精华内容
下载资源
问答
  • 大学基础自学Java的路线

    万次阅读 多人点赞 2020-09-02 12:14:16
    为什么我们网页能保证安全可靠的传输,你可能会了解到HTTP,HTTPS,TCP协议,什么三次握手,次挥手,中间人攻击等。 还有进程、线程、协程,内存屏障,指令乱序,分支预测,CPU亲和性等等,在之后的编程生涯,...

    点赞再看,养成习惯,微信搜索【三太子敖丙】关注这个互联网苟且偷生的工具人。

    本文 GitHub https://github.com/JavaFamily 已收录,有一线大厂面试完整考点、资料以及我的系列文章。

    前言

    自学/学习路线这样的一期我想写很久了,因为一直想写的全一点硬核一点所以拖到了现在,我相信这一期对不管是还在学校还是已经工作的同学都有所帮助,不管是前端还是后端我都墙裂建议大家看完,因为这样会让你对你所工作的互联网领域相关技术栈有个初步的了解。

    你们也知道敖丙我是个创作鬼才,常规的切入点也不是我的风格,我毕业后主要接触的都是电商领域,所以这一期我把目前所了解的技术栈加上之前电商系统的经验臆想了一个完整的电商系统,大家会看到很多熟悉的技术栈我相信也会看到自己未接触过的技术栈,我也会对每个技术栈的主要技术点提一下,至于细节就只能大家在我历史和未来的文章去看了。

    这期可谓是呕心沥血之作,不要白嫖喲。

    正文

    我先介绍一下前端

    前端

    我读者群体是以后端为主的,如果有大学还没开始学习的小伙伴,这个时候我想已经是满屏幕的问号了,为啥我们后端程序员还要去学习前端呢?我只能告诉你,傻瓜,肤浅。

    如果是已经大学毕业的程序员我相信每一个后端程序员都会简单的前端,甚至很多后端对目前前端最新技术也都是了解的,我们可不能闭门造车,谁告诉你后端就不学点前端了?而且你了解前端在之后工作联调过程中或许会有更好的思路对你的工作是有所帮助的。

    我们上网最先接触到的肯定不是后端的一系列东西,而是移动端和前端网页,各种花里胡哨的样式不是我们要去了解的,但是网页的基本语言以及布局从0到1这个过程是我们应该去了解的,大家看到的花里胡哨的网页布局、链接、文字、图片、事件等,都是一个个的标签、class样式以及js事件而已。

    技术背后的思想其实是互通的,所以作为后端以前端作为我们程序员学习的切入点是完全OK的(只是针对还未入门萌新猿),我相信在各位的大学前端基础课程也都是有安排的,而且不管是上学还是以后毕业我相信各位以后一定会接触些许前端的。

    在大学一般都是用项目去锻炼技术的,那在项目里面很可能就是你一个人从前端到后端都是自己写的,我在大学就是这样的,现在工作了我们很多内容系统简单的前端也都是我们自己去开发的,因为为了简单的页面和逻辑去浪费前端的资源是没有很大必要的。

    在这里我列举了我目前觉得比较简单和我们后端可以了解的技术栈,都是比较基础和我觉得比较必须的。

    HTMLCSSJSAjax我觉得是必须掌握的点,看着简单其实深究或者去操作的话还是有很多东西的,其他作为扩展有兴趣可以了解,反正入门简单,只是精通很难很难。

    在这一层不光有这些还有Http协议和Servlet,requestresponsecookiesession这些也会伴随你整个技术生涯,理解他们对后面的你肯定有不少好处。

    扩展:前端技术我觉得VUE、React大家都可以尝试去用用,他们目前支持很多即插即用的插件会帮助你更便捷的开发出漂亮的网页。

    Tip:我这里最后删除了JSP相关的技术,我个人觉得没必要学了,很多公司除了老项目之外,新项目都不会使用那些技术了。

    前端在我看来比后端难,技术迭代比较快,知识好像也没特定的体系,所以面试大厂的前端很多朋友都说难,不是技术多难,而是知识多且复杂,找不到一个完整的体系,相比之下后端明朗很多,我后面就开始继续往下讲了。

