,配置界面如下: 在弹出的窗口中,配置目的地址、子网掩码、下一跳,点击<确定>,完成路由配置。 步骤5. 出口设备需要映射SDPC的HTTPS(默认TCP443)端口;Proxy使用HTTPS代理访问B/S资源,需要映射HTTPS端口(默认TCP443)需使用隧道端口,需要映射该端口(默认TCP441)
说明:在正式的环境中应尽量区分管理网、业务网,避免管理网和业务网络复用。如有集群还需新规划心跳网络。
7.2 配置客户端接入地址 l 1.配置互联网接入地址: l 2.配置SSL/TLS协议:(推荐使用TLS1.2协议加密,该协议更加安全,如需使用TLS1.0和TLS1.1再选择勾选,根据客户业务情况配置) 7.3 配置代理网关区域 1. 配置局域网访问地址: (允许访问该互联网地址到aTrust) l 2.配置互联网访问地址:(允许访问该互联网地址到aTrust) 74配置Radius服务器 1.配置Radius服务器: 7.5 外部用户 1.将radius服务器将用户导入到本地,结果如下: 7.6 Web应用配置 1.在[业务管理/应用管理/应用列表点击新增。 2.应用属性:选择Web模式,并填写相关信息(包括名称、描述、所属应用分类、节点区域等信息)。 3.应用设置 后端服务器地址:使用真实地址或域名,如果填写域名需在sdpc上的host文件填写域名和真实IP的对应关系; 说明:依赖站点的开启必须要有泛域名并导入泛域名证书,导入后将下属的站点地址填写到依赖站点中,设备会对其做前端访问地址的改写。 私有DNS解析:用于解决Web应用灰度发布的场景,即应用不想直接全面发布,只对部分用户测试通过proxy代理访问,再逐渐开放到所有用户。 4.安全设置 Web水印设置:开启Web水印后,在访问该应用时会显示用户的水印; 配置完成后显示结果如下: 注意:Web应用资源配置接入IP限制,可先在sdpc平台的[安全中心/安全基线/扩展条件处新增限制策略,再调用策略。
7.7 配置高级后端地址 7.8 配置HOST解析域名 1.WEB资源前端地址需要解析到代理网关设备: 7.9 角色配置 1.角色关联资源 角色关联完资源后,可直接通过用户关联角色就行) 7.1 0配置SPA功能 1. 开始SPA功能:具体详解见: 2.下载可信客户端: 7.11 权限基线 1. 采集阶段: 在[业务管理/权限基线中开启权限基线功能,在任务采集处点击添加应用,把需要梳理的应用添加到采集列表中: 2. 试运行阶段: 经过一段时间的采集,可以看到用户访问的趋势和访问的人数。点击开始权限分配即可进入试运行阶段,并给用户分配权限 3. 正式运行阶段: 在[权限基线处点击试运行的应用,点击开始分配权限,给应用分配给对应的用户或组织架构。 7.1 2可信应用 在[安全中心/可信应用点击<配置可信应用防护策略>,配置可信应用,必须满足相关进程可信才能访问。 7.13 对接外置数据中心 将用户日志传送到外置数据中心:
7.14 认证安全增强 可设置检测到登录用户属于弱密码、在异常登录时间段登录、异地登录等情况对该登录用户进行增强认证,对身份进行加固识别,提高安全性。 在[认证服务器管理点击某一认证服务器的认证策略,在安全规则处选择相应的安全增强认证条件。 注意:如果用户已经勾选了二次认证,且满足了增强认证的条件,则做完了二次认证会继续做增强认证(三次认证); 如果用户同时满足免二次认证和增强认证,仍然会做增强认证 |