本帖最后由 山东_朱文鑫 于 2022-9-16 23:19 编辑
大家好,我是大白,正所谓黄沙百战穿金甲,不破楼兰终不还,我也在努力的给大家展现更多更加优质的帖子,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。
大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!
好的废话不多说今天讲一下深信服Atrust零信任实施方案规划分享,因为此次案例的整个流程以及配置相对比较复杂并且非常的长,所以本次只针对整个流程做一个总结性的概述讲解进行发帖,后续根据情况会分步进行讲解配置使用。
首先说一下零信任是什么?有什么用?深信服 aTrust 零信任访问控制系统是基于零信任理念设计的 SDP 产品。aTrust 以身份为中心,用身份重塑边界;通过网络隐身、动态业务准入等实现可信访问;通过动态权限控制、权限基线工具等实现智能权限;通过免客户端、权限申请自服务等实现简单运维。深信服零信任访问控制系统,为用户构建更安全、体验好的安全解决方案。
深信服零信任访问控制系统aTrust整体由控制中心、安全代理网关、客户端组成,其中控制中心与安全网关部署在服务端,客户端部署在终端设备上。在服务端侧,控制中心是整个访问控制系统的大脑,在访问者与资源之间建立动态、细粒度的访问规则,并将访问规则下发给安全代理网关,安全代理网关依据规则对用户流量进行代理转发。
此次项目的:
本次深信服的零信任aTrust实施的主要目的,对在网络建设方面提出的相关需求,结合深信服零信任aTrust设备的安全接入能力,进行有效的部署。解决数字化转型过程中的内部威胁,包括权限化最小化、缩小数据暴露面、动态的权限控制和访问策略。满足企业在数字化转型过程中面临安全问题,做好安全稽查,发现安全风险,规范员工行为,并能灵活适配企业数字化转型下的移动化和云化趋势。
方案设计说明
为实现项目目标,结合深信服零信任设备的安全能力,进行有效部署,解决身份的最小权限化,有效缩小数据暴露面,和通过动态的权限控制和访问策略,有效解决数字化转型过程中的内部威胁。满足内部监控和外部合规要求,实现用户和资源的统一管控,整体方案规划设计如下:
1.零信任aTrust旁挂部署,旁挂在交换机上,不更改原有网络拓扑结构,对客户的网络影响降到最低,并给aTrust单独规划一个管理口。
2.配置【用户管理】,客户的用户目录分为CAS目录和本地目录。其中CAS是要对其服务器进行同步,获取账户名和其电话号码;而本地目录通过导入的方式进行添加。
3.配置【认证管理】,此次有两种主认证方式。一种为CAS认证,一种为本地认证。两种认证与把授信终端和短信认证相结合的用户自主授权绑定的二次认证进行想结合。完成最终认证方式。
4.配置【应用管理】,获取客户内网的应用资产,是隧道或WEB模式完成应用的的发布配置。主要是WEB的全网资源(知网和图书馆资源)。
5.配置【授权】,通过资源与角色进行关联,结合用户或者账号,方便与用户与资源之间的管控。
6.配置【策略管理】,包括用户防爆破、密码安全等,对用户登录和应用访问过程中进行全面的安全防护。
7.配置【安全策略】,只要用于上线准入模块,对客户端接入内网的PC端进行扫描,安装接入内网时,其PC的安全把保障。
8.部署外置数据中心,或对接syslog日志服务器,将aTrust上相关的日志信息,发送出去,用户行为分析和日志存储。
业务流量走向:
aTrust控制中心和代理网关旁挂部署,不参与业务流量选路,只有在设备故障或直连线路故障时才会影响业务流量走向。aTrust旁挂模式部署,需注意流量来回路径一致。
正常通讯的业务流量如图:
功能规划
用户目录是用来管理各认证服务器的用户信息(如手机号)和组织结构,同时可管理认证服务器组织架构和用户的应用访问授权。
新建用户目录,支持带管理接口自动获取用户,也支持不带管理接口自定义获取用户(批量导入用户)。
基于服务器同步使用的用户目录,其支持对服务器上用户的结构通过同步的方式,获取到零信任用户目录中,方便其他认证方式和用户授权。
认证服务器:
aTrust设备支持多种主认证和辅助认证的方式,用户可根据现场实际情况,进行认证对接。实现用户在登录认证服务器的同时上线aTrust,避免重复认证,提高体验性。
