如何使用SASE快速构建零信任架构

简介: 企业构建零信任架构已经成为近年热门的话题之一。本质都是保护企业核心数据安全,防止未经合法授权的数据的访问行为。阿里云SASE依托于阿里云的网络组网优势,为用户提供一个稳定、高效的SD-WAN组网及接入能力,与此同时叠加安全能力。

企业构建零信任架构已经成为近年热门的话题之一。本质都是保护企业核心数据安全,防止未经合法授权的数据的访问行为。阿里云SASE依托于阿里云的网络组网优势,为用户提供一个稳定、高效的SD-WAN组网及接入能力,与此同时叠加安全能力。

1. 概述

1.1 方案简介

什么是零信任架构

零信任架构(Zero-Trust-Architecture,简称ZTA)是一种基于零信任原则的企业网络安全框架,不是单一产品,是安全能力和安全策略的结合。是需要结合用户的身份、设备、应用、网络、基础设施、企业数据等多个维度的能力建设构建的一种网络安全框架。

零信任架构解决了传统信任模型中“默认信任”的风险,有效解决当前外部网络安全态势下,和企业日益复杂的网络架构下威胁升级的问题。

零信任架构的几个经典的假设:

  • 没有网络是值得信任的,网络已经被攻破。

  • 网络外部和内部威胁始终存在。

  • 网络位置不足以决定网络中的信任。

  • 每个设备、用户和网络流都经过认证和授权。

  • 策略必须是动态的,并根据尽可能多的数据来源进行计算。

什么是SASE(Secure Access Service Edge)

Gartner在2019年发布的《网络安全的未来在云端》中提出一项新的技术概念Secure Access Service Edge(SASE),其定义是一个融合了软件定义广域网和网络安全功能、以支持数字化企业需求的新兴技术。

Gartner在分析报告中指出

  • 到 2023年,20% 的企业将从单一供应商采购 SWG、CASB、ZTNA 和分支机构的FWaaS(防火墙即服务)服务,而这一比例在 2019 年只有5% 。

  • 到 2024年, 最少将有 40% 的企业将有明确的切换到 SASE 的策略,而这一比例在 2018 年末仅为 1% 。

  • 到 2025年,最少将有一家 IaaS 服务商的领导者会提供有竞争力的SASE 套装。

同时SASE也是落地零信任架构的一种实现方式。企业在混合云战略趋势下选择基于SASE落地零信任是一种最佳的捷径。

SASE是将广域网和安全进行了结合,是基于实体的身份、实时的上下文,以及在整个会话中的实施风险分析和评估。

为什么选择SASE落地零信任架构

背景1 IT基础设施的变化

随着云计算的推广和普及,以及业务快速发布对于技术架构的挑战,企业的IT基础设施也在发生着巨大的变化。应用的部署开始适配虚拟化、微服务以及云原生。这就导致了业务结构和网络架构变得复杂,企业边界从传统IDC扩大云端,形成混合云的IT基础架构。而云的优势更能够适应当下业务发展的需求,企业逐步形成了以云端为中心,链接IDC和办公网的庞大的IT组网结构。

背景2 混合办公成为常态

在疫情时代,企业要应对因疫情导致的各种突发状况,远程办公,混合办公,多地办公成为常态。在这个大背景下企业需要为员工开放应用访问权限,从而满足在全国各地,以及海外员工对于云端应用、企业服务的访问需求。网络访问并发、访问质量和体验以及访问服务本身成为企业最大的痛点。

企业实施零信任带来的阻力

  1. 实施零信任架构增加了网关验证点,网关自身的稳定性、高可用性以及性能对企业运维是非常大的挑战。

  2. 网关的各类服务,如身份验证服务、准入服务、转发服务等暴露在边界,若被遭受DDoS攻击或Web入侵,会导致企业员工无法通过验证,零信任方案本身的安全性也是企业管理员的挑战之一。

  3. 在较为复杂的网络场景下,如多分支机构互联的full mash组网中,部署零信任网关需要充分考虑路由问题,以及网关节点的高可用配置,如何发布vip等问题。带来的运维和部署难题也是企业管理员的挑战之一。

  4. 实施零信任方案和现有VPN等方案的对比,要从访问质量、访问体验和安全性等多维度对比,往往传统的解决方案无法有效保证网络访问质量和体验。

SASE架构的特点

  1. 基于云的优势,利用公有云POP接入点,为企业构建一个覆盖全球的大型SD-WAN网络,实现流量的就近接入和转发。

  2. 基于零信任原则和思想,通过可信代理agent将用户访问云端应用的资源通过加密隧道代理到就近的POP点,相比传统VPN解决方案提供了优质的网络链路并增加了安全性。

