摘要
传统的防火墙、入侵检测系统都是基于物理边界的,默认墙内安全,墙外不安全。随着应用程序和用户现在更可能在外围而不是内部,这种安全模型已经不再适用于当今复杂的网络场景。而“零信任”脱离了这种传统的安全模型,不再区别对待墙内墙外,所有接入的设备、人或系统都要经过认证和授权,即先鉴权,后连接再访问。零信任网络可以提升用户体验,在安全性,扩展性及易于部署等方面均优于传统VPNs。
Intel® ZTNA RA,也就是零信任网络访问参考架构,是基于IPL(Intel Proprietary License), 实现了基础的用户认证和服务授权。采用高性能VPP作为数据转发引擎,结合了VPP ACL实现最小权限访问控制和基于角色的访问控制。控制面和数据面采用Intel® SGX/TDX增强保护所有核心进程以及敏感数据,并且结合了Intel® AVX512,AES-NI和QAT等加速数据面的加解密和转发性能。
主要功能概述
整个架构包括4个组件,控制器、安全网关、客户端以及service,我们工作的重点主要是在控制器、安全网关、以及客户端的部分模块。该方案旨在提供一款从边缘到云的端到端的多云网络安全方案,具有更高的性能,增强的安全保护能力,且更易于部署。
1.在控制器上
集成headscale和vault对用户的身份进行识别和认证,支持Azure AD等三方身份认证系统。利用vault来管理敏感信息,比如令牌、证书、密钥及密钥生命周期的管理等。集成vaultlocker增强全磁盘加密,并且所有的进程以及敏感数据都结合Intel® SGX/TDX来增强保护。所有的节点到控制器的连接采用Https,利用Let's encrypt实现了Https证书的自动管理。这就使得,零信任系统中所涉及到的密钥、令牌、证书等所有的敏感信息,在静态、传输或者使用过程中全程得到有效地保护。
2.在安全网关上
集成tailscale作为和控制器交互的引擎,采用高性能VPP作为数通转发引擎,tailscale会把控制器下发的相关配置信息,比如tunnel的peer信息、ACL规则等下发给VPP,利用VPP作为策略的执行者,来实现基于角色的访问控制。在安全网关,结合了Intel® AVX512,AES-NI和QAT等加速数据面的转发性能,也可以结合Intel® SGX/TDX增强保护所有核心进程以及敏感数据。
特别提示:在安全网关上,SGX保护的只是tailscale,TDX则可以保护整个安全网关。
3.在客户端
tailscale集成了strongswan,来支持和安全网关的IPsec IKE协商,而且client和安全网关之间支持wireguard和IPsec两种隧道。
总结
Intel® ZTNA RA旨在提供了一个完整的从边缘到云的端到端的解决方案。结合了Intel® SGX/TDX增强保护所有核心进程以及敏感数据。数据面采用高性能VPP作为数据转发引擎,并且结合了Intel® AVX512,AES-NI和QAT等加速转发性能。此外,整个方案目前已支持多云自动化部署。
以上介绍的主要功能已在23.03 release发布, QAT、mTLS以及性能提优等将会在下个release展开。未来将持续集成更多更好的Intel软硬件特性,希望可以给业界提供更安全、更高性能、更灵活部署的可参考架构。
该软件目前还未开源, 如有需要请随时与我们联系。
联系方式
Wang, Xiang (xiang.w.wang@intel.com)
Yun, Lan (yun.lan@intel.com)
Ju, Huang (ju.huang@intel.com)
白皮书
当前已有22.06 release 版本的白皮书,包括基础的用户认证、服务授权、VPP以及和Intel® SGX的集成等,欢迎各位下载和阅读。
https://www.intel.com/content/www/us/en/content-details/751287/zero-trust-zero-trust-reference-architecture-technology-guide.html?wapkw=ztra
转载须知
DPDK与SPDK开源社区
公众号文章转载声明
推荐阅读
SPDK NVMe-oF多路径结合Delay Bdev使用场景
DPDK社区安全问题处理流程介绍
点点“赞”和“在看”,给我充点儿电吧~