零信任網(wǎng)絡(luò)環(huán)境主要是由google（BeyondVCorp架構(gòu)）開始，目前國內(nèi)很多廠商（360、新華三、安恒等）已有零信任的解決方案，如：360的零信任架構(gòu)依托身份中心、業(yè)務(wù)安全訪問及動態(tài)訪問控制三個層面，主要解決零信任環(huán)境中業(yè)務(wù)信任問題。因?yàn)榱阈湃谓ㄐ枰?ldquo;刮骨”建設(shè)，涉及客戶基礎(chǔ)環(huán)境支撐及改動（奔跑的賽車換發(fā)動機(jī)）、領(lǐng)導(dǎo)支持力度等多個方面，總的來說落地效果不是特別好。

應(yīng)用層零信任建設(shè)主要依托于應(yīng)用安全網(wǎng)關(guān)，通過安全網(wǎng)關(guān)串聯(lián)部署，實(shí)現(xiàn)隱藏內(nèi)部，統(tǒng)一對外、實(shí)時監(jiān)測的效果，因此本文主要介紹應(yīng)用安全網(wǎng)關(guān)。但因?yàn)榫W(wǎng)關(guān)需要與用戶管理所結(jié)合，所以文章會對用戶管理系統(tǒng)部分進(jìn)行介紹，以便讀者更清晰了解應(yīng)用層的零信任建設(shè)框架。

一、零信任介紹

零信任環(huán)境的建設(shè)應(yīng)從主機(jī)、網(wǎng)絡(luò)、應(yīng)用等多個層面的，具體零信任內(nèi)容，請參考之前所寫文章《零信任網(wǎng)絡(luò)架構(gòu)設(shè)計》，在此對零信任不過多介紹。

零信任網(wǎng)絡(luò)架構(gòu)示例圖

二、零信任下的應(yīng)用安全網(wǎng)關(guān)建設(shè)思路

應(yīng)用層面的零信任建設(shè)相對于主機(jī)與網(wǎng)絡(luò)更容易落地及切入用戶。應(yīng)用層零信任建設(shè)從實(shí)施周期、業(yè)務(wù)影響、建設(shè)效果等多個方面相比主機(jī)與網(wǎng)絡(luò)，短期效果會更直接，更容易起步。

應(yīng)用層零信任建設(shè)主要包含應(yīng)用安全網(wǎng)關(guān)系統(tǒng)、用戶管理系統(tǒng)兩大系統(tǒng)（可以將系統(tǒng)中的模塊拆分，因產(chǎn)品及項目而異）。

應(yīng)用安全網(wǎng)關(guān)系統(tǒng)包括：訪問控制、反向代理、負(fù)載均衡、統(tǒng)一接入、安全防護(hù)（主要為WAF相關(guān)功能）、訪問審計（審計4-7層流量）、HTTPS支持等。

用戶管理系統(tǒng)：身份認(rèn)證、動態(tài)授權(quán)、SSO、用戶管理、信任評估等。

功能參考圖

實(shí)際過程中會將身份認(rèn)證、動態(tài)授權(quán)等功能抽離成獨(dú)立系統(tǒng)。因?yàn)樾枰紤]網(wǎng)絡(luò)與主機(jī)層面的認(rèn)證與授權(quán)等操作，所以抽離后的身份認(rèn)證和動態(tài)授權(quán)會提供主機(jī)、網(wǎng)絡(luò)、應(yīng)用三個層面的相關(guān)服務(wù)。 具體需要因產(chǎn)品及項目而異。

三、零信任下的應(yīng)用安全網(wǎng)關(guān)技術(shù)路線

目前業(yè)界應(yīng)用應(yīng)用安全網(wǎng)關(guān)基本是基于自有安全產(chǎn)品基礎(chǔ)上進(jìn)行的開發(fā)，有的基于WAF，有的基于VPN、有的基于下一代墻，但是功能基本都有限。

本次應(yīng)用安全網(wǎng)關(guān)的選擇可基于開源JanusecWAF網(wǎng)關(guān)進(jìn)行二次開發(fā)。Janusec是基于Golang打造的應(yīng)用安全網(wǎng)關(guān)，支持HTTP2和HTTPS，私鑰加密存在數(shù)據(jù)庫中，提供負(fù)載均衡的統(tǒng)一的WEB管理。

邏輯圖

基于Janusec架構(gòu)的設(shè)計重點(diǎn)

• 應(yīng)用網(wǎng)關(guān)：統(tǒng)一HTTPS接入，統(tǒng)一管理證書和秘鑰；

• 安全防護(hù)：網(wǎng)關(guān)內(nèi)置WEB應(yīng)用防火墻、CC防護(hù)；

• 數(shù)據(jù)保護(hù)：對私鑰采取加密措施；

• 負(fù)載均衡：前端負(fù)載均衡與后端負(fù)載均衡；

• 4-7層審計：審計留痕是應(yīng)用安全網(wǎng)關(guān)應(yīng)具有的功能，在提供安全防護(hù)的同時，記錄4-7層數(shù)據(jù)信息，方便異常問題時的回溯分析。如采用了網(wǎng)絡(luò)流量采集設(shè)備（如科來等），可不需進(jìn)行審計。

• 應(yīng)用訪問控制：需要依托高性能的規(guī)則引擎機(jī)制，主要從應(yīng)用提取相應(yīng)規(guī)則固化至規(guī)則引擎系統(tǒng)中，通過對規(guī)則評判實(shí)現(xiàn)業(yè)務(wù)訪問控制。可基于開源較為活躍的Drools等。
• 可開發(fā)性：基于Golang的開源系統(tǒng)，可實(shí)現(xiàn)與用戶管理結(jié)合。如身份認(rèn)證、信任評估與應(yīng)用訪問控制結(jié)合等。

舉例場景：

1.工程師員工筆記本發(fā)起訪問請求，提交給網(wǎng)關(guān)。如果結(jié)合主機(jī)可信，需要攜帶設(shè)備證書。

2.訪問網(wǎng)關(guān)沒有檢測到有效憑據(jù)，重定向至用戶管理系統(tǒng)中的身份認(rèn)證模塊。

3.工程師通過基于U2F的雙因子身份通過認(rèn)證，獲得token，重定向至網(wǎng)關(guān)。

4.網(wǎng)關(guān)認(rèn)證后，訪問控制會對每一個請求執(zhí)行授權(quán)檢查（通過轉(zhuǎn)到對應(yīng)服務(wù)器，不通過則拒絕請求）。訪問控制可基于屬性的權(quán)限控制(ABAC)與信任評估模型兩者集合進(jìn)行檢驗(yàn)。如：滿足信任等級，滿足相應(yīng)用戶群組，滿足相應(yīng)操作屬性等內(nèi)容才可訪問該應(yīng)用。

總體來講，通過應(yīng)用安全網(wǎng)關(guān)建設(shè)會加強(qiáng)應(yīng)用管控能力，但零信任環(huán)境建設(shè)單靠應(yīng)用層是完全不夠的，我們應(yīng)從主機(jī)、網(wǎng)絡(luò)、應(yīng)用多個層面進(jìn)行建設(shè)并有效串聯(lián)，才能實(shí)現(xiàn)零信任最大化。同樣實(shí)施的周期、環(huán)境的改動、業(yè)務(wù)的變動、管理層意愿等多個方面也是制約零信任發(fā)展的重要因素。