安全小飞侠-从大型互联网企业零信任实践之路谈如何构建立体化的防御体系（17页）.pdf

1、从大型互联网企业零信任实践之路谈如何构建立体化的防御体系王任飞安全小飞侠(avfisher)王任飞(avfisher)公众号“安全小飞侠”作者 多年一线攻防经验，现任某厂商蓝军负责人，主要专注于红蓝对抗、漏洞研究、渗透测试、安全架构、云安全等领域。关于我Agenda 办公环境零信任 生产环境零信任 立体化防御体系办公环境零信任以内部员工身份鉴权为基础的办公环境零信任面向人 统一的Web接入与访问代理 统一的单点登录SSO 基于硬件Key的MFA 基于证书的设备管理 多维度动态风险评估面向程序源码 统一代码仓 统一CI/CD流水线 默认安全的代码库框架与模版 基于RBAC/ABAC针对研发人员的

2、权限管理面向运行环境 基于CI/CD流水线的自动化编译与部署 编译后产物的证书签名与完整性校验 统一的密钥与证书管理 统一的服务凭据管理 运行环境间依赖关系管理CodePackageVersionSetEnvironment生产环境零信任以服务间鉴权和数据保护为中心的生产环境零信任面向工作负载 网络负载网络负载 主机负载 容器负载面向工作负载 网络负载 主机负载主机负载 容器负载vTPM微控制器安全芯片ePBFETWKernelOSBIOSBoot Loader硬件芯片硬件芯片安全启动安全启动操作系统操作系统EDR面向工作负载 网络负载 主机负载 容器负载容器负载认证鉴权ClusterCont

3、ainer密钥管理访问控制数据加密容器逃逸运行时漏洞容器配置镜像扫描镜像签名特权用户Image内核漏洞面向应用服务 服务间鉴权（基于主机）服务间访问策略配置平台 服务间鉴权运行时守护进程 加密凭据分发进程 TLS通道1.服务注册与API级访问申请2.同步服务间访问策略与密钥3.加密请求并使用密钥签名4.通过TLS通道发送request至服务B5.解密服务A发送过来的request6.校验服务A的授权策略7.处理服务A的业务request8.加密response并使用密钥签名9.通过TLS通道发送response回服务A10.解密服务B发送回的responseTLS通道通道面向应用服务 服务间鉴权（基于容器）服务身份访问策略配置 服务身份标识（一组凭据）ALTS通道1.配置服务A的身份2.配置服务B的身份3.配置服务B的ALTS访问策略4.服务A为服务B的身份颁发主证书，并由签名服务签名5.服务A使用与创建的主证书关联的主私钥，在本地为服务B创建ALTS握手证书并进行签名6.服务A使用创建的握手证书与服务B进行ALTS握手7.服务B对应的ALTS政策Enforcer执行访问策略校验8.服务B返回响应结果至服务AALTS通道通道面向业务数据 分层保护 分级存储 加密传输 全局票据（EUC）立体化防御体系以解决身份信任（Identify）为本质的立体化防御体系立体化防御架构