数据安全--安全网关
简介
对于数据安全来说,安全网关是数据安全建设中极其重要的一部分,我这里把它做了几种分类,如下;
- 对内:零信任安全网关(7层和4层)
- 对外:应用安全网关(7层)
- 对内和外:数据安全网关(7层对外,4层对内)
主要针对数据访问权限,数据泄漏,身份等进行治理和管控。
零信任网关
一般零信任网关大体有几种类型的安全方案:
- 基于身份治理的零信任
- 基于微隔离的零信任
- 基于软件定义边界(SDP)的零信任
比较好的零信任基本要求几点:用户可信,传输链路可信,访问实体可信, 资源权限可信,动态信任评估[附加行为可信(ueba)],安全基线。
技术架构
一些可选型的网关和技术,如下:
- openresty
- BFE
- Janusec
- Enovy
- gobetween
- DPDK/ebpf
- Traefik
- HAProxy
基于身份治理的零信任
基于身份管理系统的零信任以访问主体的身份为策略执行组件,其产品形式一般为IAM+SSO,将企业资源登陆系统与身份管理系统对接,授权用户采用单点登陆(SSO)访问,只能在软件逻辑层面起到作用。大约的一个访问流程,如下:
优点
- 灵活度较高,无需考虑网络拓扑结构变化
- 兼容性比较强,适合企业内部部署也适合SaaS服务
- 配置方便
缺点
- 不能屏蔽内部服务端口和服务,攻击者仍然可以对其进行攻击和扫描
- 一些内部服务,仍然需要依靠企业VPN进行访问
基于硬件/软件隔离的零信任
基于硬件隔离的零信任是以交换机、NGFW等专用网关设备为策略执行组件的方案,其产品形式一般为客户端代理+专用硬件网关,使用专用硬件网关将网络划分为多个私有网段,将企业核心资源放入私有网段进行保护,授权用户采用客户端代理访问; 软件也可以采用类似的访问,如云原生安全利用enovy+opa+ebpf的方式。大致画啦一个图,将就看吧,网上有很多微隔离的架构图:
优点
- 可以使用已采购的专用设备/开源的技术栈进行零信任改造
- 可以避免一些病毒传播和ddos等
缺点
- 基于硬件隔离的零信任的话,成本比较高,整起来比较麻烦费事,另一个还需要依靠身份管理系统才能发挥作用
- 基于硬件隔离的零信任,网络拓扑变动就的跟着就行调整。
基于软件定义边界的零信任
软件定义边界SDP是由云安全联盟在2014年提出的新一代网络安全解决方案。SDP,也被Gartner称作零信任网络访问(ZTNA)。SDP是围绕某个应用或一组应用创建的基于身份和上下文的逻辑访问边界,SDP从架构设计上就只允许可信任的业务报文通过,同时丢弃不合法报文。一般来讲,在SDP架构下真实的后端服务是被隐藏的,客户端与众多的SDP边缘节点联动,使得合法报文知道如何进入SDP网络,恶意流量将被SDP边缘节点丢弃。
在整个SDP架构中受保护的资源是消失的,隐藏的,所以SDP也被称做“黑云”。SDP通过抗DOS Token 、流量加密、应用分段与隔离、客户端持续动态设备验证、访问行为可视、实时事件响应以及贯穿整个零信任模型的按需授权和最小权限原则可以有效地限制了攻击活动,极大地提高了攻击者的攻击成本。架构大致如下所示:
优点
- 用户可信
- 终端可信
- 链路可信
- 资源权限可信
- 动态信任检测
- 安全基线
- 抗dos等
缺点
- saas 服务不好部署
应用安全网关
主体内容:
代理:透明代理。
流量管理:支持路由、流量复制、分流等功能。
治理特性:支持健康检查、熔断、限流、超时、重试、故障注入。
多协议支持:支持 HTTP/1.1,HTTP/2,GRPC,WebSocket 等协议代理与治理。
负载均衡:加权轮询、加权最少请求、Ring hash、Maglev、随机等算法支持。支持区域感知路由、故障转移等特性。
动态配置 API:提供健壮的管控代理行为的接口,动态配置热更新。
可观察性设计:提供七层流量高可观察性,原生支持分布式追踪。
支持热重启:实现无缝升级。
自定义插件:脱敏插件
安全防护:waf功能
待完善中…
数据安全网关
主体:数据过滤,数据脱敏/加解密,权限控制,行为分析
待完善中…
数据安全--安全网关相关推荐
- 信息安全工程师笔记-大数据安全威胁与需求分析
大数据安全需求分析 ①大数据自身安全: ②大数据安全合规: ③大数据跨境安全: ④大数据隐私保护: ⑤大数据处理平台安全: ⑥大数据业务安全: ⑦大数据安全运营. 大数据自身安全 大数据应用依赖可信的 ...