    网关层:

    互联网发展到现在,涌现了很多互联网公司,技术更新迭代了很多个版本,从早期的单机时代,到现在超大规模的互联网时代,几亿人参与的春运,几千亿成交规模的双十一,无数互联网前辈的造就了现在互联网的辉煌。

    微服务分布式负载均衡云原生等我们经常提到的这些名词都是这些技术在场景背后支撑。

    单机顶不住,我们就多找点服务器,但是怎么将流量均匀的打到这些服务器上呢?

    负载均衡,LVS

    我们机器都是IP访问的,但是我们上网都是访问域名就好了,那怎么通过我们申请的域名去请求到服务器呢?

    DNS

    大家刷的抖音,B站,快手等等视频服务商,是怎么保证同时为全国的用户提供快速的体验?

    CDN

    我们这么多系统和服务,还有这么多中间件的调度怎么去管理调度等等?

    zk

    这么多的服务器,怎么对外统一访问呢,就可能需要知道反向代理的服务器。

    Nginx

    这一层做了反向负载、服务路由、服务治理、流量管理、安全隔离、服务容错等等都做了,大家公司的内外网隔离也是这一层做的。

    我之前还接触过一些比较有意思的项目,所有对外的接口都是加密的,几十个服务会经过网关解密,找到真的路由再去请求。

    这一层的知识点其实也不少,你往后面学会发现分布式事务,分布式锁,还有很多中间件都离不开这一层的Zookeeper,接下来就是整个学习体系最复杂的部分了,服务端。

    服务层:

    这一层有点东西了,算是整个框架的核心,如果你跟敖丙一样以后都是从事后端开发的话,我们基本上整个技术生涯,大部分时间都在跟这一层的技术栈打交道了,各种琳琅满目的中间件,计算机基础知识,Linux操作,算法数据结构,架构框架,研发工具等等。

    我想在看这个文章的各位,计算机基础肯定都是学过的吧,如果大学的时候没好好学,我觉得还是有必要再看看的。

    为什么我们网页能保证安全可靠的传输,你可能会了解到HTTP,HTTPS,TCP协议,什么三次握手,四次挥手,中间人攻击等。

    还有进程、线程、协程,内存屏障,指令乱序,分支预测,CPU亲和性等等,在之后的编程生涯,如果你能掌握这些东西,会让你在遇到很多问题的时候瞬间get到点,而不是像个无头苍蝇一样乱撞(然而敖丙还做得不够,所以最近也是在恶补操作系统和网路相关的知识)。

    了解这些计算机知识后,你就需要接触编程语言了,大学的C语言基础会让你学什么语言入门都会快点,嵌入式实习结束后我选择了面向对象的JAVA,但是也不知道为啥现在还没对象。

    JAVA的基础也一样重要,面向对象(包括类、对象、方法、继承、封装、抽象、 多态、消息解析等),常见API,数据结构,集合框架设计模式(包括创建型、结构型、行为型),多线程和并发I/O流,Stream,网络编程你都需要了解。

    代码会写了,你就要开始学习一些能帮助你把系统变得更加规范的框架,SSM可以会让你的开发更加便捷,结构层次更加分明。

    写代码的时候你会发现你大学用的Eclipse在公司看不到了,你跟大家一样去用了IDEA,第一天这是什么玩意,一周后,真香,但是这玩意收费有点贵,那免费的VSCode真的就是不错的选择了。

    代码写的时候你会接触代码的仓库管理工具mavenGradle,提交代码的时候会去学习项目版本管理工具Git

    代码提交之后,发布之后你会发现很多东西需要自己去服务器亲自排查,那Linux的知识点就可以在里面灵活运用了,通过跳板机访问服务器查看进程,查看文件,各种Vim操作指令等等。

