Intel® ZTNA RA 23.03 release

news2024/11/25 6:41:08

摘要

传统的防火墙、入侵检测系统都是基于物理边界的,默认墙内安全,墙外不安全。随着应用程序和用户现在更可能在外围而不是内部,这种安全模型已经不再适用于当今复杂的网络场景。而“零信任”脱离了这种传统的安全模型,不再区别对待墙内墙外,所有接入的设备、人或系统都要经过认证和授权,即先鉴权,后连接再访问。零信任网络可以提升用户体验,在安全性,扩展性及易于部署等方面均优于传统VPNs。

Intel® ZTNA RA,也就是零信任网络访问参考架构,是基于IPL(Intel Proprietary License), 实现了基础的用户认证和服务授权。采用高性能VPP作为数据转发引擎,结合了VPP ACL实现最小权限访问控制和基于角色的访问控制。控制面和数据面采用Intel® SGX/TDX增强保护所有核心进程以及敏感数据,并且结合了Intel® AVX512,AES-NI和QAT等加速数据面的加解密和转发性能。

d3f125102b173fae35ab20eac29feada.png

主要功能概述

f14663f00cf6b1c6de24200125e19dd5.png

整个架构包括4个组件,控制器、安全网关、客户端以及service,我们工作的重点主要是在控制器、安全网关、以及客户端的部分模块。该方案旨在提供一款从边缘到云的端到端的多云网络安全方案,具有更高的性能,增强的安全保护能力,且更易于部署。

    1.在控制器上

集成headscale和vault对用户的身份进行识别和认证,支持Azure AD等三方身份认证系统。利用vault来管理敏感信息,比如令牌、证书、密钥及密钥生命周期的管理等。集成vaultlocker增强全磁盘加密,并且所有的进程以及敏感数据都结合Intel® SGX/TDX来增强保护。所有的节点到控制器的连接采用Https,利用Let's encrypt实现了Https证书的自动管理。这就使得,零信任系统中所涉及到的密钥、令牌、证书等所有的敏感信息,在静态、传输或者使用过程中全程得到有效地保护。

    2.在安全网关上

集成tailscale作为和控制器交互的引擎,采用高性能VPP作为数通转发引擎,tailscale会把控制器下发的相关配置信息,比如tunnel的peer信息、ACL规则等下发给VPP,利用VPP作为策略的执行者,来实现基于角色的访问控制。在安全网关,结合了Intel® AVX512,AES-NI和QAT等加速数据面的转发性能,也可以结合Intel® SGX/TDX增强保护所有核心进程以及敏感数据。

特别提示:在安全网关上,SGX保护的只是tailscale,TDX则可以保护整个安全网关。

    3.在客户端

tailscale集成了strongswan,来支持和安全网关的IPsec IKE协商,而且client和安全网关之间支持wireguard和IPsec两种隧道。

总结

Intel® ZTNA RA旨在提供了一个完整的从边缘到云的端到端的解决方案。结合了Intel® SGX/TDX增强保护所有核心进程以及敏感数据。数据面采用高性能VPP作为数据转发引擎,并且结合了Intel® AVX512,AES-NI和QAT等加速转发性能。此外,整个方案目前已支持多云自动化部署。

以上介绍的主要功能已在23.03 release发布, QAT、mTLS以及性能提优等将会在下个release展开。未来将持续集成更多更好的Intel软硬件特性,希望可以给业界提供更安全、更高性能、更灵活部署的可参考架构。

该软件目前还未开源, 如有需要请随时与我们联系。

联系方式

  • Wang, Xiang (xiang.w.wang@intel.com)

  • Yun, Lan (yun.lan@intel.com)

  • Ju, Huang (ju.huang@intel.com)

