摘要

传统的防火墙、入侵检测系统都是基于物理边界的，默认墙内安全，墙外不安全。随着应用程序和用户现在更可能在外围而不是内部，这种安全模型已经不再适用于当今复杂的网络场景。而“零信任”脱离了这种传统的安全模型，不再区别对待墙内墙外，所有接入的设备、人或系统都要经过认证和授权，即先鉴权，后连接再访问。零信任网络可以提升用户体验，在安全性，扩展性及易于部署等方面均优于传统VPNs。

Intel® ZTNA RA，也就是零信任网络访问参考架构，是基于IPL(Intel Proprietary License), 实现了基础的用户认证和服务授权。采用高性能VPP作为数据转发引擎，结合了VPP ACL实现最小权限访问控制和基于角色的访问控制。控制面和数据面采用Intel® SGX/TDX增强保护所有核心进程以及敏感数据，并且结合了Intel® AVX512，AES-NI和QAT等加速数据面的加解密和转发性能。

主要功能概述

整个架构包括4个组件，控制器、安全网关、客户端以及service，我们工作的重点主要是在控制器、安全网关、以及客户端的部分模块。该方案旨在提供一款从边缘到云的端到端的多云网络安全方案，具有更高的性能，增强的安全保护能力，且更易于部署。

    1.在控制器上

集成headscale和vault对用户的身份进行识别和认证，支持Azure AD等三方身份认证系统。利用vault来管理敏感信息，比如令牌、证书、密钥及密钥生命周期的管理等。集成vaultlocker增强全磁盘加密，并且所有的进程以及敏感数据都结合Intel® SGX/TDX来增强保护。所有的节点到控制器的连接采用Https，利用Let's encrypt实现了Https证书的自动管理。这就使得，零信任系统中所涉及到的密钥、令牌、证书等所有的敏感信息，在静态、传输或者使用过程中全程得到有效地保护。

    2.在安全网关上

集成tailscale作为和控制器交互的引擎，采用高性能VPP作为数通转发引擎，tailscale会把控制器下发的相关配置信息，比如tunnel的peer信息、ACL规则等下发给VPP，利用VPP作为策略的执行者，来实现基于角色的访问控制。在安全网关，结合了Intel® AVX512，AES-NI和QAT等加速数据面的转发性能，也可以结合Intel® SGX/TDX增强保护所有核心进程以及敏感数据。

特别提示：在安全网关上，SGX保护的只是tailscale，TDX则可以保护整个安全网关。

    3.在客户端

tailscale集成了strongswan，来支持和安全网关的IPsec IKE协商，而且client和安全网关之间支持wireguard和IPsec两种隧道。

总结

Intel® ZTNA RA旨在提供了一个完整的从边缘到云的端到端的解决方案。结合了Intel® SGX/TDX增强保护所有核心进程以及敏感数据。数据面采用高性能VPP作为数据转发引擎，并且结合了Intel® AVX512，AES-NI和QAT等加速转发性能。此外，整个方案目前已支持多云自动化部署。

以上介绍的主要功能已在23.03 release发布， QAT、mTLS以及性能提优等将会在下个release展开。未来将持续集成更多更好的Intel软硬件特性，希望可以给业界提供更安全、更高性能、更灵活部署的可参考架构。

该软件目前还未开源, 如有需要请随时与我们联系。

联系方式

• Wang, Xiang (xiang.w.wang@intel.com)

• Yun, Lan (yun.lan@intel.com)

• Ju, Huang (ju.huang@intel.com)

白皮书

当前已有22.06 release 版本的白皮书，包括基础的用户认证、服务授权、VPP以及和Intel® SGX的集成等，欢迎各位下载和阅读。

https://www.intel.com/content/www/us/en/content-details/751287/zero-trust-zero-trust-reference-architecture-technology-guide.html?wapkw=ztra

转载须知

DPDK与SPDK开源社区

公众号文章转载声明

推荐阅读

SPDK NVMe-oF多路径结合Delay Bdev使用场景

DPDK社区安全问题处理流程介绍

点点“赞”和“在看”，给我充点儿电吧~