    当你自己研发系统发布时你发现很多命令其实可以写成一个脚本一键执行就好了,那Shell会让你事半功倍的。

    系统层面的优化很多时候会很有限,你可能会尝试从算法,或者优化数据结构去优化,你看到了HashMap的源码,想去了解红黑树,然后在算法网上看到了二叉树搜索树和各种常见的算法问题,刷多了,你也能总结出精华所在,什么贪心,分治,动态规划等。

    这么多个服务,你发现HTTP请求已经开始有点不满足你的需求了,你想开发更便捷,像访问本地服务一样访问远程服务,所以我们去了解了Dubbo,Spring cloud等。

    了解Dubbo的过程中,你发现了RPC的精华所在,所以你去接触到了高性能的NIO框架,Netty

    代码写好了,服务也能通信了,但是你发现你的代码链路好长,都耦合在一起了,所以你接触了消息队列,这种异步的处理方式,真香。

    他还可以帮你在突发流量的时候用队列做缓冲,但是你发现分布式的情况,事务就不好管理了,你就了解到了分布式事务,什么两段式,三段式,TCC,XA,阿里云的全局事务服务GTS等等。

    业务场景使用的多的时候你会想去了解RocketMQ,他也自带了分布式事务的解决方案,但是他并不适合超大数据量的场景,这个时候Kafka就会进入你的视线中。

    我上面提到过zk,像DubboKafka等中间件都是用它做注册中心的(后续kafka会把zk去掉)很多技术栈最后都组成了一个知识体系,你先了解了体系中的每一员,你才能把它们联系起来。

    服务的交互都从进程内通信变成了远程通信,所以性能必然会受到一些影响。

    此外由于很多不确定性的因素,例如网络拥塞、Server 端服务器宕机、挖掘机铲断机房光纤等等,需要许多额外的功能和措施才能保证微服务流畅稳定的工作。

    Spring Cloud 中就有 Hystrix 熔断器、Ribbon客户端负载均衡器、Eureka注册中心等等都是用来解决这些问题的微服务组件。

    你感觉学习得差不多了,你发现各大论坛博客出现了一些前沿技术,比如容器化、云原生,你可能就会去了解像**Docker,Kubernetes(K8s)**等技术,你会发现他们给企业级应用提供了怎样的便捷。

    微服务之所以能够快速发展,很重要的一个原因就是:容器化技术的发展和容器管理系统的成熟。

    这一层的东西呢其实远远不止这些的,我不过多赘述,写多了像个劝退师一样,但是大家也不用慌,大部分的技术都是慢慢接触了,工作中慢慢去了解,去深入的。

    这里呢还是想说我经常提到的那句话,你知道的越多,你不知道的越多,所有领域都是这样,一旦你深入了解了这个技术细节,衍生出来的新知识点和他的弊端会让你发现自己的无知,但学到自己不会的不断去进步会让你在学习的道路上走更远的。

    好啦我们继续沿着图往下看,那再往下是啥呢?

    数据层:

    数据库可能是整个系统中最值钱的部分了,今年呢也发生了微盟程序员删库跑路的操作,删库跑路其实是我们在网上最常用的笑话,但是这个笑话背后我们应该得到的思考就是,数据是整个企业最重要最核心的东西,我现在在公司的大数据团队对此深有体会。

    如果大家对大数据感兴趣我想我后面也可以找机会单独出一期大数据技术栈相关的专题。

    数据库基本的事务隔离级别索引,SQL,主被同步,读写分离等都可能是你学的时候要了解到的。

    不要把鸡蛋放一个篮子的道理大家应该都知道,那分库的意义就很明显了,然后你会发现时间久了表的数据大了,就会想到去接触分表,什么TDDLSharding-JDBCDRDS这些插件都会接触到。

    你发现流量大的时候,或者热点数据打到数据库还是有点顶不住,压力太大了,那非关系型数据库就进场了,Redis当然是首选,但是memcache也有各自的应用场景。

    Redis使用后,真香,真快,但是你会开始担心最开始提到的安全问题,这玩意快是因为在内存中操作,那断点了数据丢了怎么办?你就开始阅读官方文档,了解RDB,AOF这些持久化机制,线上用的时候还会遇到缓存雪崩击穿、穿透等等问题。