  3. 基于边缘计算节点构建SWG安全网关,网关的SaaS化具备了天然的高可用和稳定性,并发和带宽可随着用户访问体量进行动态的扩缩容。同时基于云原生的改造可以扩展更多的安全能力,让用户更安全的访问云端资源。

  4. SASE提供了一个星型的网络模型,可以简化多分支互联的组网结构,同时SaaS化的架构节省了企业部署和维护的成本,网关自身由云平台提供安全防护,如DDoS攻击和Web攻击等。

1.2 目标读者

企业IT、安全、运维管理员

1.3 适用业务场景

  1. 解决高效安全的远程办公问题

    • 疫情期间远程办公是刚需,VPN的高并发扩容故障维护给企业IT和运维带来较大的挑战。

    • 企业业务出海,需要考虑全球化的高效办公,涉及国内外的办公应用相互访问,传统VPN线路存在不稳定和合规等问题。

  2. 解决身份体系零散难管理的问题

    • 多账号、公共账号的现状使得企业身份体系管理带来诸多困扰,如常见的离职账号、僵尸账号、孤儿账号及口令爆破社工等问题带来的风险。

  3. 有效识别办公敏感数据外发途径的问题

    • 面对数据安全合规和网络威胁,企业首先应该做的是梳理清楚敏感数据在哪,敏感数据的外发途径和获取途径有哪些。

  4. 解决应用隐身收敛暴露面的问题

    • 为了便捷的访问公司的应用和服务,企业通常为分支机构、和员工开放部分应用的公网访问入口;与此同时也带来了一定的安全隐患,应用暴露在互联网上增加了企业被攻击的风险。

1.4 相关概念

  • ZTNA:ZTNA全称为零信任网络访问(Zero-Trust Network Access)它在一个或一组企业应用程序周围创建基于身份和环境的逻辑访问边界。企业应用程序被隐藏,访问这些企业应用程序的实体必须经过信任代理。在允许访问之前,代理网关先验证指定访问者的身份,环境和是否遵守访问策略。这将企业应用程序从公众的视线中移除,并大大减少了攻击面。

  • SASE:SASE全称是Secure Access Service Edge即安全访问服务边缘。SASE这一概念最早出现在Gartner的《The Future of Network Security Isin the Cloud》这篇报告中。SASE的核心就是身份,即身份是访问决策的中心,而不再是企业数据中心。

  • SWG:SWG全称为安全Web网关(SWG — Secure Web Gateway)。

  • SD-WAN:Software Defined Wide Area Network,即软件定义广域网,是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。

  • CASB:云访问安全代理(Cloud Access Security Broker)是位于云服务消费者和云服务提供商(CSP)之间的内部或基于云的策略实施点,用于监视与云相关的活动,并应用与基于云的资源的使用相关的安全性、合规性和治理规则。

  • SDP:SDP Software Defined Perimeter(软件定义边界),2013 年由云安全联盟 CSA提出。

2. 方案架构

2.1 方案架构图

基于业界和阿里巴巴自身最佳实践,将边缘计算和零信任框架进行结合,以SASE(安全访问服务边缘模型)构建阿里云零信任安全架构体系。架构包含可信访问代理、安全接入网关、统一身份网关、应用安全网关和持续风险评估决策中心四个重要部分组成。同时基于阿里云边缘计算节点,提供全球高速的安全访问网络。为企业办公提供高效、稳定、安全、便捷的安全访问服务。

本方案通过在客户端部署安全访问代理(SASE客户端),将用户访问企业资源的请求按需就近转发到阿里云全球边缘计算节点,通过SASE安全接入网关对访问主体进行可信设备、网络的校验,联动统一身份网关IDAAS校验可信身份和相关权限,并通过应用安全网关(SASE网关)转发到云上,或企业IDC。