此次与零信任设备对接的是CAS认证服务器。
认证策略:
aTrust支持实现,不同的用户使用不同的认证策略。且在不同的认证策略下,用户登录的过程中存在不同的认证形式。
主认证:CAS认证、本地认证。
辅认证:授信终端、短信认证
此次实施是基于两部分用户目录进行认证的,分别是CAS认证和本地认证;而辅认证则是通过授信终端用户自主授信的方式(短信认证)来进行验证的
安全检查策略:
对用户PC终端进行安全管控,禁止接入设备在接入内网时启用了抓包等黑客软件的进程。此次安全检查策略可通过对用户进行设置。
此次配置[上线准入策略]设定终端的PC用户,若开启某些黑客软件的进程,就将其进行阻拦,禁止其接入内网。
用户权限策略
管理员需要对不同部门的人员,如财务部、IT部、信息部等不同的部分进行不同的授权,通过对组和用户的授权,实现用户精细化授权。
1.进入[用户管理]配置页面内,我们可针对不同的组织架构(如财务、IT等)进行不同的应用授权,减少权限放大的问题。
2.同时,可对特定的人员(如跨部门的人员,一个用户即需要访问财务,也需要访问IT部的部分资源),那么将这部分的人,组合成一个群组,进行授权。
3.可针对单个用户进行授权,将授权的颗粒度缩小至用户层面。
策略管理
对于用户接入的整体安全性,我们配置针对用户的策略,包括全局策略和用户策略。其中全局策略是针对所有用户的安全策略,用户策略可实现针对特定用户,配置不同的安全防护。
1.全局策略,可配置防爆破、密码安全策略等配置
可配置防爆破策略,防止黑客获取了用户名后,尝试性登录,限制用户登录错误的次数。设定登录错误次数,如果过多就锁定用户,或锁定IP,以此来实现终端接入的安全性。
设定密码安全策略,设定用户首次登录强制性修改密码,同时设定密码的有效期。
2.用户策略,可配置针对用户账号(本地)方面的限制
针对本地用户进行在线设备PC端和移动端的限制,同时对其超时注销的时间等进行配置,若到了规定时间,即可进行自动注销。
外置数据中心
为了满足行业监管需求和企业内部审计要求,需要保留日志六个月以上。保存日志的同时,希望能对用户日志进行一定的分析,通过图文进行显示。
1.准备零信任的外置数据中心,安装好外置数据中心设备。
2.在[审计中心/外置日志中心]中,完成外置数据中心的配置,实现用户日志同步给外置数据中心设备保存。并实现用户日志的审计和展示,提高运维效率。
终端管理:
终端列表用于展示所有曾经登录过的终端的信息,包括终端名称,类型,atrust版 本,硬件特征码等,具体可展示的信息可以点击右上角的进行查看。管理员可 以在本模块对列表中的用户进行授信该终端的操作。(可再次开启硬件特征码的识别。)
网络规划:
与客户沟通好配置aTrust设备的网络路由回包,上连核心交换机配置aTrust设备的网关地址,同时配置路由指向aTrust网络,保证网络正常访问。
资源发布:
此次资源发布分为WEB资源、隧道资源和WEB全网资源。
隧道资源单纯的是以IP+地址的形式进行发布。
WEB资源发布是基于7层进行发布的。
其中:因为要发布知网和图书馆资源,所以要进行WEB全网的发布(需要客户方有泛域名、DNS服务器、泛域名认证证书),WEB资源要在WEB全网发布后再进行发布,隧道资源发布按需即可。
本次分享贴主要还是针对方案规划的说明式分享,详细的配置以及全过程是非常的多,一篇是没有办法进行叙述完成,并且长贴对于阅读者的耐性要求还是比较高的,为了方便大家进行借鉴,后续会针对配置逐一进行解析说明。
整个项目的实施主要是对于CAS服务器的对接使用以及知网这种泛域名的配置,再就是零信任要发布域名进行登录管理设备是需要零信任写HOST才可以正常访问使用。
以上就是本次的深信服Atrust零信任实施方案规划说明分享,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!
励志分享超清壁纸语句~~:
青春并不是指生命的某个时期,而是指一种精神状态。——塞·厄尔曼
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!  | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-9-16 11:31
发表于 2022-9-16 11:54
坚持每日学习打卡
技术研究员3级