数据安全--安全网关

简介

对于数据安全来说，安全网关是数据安全建设中极其重要的一部分，我这里把它做了几种分类，如下；

• 对内：零信任安全网关（7层和4层）
• 对外：应用安全网关（7层）
• 对内和外：数据安全网关（7层对外，4层对内）

主要针对数据访问权限，数据泄漏，身份等进行治理和管控。

零信任网关

一般零信任网关大体有几种类型的安全方案：

1. 基于身份治理的零信任
2. 基于微隔离的零信任
3. 基于软件定义边界(SDP)的零信任

比较好的零信任基本要求几点：用户可信，传输链路可信，访问实体可信， 资源权限可信，动态信任评估[附加行为可信(ueba)]，安全基线。

技术架构

一些可选型的网关和技术，如下：

• openresty
• BFE
• Janusec
• Enovy
• gobetween
• DPDK/ebpf
• Traefik
• HAProxy

基于身份治理的零信任

基于身份管理系统的零信任以访问主体的身份为策略执行组件，其产品形式一般为IAM+SSO，将企业资源登陆系统与身份管理系统对接，授权用户采用单点登陆（SSO）访问，只能在软件逻辑层面起到作用。大约的一个访问流程，如下:

优点

• 灵活度较高，无需考虑网络拓扑结构变化
• 兼容性比较强，适合企业内部部署也适合SaaS服务
• 配置方便

缺点

• 不能屏蔽内部服务端口和服务，攻击者仍然可以对其进行攻击和扫描
• 一些内部服务，仍然需要依靠企业VPN进行访问

基于硬件/软件隔离的零信任

基于硬件隔离的零信任是以交换机、NGFW等专用网关设备为策略执行组件的方案，其产品形式一般为客户端代理+专用硬件网关，使用专用硬件网关将网络划分为多个私有网段，将企业核心资源放入私有网段进行保护，授权用户采用客户端代理访问; 软件也可以采用类似的访问，如云原生安全利用enovy+opa+ebpf的方式。大致画啦一个图，将就看吧，网上有很多微隔离的架构图：

优点

• 可以使用已采购的专用设备/开源的技术栈进行零信任改造
• 可以避免一些病毒传播和ddos等

缺点

• 基于硬件隔离的零信任的话，成本比较高，整起来比较麻烦费事，另一个还需要依靠身份管理系统才能发挥作用
• 基于硬件隔离的零信任，网络拓扑变动就的跟着就行调整。

基于软件定义边界的零信任

软件定义边界SDP是由云安全联盟在2014年提出的新一代网络安全解决方案。SDP，也被Gartner称作零信任网络访问（ZTNA）。SDP是围绕某个应用或一组应用创建的基于身份和上下文的逻辑访问边界，SDP从架构设计上就只允许可信任的业务报文通过，同时丢弃不合法报文。一般来讲，在SDP架构下真实的后端服务是被隐藏的，客户端与众多的SDP边缘节点联动，使得合法报文知道如何进入SDP网络，恶意流量将被SDP边缘节点丢弃。
在整个SDP架构中受保护的资源是消失的，隐藏的，所以SDP也被称做“黑云”。SDP通过抗DOS Token 、流量加密、应用分段与隔离、客户端持续动态设备验证、访问行为可视、实时事件响应以及贯穿整个零信任模型的按需授权和最小权限原则可以有效地限制了攻击活动，极大地提高了攻击者的攻击成本。架构大致如下所示：

优点

• 用户可信
• 终端可信
• 链路可信
• 资源权限可信
• 动态信任检测
• 安全基线
• 抗dos等

缺点

• saas 服务不好部署

应用安全网关

主体内容：

代理：透明代理。
流量管理：支持路由、流量复制、分流等功能。
治理特性：支持健康检查、熔断、限流、超时、重试、故障注入。
多协议支持：支持 HTTP/1.1，HTTP/2，GRPC，WebSocket 等协议代理与治理。
负载均衡：加权轮询、加权最少请求、Ring hash、Maglev、随机等算法支持。支持区域感知路由、故障转移等特性。
动态配置 API：提供健壮的管控代理行为的接口，动态配置热更新。
可观察性设计：提供七层流量高可观察性，原生支持分布式追踪。
支持热重启：实现无缝升级。
自定义插件：脱敏插件
安全防护：waf功能

待完善中…

数据安全网关

主体：数据过滤，数据脱敏/加解密，权限控制，行为分析

待完善中…