架构图新

架构说明

  • 安全访问代理:通过轻量化 Agent 仅将访问内部应用的流量代理到网关。

  • 安全接入网关:通过阿里云全球 POP 接入点就近转发企业流量至公有云或 IDC。

  • 统一身份网关:统一管控企业身份体系,每次访问都校验请求者的身份和权限。

  • 应用安全网关:应用接入和隐身,实现暴露面的收敛。

  • 持续风险评估:对每次请求的行为和登录状态进行动态的风险分析并预警。

2.2 方案优势

  • 安全高效的零信任网络:基于阿里云全球 POP 点为企业提供高速的网络访问体验,并结合多年安全攻防积累,为企业提供实时的访问流量入侵检测和防护。

  • 云原生的零信任架构:遵循零信任原则构建访问可信链,通过云原生的边缘安全接入点和网关进行身份、设备、网络、情报的安全校验和最小化权限管控,构建企业可信的安全架构。

  • 灵活快速的部署方式:SaaS 化安全服务即开即用,无需部署和投入硬件资源,快速搭建零信任网络架构,并支持多云、混合云的部署形态,优化复杂的全互联组网,降低运维压力。

  • 弹性稳定的零信任网关:原生的动态扩缩容能力,有效应对疫情期间突发的访问并发扩容问题,云原生的架构提供了天然的高可用机制和网关自身的安全防护,保证网关的可用性。

  • 敏感数据的识别和防护:借助强大的数据识别和流量分析能力对办公网外发、下载的行为进行敏感数据的识别和途径分析,帮助企业获取敏感数据使用地图并进行告警和管控。

  • 全球办公应用安全加速:依靠阿里云全球网络基础设施,基于零信任网络架构为企业提供全球化办公应用安全加速访问,满足合规的基础上,提供安全、可靠、便捷的办公环境。

3. 方案实施

3.1 前置条件

  1. 开通阿里云账号。

  2. 开通SASE产品(开通时选择Private access版本)详见开通SASE试用

  3. 企业拥有自建的AD或LDAP的身份体系(若无可在SASE产品中自建)。

  4. (可选)企业若无AD或LDAP可选用钉钉作为唯一的身份体系,管理员需获取钉钉开发者后台和开放后台的账号和权限。

  5. (可选)若企业应用部署在IDC机房或其他云,需要提前申请虚拟机用于部署connector,实现混合云部署。connector配置为:

    • CPU:4核。

    • 内存:8 GB。

    • 磁盘:40 GB。

    • 操作系统:CentOS7版本及以上。

    • 网络配置:可以访问公网。如果存在防火墙配置,需要放行部署的服务器或虚拟机出方向443、 8000端口。

    • 规格限制:200 MB流量转发。

    • 端口说明:请确保9000~9010未被占用。

  6. (可选)开通IDAAS产品,详见开通IDaaS EIAM 试用

3.2 网络架构说明

网络架构1:业务均部署在阿里云上

网络架构如下图所示,业务均部署在阿里云VPC内。

网络架构图1

网络架构2:业务分布在阿里云和其他云(IDC)上

网络架构图如下图所示,一部分业务位于阿里云VPC内,另一部分业务部署在线下IDC或其他云上。IDC或其他云到阿里云侧通过专线打通。

网络架构图2

3.3 操作步骤

企业用户快速操作指引

  1. 目的

    1. 通过该指引能够在如网络架构1所示的场景下快速开通相关产品并搭建零信任架构,实现业务场景目标。

  2. 配置认证身份源

    1. 基于SASE自建身份源

      1. 第一步:创建IDP设置,添加“自定义IDP”类型,填写IDP名称,并选择二次认证方式。并点击确定。

        自定义IDP设置
      2. 第二步:点击新建的自定义IDP配置,将状态调整为启用,并点击详情,进行自定义用户的创建。

        自定义配置
      3. 第三步:点击添加用户,新增自定义用户。此时注意用户名的书写规范,必填项包括邮箱,创建好新用户后,会向用户邮箱发送初次登录信息(企业标识和初始密码)。

        登陆信息
      4. 第四步:返回上级菜单选择添加用户组,将刚刚创建的用户加入到指定的角色组中。配置如下图所示,在IDP属性中可选择匹配账户名称或邮箱等字段属性。

        添加用户组
      5. 第五步:检查上述步骤,是否完成个人账号以及账号归属组的创建。

    2. 基于LDAP配置身份源

      1. 第一步:回到IDP设置页面,选择新建IDP源,选择基于LDAP创建新的身份源。将IDP配置状态调整为已启用,同时选择相关类型,如AD或open LDAP 。

        LDAP
      2. 第二步:需要同AD或LDAP管理员获取相关账号信息和权限,填充以下内容。

        LDAP配置
      3. 第三步:注意“SSL链接方式”配置选项,需要明确当前LDAP的访问方式是否为SSL链接,通常情况下是不使用SSL链接。实际情况需要结合企业自身的配置进行选择。