- 勒索病毒再次对能源行业数据安全保护敲响警钟
5 月 8日,据外媒纽约时报报道,美国最大成品油管道公司Colonial Pipeline被勒索软件攻击,据了解,实施网络攻击的黑客很可能是专业的网络犯罪团伙.为避免造成更大影响,该公司已主动切断部分 ...
- 如何建立“开箱即用”的数据安全防护系统 | 专家对话
2019年,多起重大数据泄露事件几乎席卷全球用户.从上半年的苹果iOS 12.1重大漏洞曝光导致FaceTime通话可被窃听,到以"注重隐私"为卖点的美国邮件服务提供商 VFEma ...
- 深入大数据安全分析(1):为什么需要大数据安全分析?
[前言]经过我们的不懈努力,2014年底我们终于发布了大数据安全分析平台(Big Data Security Analytics Platform,简称BDSAP).那么,到底什么是大数据安全分析?为 ...
- 天玥运维安全网关_中国工业网络安全厂商综合能力概览
能力概览图从三个维度确定了厂商所属位置.第一个维度是安全资质,决定其上下位置:第二个维度是产品种类,决定其左右位置:这样就基本确定其所在位置,但也有多厂商的资质和产品种类差不多,我们就从第三个维度:企 ...
- 2021年Gartner数据防泄露市场指南发布,做为中国数据安全代表性厂商天空卫士连续三年入选
2021年Gartner数据防泄露市场指南发布,做为中国数据安全代表性厂商天空卫士连续三年入选 天空卫士蝉联入选Gartner 数据防泄露市场指南 近日,Gartner发布2021年<数据防泄露 ...
- 信息安全-大数据安全需求分析与安全保护工程
一.大数据安全威胁与需求分析 1.1 大数据相关概念发展 大数据:是指非传统的数据处理工具的数据集 大数据特征:海量的数据规模.快速的数据流转.多样的数据类型和价值密度低等 大数据的种类和来源非常多, ...
- 【金猿产品展】齐治DSG数据库安全网关系统——统一的数据库操作管控平台
齐治科技产品 本项目由齐治科技投递并参与"数据猿年度金猿策划活动--2021大数据产业创新服务产品榜单及奖项"评选. 数据智能产业创新服务媒体 --聚焦数智 · 改变商业 齐治数据 ...
- 数据安全的下一个风口:SASE云服务平台
我们为什么需要SASE 如果您的数据知识存储在本地,存储中心就是数据中心.但是现在越来越多企业把业务移到云上,传统意义上的数据中心已经不复存在.数据中心无处不在,数据中心可以是终端,也可以是应用,当用 ...
- 5G数据安全防护白皮书
目 录 一. 5G 数据安全概述 1 (一) 5G 为数据带来新特征 1 (二) 5G 数据安全的研究目标 2 二. 5G 数据安全面临的挑战与风险 2 (一) 5G 数据安全挑战 2 (二) 5G ...
最新文章
- PyTorch学习笔记——pytorch图像处理(transforms)
- Qemu之Network Device全虚拟方案
- NYOJ 287 Radar 贪心之 区间选点
- 【NLP】全方位解读 | Facebook的搜索是怎么做的?
- 前端学习(619):变量的小案例二
- Python3解析XML文件(xml.etree.ElementTree)——以简单网络爬虫为例
- DevExpress学习03——label控件的背景色问题
- xtrabackup与mysqldump对比测试
- 【Oracle】等待事件详细内容
- 华为网络设备交换机路由器查看日志命令方法
- 《强化学习周刊》第65期:Neurips2022强化学习论文推荐(5)、MIT:机器狗当守门员、具身智能与机器人研讨会...
- 分布式架构 网络传输优化
- git revert回滚merge提交时报错(commit xxx is a merge but no -m option )
- RAP2本地开发环境部署
- 雅思成绩单上的这个符号, CEFR 究竟是什么意思
- 网络营销实训一:什么是网络营销?
- oracle里的tns是什么意思
- 一家披萨店不见客人,却能月入30万 !他们是怎么运营的呢?
- 模型调参之网格搜索与随机搜索
- 加推超级IP名片是什么?10个问题解答