    单机不满足你就用了,他的集群模式,用了集群可能也担心集群的健康状态,所以就得去了解哨兵,他的主从同步,时间久了Key多了,就得了解内存淘汰机制

    老板让你最最小的代价去设计每日签到和UV、PV统计你就会接触到:位图和HyperLogLog,高速的过滤你就会考虑到:布隆过滤器 (Bloom Filter) ,附近的人就会使用到:GeoHash 他的大容量存储有问题,你可能需要去了解Pika

    其实远远没完,每个的点我都点到为止,但是其实要深究每个点都要学很久,我们接着往下看。

    实时/离线数仓/大数据

    等你把几种关系型非关系型数据库的知识点,整理清楚后,你会发现数据还是大啊,而且数据的场景越来越多多样化了,那大数据的各种中间件你就得了解了。

    你会发现很多场景,不需要实时的数据,比如你查你的支付宝去年的,上个月的账单,这些都是不会变化的数据,没必要实时,那你可能会接触像ODPS这样的中间件去做数据的离线分析。

    然后你可能会接触Hadoop系列相关的东西,比如于Hadoop(HDFS)的一个数据仓库工具Hive,是建立在 Hadoop 文件系统之上的分布式面向列的数据库HBase

    写多的场景,适合做一些简单查询,用他们又有点大材小用,那Cassandra就再合适不过了。

    离线的数据分析没办法满足一些实时的常见,类似风控,那Flink你也得略知一二,他的窗口思想还是很有意思。

    数据接触完了,计算引擎Spark你是不是也不能放过…

    算法/机器学习/人工智能:

    数据是整个电商系统乃至于我们整个互联网最值钱的部分不是随便说说的,但是如何发挥他们的价值,数据放在数据库是无法发挥他应有的价值的,算法在最近10年越来越受到大家的重视,机器学习、深度学习、人工智能、自动驾驶等领域也频频爆出天价offer的新闻,所以算法我觉得也有机会也是可以了解一下的。

    不知道大家用搜索引擎或者购物网站使用过以图搜图功能没,这就是算法的图像搜索功能,我们在搜索栏输入对应关键词之后算法同学会通过自然语言处理,然后再落到推荐系统给出最好的搜索结果,以及大家看到的热搜,默认搜索的推荐都是通过算法算出针对你个人最优的推荐,你最最感兴趣的推荐。

    就比如我最近在B站看了《龙王赘婿》相关的视频,我的默认搜索推荐就出现了《画网赘婿》的默认搜索推荐,这就是根据近期热点和你个人喜好算出来的,大家可以进去刷新试试。

    国内人口基数这么大,那相对来说垃圾内容应该更多才对,但是大家几乎可以一直浏览到绿色健康的网络环境,这得益于风控,算法同学也会用风控去对涉黄,涉政等内容做一个甄别。

    你要知道你的每一个行为在进入app开始就会被分析,最后给你打上一个个的标签,算法算出你最喜欢的内容投喂给你,你没发现抖音你越看内容越和你的胃口么?淘宝你越逛推荐的商品你越想买么?

    这都得益于大数据和算法的结合,不断完善不同的训练模型,投喂给用户他最喜欢的内容,很多训练模型甚至以小时维度的更新频率在更新。

    用户数据对内对外还有差别,因为很多平台是不会给你完整的数据的,但是算法同学会尽可能的捕捉用户的每一个潜在特性,然后去给你投喂最适合你的广告。

    看到这里大家可能会担心自己的数据安全了,其实每个公司都会有自己最基本的职业操守,正常公司都是不会去出卖自己用户的任何数据的,但是市面上也存在销售用户数据的黑色产业。

    生在这个大数据的年代是一件好事,技术是两面性也是我一直强调的,这样的技术会让你的所有信息透明,这个时候我们就要尽可能的注重保护我们自己的数据隐私安全,不要贪图小便宜去到处填写自己的真实信息,手机号,身份证号码等,你永远都不知道你数据的价值,以及他们可能把你的数据用在什么地方。