        SSL
      4. 第四步:输入BaseDN 信息,用户读取组织目录,该位置填写的账号格式和要求参考基于LDAP创建身份源配置

        LDAP配置
      5. 第五步:上述操作完成后请按照上一单元(基于SASE自建身份源)的第四步配置完成身份组的创建。

    3. (可选)基于钉钉配置身份源

      1. 配置IDP的步骤详见操作配置SASE和钉钉的免登操作

    4. (可选)基于IDaaS配置身份源

      1. 配置IDP的步骤详见操作配置SASE和IDAAS的同步

  3. 配置网络

    1. 打通云上VPC网络

      1. 第一步:通常情况下在网络场景1中,用户只需要在“内网访问-网络配置”中选择“阿里云业务”中相关的VPC信息,选择打通网络即可。具体各参数说明详见配置阿里云业务

        网络配置

      2. 第二步:因为SASE默认是拒绝所有访问的模式,所以需要清楚的了解用户访问的内网应用是部署在哪个VPC内,必须在用户登录前开通网络配置,此处开通网络配置会默认创建一个私有VPC,不会对用户内网的网络造成影响,也不会修改路由表,更不会产生额外的费用。

    2. 打通非阿里云网络

      1. 第一步:通常情况下在网络场景2中,会用到打通非阿里云网络。因为用户的部分业务是部署在IDC中,需要通过connector组件进行联通。首先第一步先部署connector组件。详见配置部署connector组件

      2. 第二步:在“网络配置-非阿里云业务”中找到“连接器列表”选择添加connector。将刚刚创建的连接器配置到SASE网关中。

        添加connector
      3. (可选)第三步:若用户在IDC或其他云是通过专线或VPN连接到阿里云网络中的,则无需部署connector组件,直接在“非阿里云业务”中选择“其他”找到对应的VBR信息,选择“网络打通即可”。

        选择其他链接方式
    3. 配置零信任访问策略

      1. 第一步:添加被访问应用清单。支持手动添加和导入的方式,可将4-7层的应用访问流量代理到SASE网关进行转发,详细的添加操作详见配置应用

      2. 第二步:创建零信任访问控制策略,在零信任访问控制策略中,需要验证三个维度的信息,分别是用户认证、访问授权和设备基线。其中选择生效的用户组和该用户可访问的应用权限是必选项。设备基线是备选项。详细操作说明详见配置零信任应用策略

        配置零信任策略
      3. 第三步:若添加到零信任策略中的应用是公网访问的应用,为了起到收敛暴露面的作用,建议用户在业务空窗期完成公网地址的取消发布,后续所有针对原公网暴露的应用的访问流量都将由SASE转发并进行安全防护。

    4. 设定可信代理的全局设置

      1. 第一步:为什么要设定可信代理的全局设置,全局设置是管控员工可以注册使用的PC、移动端类型和数量上线,避免同一账号多人、多设备使用,也可规范管理企业员工的设备。全局管理的能力包括了对注册终端的上限以及类型的限制。当超额注册后会触发管理员审批。有效管控外包、BYOD设备的入网访问。

      2. 第二步:配置全局设置规则,详见终端注册全局配置

      3. 第三步:选择是否开启共享,全局共享的概念是针对账号而言,是否允许该设备上登录不同的账号,适用于多账号的场景,如外包或审核人员或临时测试账号等。详见共享设置

        共享设置
    5. 设定可信代理的安全基线

      1. 第一步:创建安全基线的目的是为了解决入网终端自身的安全性以及实现资产信息的可见可控。基线的配型包括了终端类型、安全wifi、安全进程、防火墙等。安全进程及可自定义一些软件进程已用于企业内部推广部分应用。详细配置详见基线配置

        基线配置
    6. 安装客户端并登录

      1. 第一步:上述1-6步骤完成后,即可进行客户端的安装和访问了。

      2. 第二步:获取客户端,可在Apple store 或安卓应用市场中搜索云安全访问服务进行下载。PC端可通过SASE服务端提供的下载链接进行下载。详细参照公网下载地址

        客户端下载
      3. 第三步:获取企业标识,用于在SASE客户端登录到唯一企业的标识。可在设置中自定义企业标识。

        企业标识

      端登录,输入企业标识,并根据设定的IDP认证方式进行登录即可完成设备的授信和资源的访问。第四步:打开客户登录客户端

作者介绍
目录