白皮书

当前已有22.06 release 版本的白皮书,包括基础的用户认证、服务授权、VPP以及和Intel® SGX的集成等,欢迎各位下载和阅读。

https://www.intel.com/content/www/us/en/content-details/751287/zero-trust-zero-trust-reference-architecture-technology-guide.html?wapkw=ztra

d1bfe516bcb46c1d2549b242f271f8d2.jpeg

转载须知

DPDK与SPDK开源社区

公众号文章转载声明

推荐阅读

SPDK NVMe-oF多路径结合Delay Bdev使用场景

DPDK社区安全问题处理流程介绍

830c1797d39cc047b6f575f9e216b646.jpeg

692912264141d8c20a1d6afef9de93f2.gif

点点“赞”“在看”,给我充点儿电吧~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/539305.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

论文浅尝 | 常识问答中的忠诚知识图解释

笔记整理:邹铭辉,天津大学硕士,研究方向为知识图谱 链接:https://aclanthology.org/2022.emnlp-main.743 动机 知识图谱通常被用作常识问答的信息来源,同时也可以用来解释模型对答案的选择。纳入图谱中事实信息的一个常…

诺贝尔奖得主Warshel:用计算化学揭开生命底层分子运行机制|智源大会嘉宾风采...

导读 复杂化学系统的多尺度建模可以用于计算机辅助药物设计、疾病致病机制、早期诊断生物标记、创新药物开发,这些具有划时代意义的研究成果,都凝结着计算化学研究先驱Arieh Warshel夜以继日的努力。 Warshel的传奇人生始于以色列一家公社的鱼塘&#xf…

【强烈推荐】3dMax自动展UV神器UV-Packer插件

UV-Packer是一款快速、精确的UV自动展开工具。这是一个一键式的解决方安,可以解决将展开的多边形排序和压缩成UV片的艰巨工作。 【适用版本】 3dMax2015-2024 【主要特性】 最小的UV区域浪费 确定良好 UV 包装的第一条规则是未覆盖的 UV 区域有多少。 浪费的空间…

操作系统的发展史(DOS/Windows篇)

操作系统的最强入门科普(Unix/Linux篇) 上一篇文章,小枣君介绍了Unix和Linux操作系统的诞生和发展。今天这篇,我再来说说微软的DOS和Windows系列。 █ DOS操作系统 上期提到,20世纪70年代,伴随着计算机技术…

360QPaaS参编信通院《组装式应用开发平台研究报告》| 应用前沿

在数字化转型的大背景下,“组装式应用” 成为行业重要战略趋势之一。数字化相较于信息化,强调基于信息数据反哺业务,业务进一步促进系统的迭代优化。组装式应用平台就是一种以业务为中心的模块化组件构成。组装式应用协力提供更灵活的组装式部…

Apache Iceberg 中引入索引提升查询性能

动手点关注 干货不迷路 ‍ ‍Apache Iceberg 是一种开源数据 Lakehouse 表格式,提供强大的功能和开放的生态系统,如:Time travel,ACID 事务,partition evolution,schema evolution 等功能。 本文将讨论火山…

治病如救火,怎样让新药研发更快、更省、更准?

说起医疗与生命科学行业,许多人可能都会想到一句俗语——“治病如救火”,可见其分秒必争的时效性。 然而,如果与日新月异的科技行业相比,医疗与生命科学行业在研发上的速度则慢得惊人。来自《自然》杂志的数据显示,一款…

搭建企业级ESB:让接口管理高效

目 录 01 接口管理现状分析‍‍‍‍‍ 02 ESB对接口的管理‍‍‍‍‍‍ 03 ESB接口管理的发展‍‍‍‍ 04 总结 01 接口管理现状分析‍ 随着社会的发展企业中建立了许多系统,系统中提供了许多接口作为业务解耦的重要手段。随着业务关系越来越复杂、依赖越来越多&…

Krpano之一全景图中嵌入可闪烁的热点图片

效果 步骤 1、打开ptgui软件加载全景图 2、镜头参数设置 3、编辑全景图 4、设置编辑模式 5、拖动鼠标和划动两个方向来调整全景图范围 调整后大概是这样的,我只要在这个区域画一个面即可,尽量让调整后是俯视图,这样在这基础上画的面会比较正一些