    算法这里我提到过搜索引擎,我打算单独讲一下,因为在技术侧还算有可圈可点之处。

    搜索引擎:

    传统关系型数据库和NoSQL非关系型数据都没办法解决一些问题,比如我们在百度,淘宝搜索东西的时候,往往都是几个关键字在一起一起搜索东西的,在数据库除非把几次的结果做交集,不然很难去实现。

    那全文检索引擎就诞生了,解决了搜索的问题,你得思考怎么把数据库的东西实时同步到ES中去,那你可能会思考到logstash去定时跑脚本同步,又或者去接触伪装成一台MySQL从服务的Canal,他会去订阅MySQL主服务的binlog,然后自己解析了去操作Es中的数据。

    这些都搞定了,那可视化的后台查询又怎么解决呢?Kibana,他他是一个可视化的平台,甚至对Es集群的健康管理都做了可视化,很多公司的日志查询系统都是用它做的。

    学习路线

    以上就是整个系统所有的技术栈了,这个时候大家再看一下我开头的电商项目图大家是不是会觉得更有感觉了?是不是发现好像是那么回事,也大概知道了很多技术栈在一个系统里面的地位了?

    技术路线路线图呢就用我之前的图其实就够了,不一定要严格按照这个去学习,只是给大家一个参考。

    资料/学习网站

    JavaFamily:由一个在互联网苟且偷生的男人维护的GitHub

    B站 网址:www.bilibili.com

    中国大学MOOC 网址:www.icourse163.org

    IMOOC 网址:www.imooc.com

    极客时间 网址:https://time.geekbang.org

    极客学院 网址:www.jikexueyuan.com

    网易云课堂 网址:https://study.163.com

    百度/谷歌 网址:www.baidu.com www.google.com

    知乎 网址:www.zhihu.com

    GitHub 网址:https://github.com

    我要自学网 网址:www.51zxw.net

    w3school、菜鸟教程 网址:www.w3school.com.cn www.runoob.com

    豆瓣、微信读书、当当 网址:www.douban.com https://weread.qq.com http://book.dangdang.com

    CSDN 网址www.csdn.net

    掘金 网址 https://juejin.im

    博客园 网址:www.cnblogs.com

    思否(segmentfault) 网址:https://segmentfault.com

    stackoverflow 网址:https://stackoverflow.com

    开源中国 网址:www.oschina.net

    V2ex 网址:www.v2ex.com

    infoQ 网址:www.infoq.cn

    有道词典 网址:www.youdao.com

    印象笔记 网址:www.yinxiang.com

    有道云、石墨文档 网址:https://note.youdao.com https://shimo.im

    ProcessOn 、xmind 网址:www.processon.com www.xmind.cn

    鸠摩搜索 网址:www.jiumodiary.com

    脚本之家 网址:www.jb51.net/books

    牛客网 校招 网址:www.nowcoder.com

    LeetCode、lintcode 网址:https://leetcode-cn.com www.lintcode.com

    数据结构模拟 网址:www.cs.usfca.edu

    BOSS、拉钩 网址:www.zhipin.com www.lagou.com

    絮叨

    另外,敖丙把自己的面试文章整理成了一本电子书,共 1630页!目录如下,还有我复习时总结的面试题以及简历模板

    现在免费送给大家,链接:https://pan.baidu.com/s/1ZQEKJBgtYle3v-1LimcSwg 密码:wjk6

    絮叨

    如果你想去一家不错的公司,但是目前的硬实力又不到,我觉得还是有必要去努力一下的,技术能力的高低能决定你走多远,平台的高低,能决定你的高度。

    如果你通过努力成功进入到了心仪的公司,一定不要懈怠放松,职场成长和新技术学习一样,不进则退。

    丙丙发现在工作中发现我身边的人真的就是实力越强的越努力,最高级的自律,享受孤独(周末的歪哥)。

    总结

    我提到的技术栈你想全部了解,我觉得初步了解可能几个月就够了,这里的了解仅限于你知道它,知道他是干嘛的,知道怎么去使用它,并不是说深入了解他的底层原理,了解他的常见问题,熟悉问题的解决方案等等。

    你想做到后者,基本上只能靠时间上的日积月累,或者不断的去尝试积累经验,也没什么速成的东西,欲速则不达大家也是知道的。

    技术这条路,说实话很枯燥,很辛苦,但是待遇也会高于其他一些基础岗位。

    所实话我大学学这个就是为了兴趣,我从小对电子,对计算机都比较热爱,但是现在打磨得,现在就是为了钱吧,是不是很现实?若家境殷实,谁愿颠沛流离。

    但是至少丙丙因为做软件,改变了家庭的窘境,自己日子也向小康一步步迈过去,不经一番寒彻骨,怎得梅花扑鼻香?

    说做程序员改变了我和我家人的一生可能夸张了,但是我总有一种下班辈子会因为我选择走这条路而改变的错觉。

    我是敖丙,一个在互联网苟且偷生的工具人。

    创作不易,本期硬核,不想被白嫖,各位的 「三连」 就是丙丙创作的最大动力,我们下次见!

    文章持续更新,可以微信搜索「 三太子敖丙 」第一时间阅读,回复【资料】有我准备的一线大厂面试资料和简历模板,本文 GitHub https://github.com/JavaFamily 已经收录,有大厂面试完整考点,欢迎Star。

    展开全文
  • 安全区域之间就形成了网络边界,在网络边界处部署边界安全设备,包括防火墙、IPS、防毒墙、WAF等,对来自边界外部的各种攻击进行防范,以此构建企业网络安全体系,这种传统方式可称为边界安全理念。 **边界内:**...

    产生背景

    传统边界安全理念及其不足

    对于资源的访问保护,传统方式是划分安全区域,不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界,在网络边界处部署边界安全设备,包括防火墙、IPS、防毒墙、WAF等,对来自边界外部的各种攻击进行防范,以此构建企业网络安全体系,这种传统方式可称为边界安全理念。
    **边界内:**安全区域内的用户默认都是可信的(安全的)对边界内用户的操作不再做过多的行为监测,(存在过度信任的问题)
    **边界外:**在安全区域边界外的用户默认是不可信的(不安全的),没有较多访问权限,边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制.
    **不足:**由于边界安全设备部署在网络边界上,缺少来自终端侧、资源侧的数据,且相互之间缺乏联动,对威胁的安全分析是不够全面的,因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面。对边界内用户存在过度信任问题。

    新技术发展对安全产生了新的要求和挑战

    1、云计算、物联网以及移动办公等新技术新应用的兴起,给传统边界安全理念带来了新的挑战,比如云计算技术的普及带来了物理安全边界模糊的挑战,远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险;各种人员接入带来了对设备、人员的管理难度和不可控安全因素增加的风险。这些都对传统的边界安全理念和防护手段,如部署边界安全设备、仅简单认证用户身份、静态和粗粒度的访问控制等提出了挑战

    零信任理念

    零信任代表了新一代的网络安全防护理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其关键是打破信任和网络位置的默认绑定关系。
    零信任理念要点:
    1)所有访问主体都需要经过身份认证和授权。
    2)访问主体对资源的访问权限是动态的(不是静止不变的)分配访问权限时应遵循最小权限原则
    4)身份认证不仅仅针对用户,还将对终端设备、应用软件、链路等多种身份进行多维度、关联性的识别和认证,
    5)在访问过程中可以根据需要多次发起身份认证。
    6)授权决策不仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。