拼多多买家如何导出“个人中心”订单信息

经常在拼多多买东西,有时候需要把订单的物流信息导出来,方便记录和统计。现介绍如何使用dumuz工具来实现批量下载拼多多订单。 应用功能描述 模拟人工操作拼多多"个人中心-我的订单”订单网页,批量查询获取拼多多自己买的商品的订单数…

Istio 微服务架构的演变

微服务架构的演变 单体模式下面一个应用通常会有一个app server,这个app server里面会有不同的子模块,每一个模块都写在同一个应用包里面,模块和模块之间的边界有些时候设计的不是特别清晰,特别早期代码混合在一起那么意味着互相的…

PCL学习之滤波算法

前言 点云滤波作为常见的点云处理算法,一般是点云处理的第一步,对后续处理有很重要作用。滤波 有很多方面也有很多种功能,比如去除噪声点、离群点、点云平滑以及空洞、数据压缩等 原始点云数据往往包含大量散列点、孤立点,在获取…

CS 224N总结

CS 224N网址:Stanford CS 224N | Natural Language Processing with Deep Learning Lecture1 PPT网址:PowerPoint Presentation (stanford.edu) 这一讲主要讲了NLP研究的对象,我们如何表示单词的含义,以及Word2Vec方法的基本原…

Ubuntu22 k8s 1.27.1 安装及集群搭建教学(2023.5.16 k8s 最新版本教学,只看这一篇就够了哦!保姆级教程!不行你来找我!)

Ubuntu22 k8s 1.27.1 安装及集群搭建教学(2023.5.16 k8s 最新版,只看这一篇就够了哦!保姆级教程!!不行你来找我!) 温馨提示请仔细阅读:❤️❤️❤️❤️❤️❤️❤️❤️ 1. 由于新版…

Linux系统学习须牢记这几点

工欲善其事须先利其器,想了解Linux技术,先要有一套教学平台,请教同行或者老师来为我们解答,当然也可以下载Cygwin进行学习。但是自主学习的这一过程很困难,因为没有别人的帮助,我们或许会感到迷茫,也会出现…

Spring整合Mybatis、Junit

文章目录 1 Spring整合Mybatis思路分析1.1 环境准备步骤1:准备数据库表步骤2:创建项目导入jar包步骤3:根据表创建模型类步骤4:创建Dao接口步骤5:创建Service接口和实现类步骤6:添加jdbc.properties文件步骤7:添加Mybatis核心配置文件步骤8:编写应用程序步骤9:运行程序 1.2 整合…

STM32F1定时器(TIM1~TIM8)

一、stm32f1定时器简介 1.1、定时器分类 STM32共11个定时器,2个高级控制定时器TIM1和TIM8,4个通用定时器TIM2~TIM5,两个基本定时器TIM6和TIM7,两个看门狗定时器和一个系统滴答定时器Systick. 高级定时器TIM1和TIM8的时钟由APB1产…

想改进婴儿fNIRS数据分析?基于这些先进方法的评估值得一看!

导读 在过去的十年中,fNIRS提供了一种非侵入性的方法来研究发展人群的神经激活。尽管fNIRS在发展认知神经科学中的应用越来越多,但在如何预处理和分析婴儿fNIRS数据方面却缺乏一致性或共识。本研究考察了对婴儿fNIRS数据应用更高级统计分析的可行性&…

智聚北京!相约全球人力资源数智化峰会

人力资源是推动经济社会发展的第一资源。作为我国经济压舱石的中央企业在对标世界一流企业和管理提升方面的持续创新,各行业领军企业围绕组织变革、管理升级、全球化发展走深走实。人力资源管理正从传统职能管理与管控,向紧贴业务战略实现、组织边界和人…

阿里巴巴-1688-退款退货明细下载(导出)

DUMUZ是什么? Dumuz是一款软件产品,可模拟人在电脑上的不同系统之间操作行为, 替代人在电脑前执行具有规律与重复性高的办公流程。 目前基于实际业务场景在软件搭建了模拟实现天猫/淘宝批量订单发货、备注插旗、页面商品数据采集、已买宝贝订…