    零信任在所有需要对资源访问进行安全防护的场景都可以使用,但是否采用,应根据企业可接受的安全风险水平和投入综合考虑决定

    零信任标准的发展

    1、2014年,国际云安全联盟CSA的SDP工作组发布了《SDP Specification 1.0》。
    2、2019年7月,腾讯联合CNCERT、中国移动设计院、奇虎科技、天融信等产学研机构,发起CCSA《零信任安全技术参考框架》行业标准立项,率先推进国内的零信任标准研制工作。
    3、2019年9月,在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织) SG17安全研究组全体会议上,由腾讯、CNCERT、中国移动设计院主导的“服务访问过程持续保护参考框架”国际标准成功立项。
    4、2019年9月,美国国家标准技术研究所(NIST)发布了《零信任架构》草案(《NIST.SP.800-207-draft-Zero Trust Architecture》);2020年2月,NIST对《零信任架构》的草案进行了修订;8月11日,标准正式发布。
    5、2020年,奇安信公司牵头在全国信息安全技术标准化委员(TC260)申请的《信息安全技术 零信任参考
    体系架构》标准在WG4工作组立项。

    传统边界安全理念和零信任理念对比

    传统边界理念

    边界安全理念在早期网络环境中是有效的,因为当时的网络规模不大,业务也不复杂,通过边界隔离可以很好的阻断蠕虫类攻击传播和一些未授权的访问,总的来说具有以下优点
    优点
    1、简单可靠:通过明确的边界和策略,保护目标资源。
    2、阻断掉过彻底:可以基于网络层彻底阻断请求数据进入区域内
    3、业务入侵低:业务不用做过多改造,边界隔离系统和检测系统可以透明部署

    缺点
    1、同域横向攻击难以防护:安全设备通常无法覆盖到同域环境内的系统,也自然无法进行防护
    2、合法权限的复用难以防护:攻击者通常可以复用合法权限(如口令、访问票据等),边界安全理念系统难以区分是正常访问,还是攻击数据
    3、安全检测盲点:边界防护通常不介入到业务中,难以还原所有的轨迹,不能有效关联分析,存在监测盲点
    4、边界容易绕过:难以抵御高级威胁攻击,防护机制容易被绕过
    5、对云计算等新技术新应用的适应性不强

    零信任理念

    零信任安全架构提供了增强安全机制,在新的架构模型下,可以区分恶意和非恶意的请求,明确人、终端、资源三者关系是否可信,并进行“持续校验”(NeverTrust,Always Verify),优点如下:
    优点
    1、安全可信度更高:信任链条环环相扣,如果状态发生改变,会更容易被发现
    2、动态防护能力更强:持续校验,更加安全。
    3、支持全链路加密,分析能力增强、访问集中管控、资产管理方便等

    缺点
    1、单点风险:零信任是强管控架构,对资源的控制都集中在网关上,因此一旦单点故障会导致整个业务中断
    2、权限集中风险:零信任架构将很多风险收敛集中起来,降低了管理成本但集中化管理如果失控也会带更大风险
    3、复杂化:零信任架构覆盖面很广,架构涉组件多,更加复杂,增加了故障判断和修复成本
    4、投入风险:零信任架构建设周期比一般架构体系要更长,如果不能持续投入容易功亏一篑

    总结

    比如传统安全模型结构简单,零信任架构复杂,可是安全防护能力更强,对比如下表
    在这里插入图片描述

    零信任与传统安全产品/设备的关系

    零信任是一种安全理念,本质上和传统安全产品/设备并不是同一个维度的概念,但是零信任架构落地的时候,会和传统安全产品/设备产生协作,甚至可能会替代某些传统安全产品/设备

    和防火墙的关系

    协作补充关系:防火墙提供了划分网络边界、隔离阻断边界之间的流量的一种方式,通过防火墙可以提供简单、快速有效的隔离能力。防火墙和零信任在实践中可以互相补充,常见的场景是在实施了零信任的环境中,通过防火墙限制除了零信任网关端口外的一切访问,最小化非信任网络到信任网络的权限,将攻击面降到最低。

    与IAM的关系

    协作支撑关系:零信任强调基于身份的信任链条,传统IAM系统可以为零信任提供身份(账号)唯一标识,身份属性,身份全生命周期管理等支持。

    与SOC/SIEM/Snort等产品的关系

    协作支撑关系:零信任重要理念之一是持续安全校验。校验对象包含了用户、环境、资源、行为是否可信。一些深层次的安全分析往往需要大量数据支撑和较多资源的投入,集中在零信任的策略引擎中会带来引擎负载过大、影响引擎稳定性等风险。因此零信任可以依赖 SOC/SIEM/Snort等产品来实现更深入的风险分析等。
    1、SOC/SIEM/Snort等产品的分析检测结果可以输出给零信任,协助零信任做风险评估和判断
    2、零信任可以将用户行为数据传给SOC/SIEM/Snort等产品,这些产品根据数据进行分析

    与OTP(一次一密)的关系

    协作支撑关系:一次一密(OTP)结合PIN码或其他鉴权因子可以实现更加可信的身份鉴别,提高零信任系统中用户可信这一层面的安全性。

    与虚拟专用网络(VPN)关系

    虽然零信任和VPN是不同维度的概念,但在安全接入和数据加密通信等方面有相似性。Gartner预测到2023年将有60%的VPN被零信任取代。下表是零信任和VPN的比较。
    在这里插入图片描述

    零信任参考架构

    什么样的架构来落地零信任理念,目前尚没有统一的定义,但业界已有多个组织正在为给出零信任架构设计和定义而努力。目前业界比较熟知的架构有SDP软件定义网络和NIST提出的零信任体系架构。企业可以通过多种架构方式引入零信任理念,不同的应用场景可以使用不同的架构,每种架构的侧重点有所不同。企业可以根据自身需求,使用一种或多种架构作为落地零信任理念的主要驱动元素。

    SDP架构

    SDP软件定义边界是国际云安全联盟(CSA)于2013年提出的新一代网络安全架构,CSA《SDP标准规范1.0》给出的SDP的定义是:“SDP旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来,SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件并仅在设备验证和身份验证后才允许访问企业应用基础架构。”–“应用程序/应用/服务”在本文语境下均指资源

    架构图如下:
    在这里插入图片描述
    SDP架构主要包括三大组件:SDP控制器(SDP Controler)、SDP连接发起主机(IH,Initial host)、SDP连接接受主机(AH,Accept host)。
    SDP控制器根据安全、及权限数据动态控制 AH 和 IH 的连接情况。该结构使控制层与数据层保持分离,保证更好的可扩展的性。也可以通过组件冗余,用于扩容或提高稳定运行时间

    NIST架构

    架构及核心组件图如下:
    在这里插入图片描述

    用户访问企业资源时,需要通过策略决策点(PDP)和相应的策略执行点(PEP)授予访问权限。
    NIST给出的架构图更接近ISO国际标准中经典的访问管理(Access management-AM)架构,将访问控制分为PDP和PEP。PEP定义决策(如定义规则 角色A只能访问指定系统A),PEP执行决策,如通过PDP定义的规则判断某一次访问是否合法。

    通用参考架构

    对比看SDP的架构和NIST提出的架构,可以发现,SDP的控制器功能上类似于NIST的PDP,SDP的AH功能上类似于NIST的PEP。综合SDP、NIST的架构图,以及实践经验,我们认为目前业界对零信任架构的理解正在趋于一致,总结的通用零信任架构如下:
    在这里插入图片描述
    零信任安全控制中心组件作为SDP的Controller和NIST的PDP的抽象,零信任安全代理组件作为SDP的AH和NIST的PEP的抽象。
    零信任安全控制中心核心是实现对访问请求的授权决策,以及为决策而开展的身份认证(或中继到已有认证服务)、安全监测、信任评估、策略管理、设备安全管理等功能;
    零信任安全代理的核心是实现对访问控制决策的执行,以及对访问主体的安全信息采集,对访问请求的转发、拦截等功能。

    微隔离架构

    微隔离本质上是一种网络安全隔离技术,能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载(根据抽象度的不同,工作负载分为物理机、虚拟机、容器等)级别,然后为每个独立的安全段定义访问控制策略。
    微隔离提出以来主要聚焦在东西向流量的隔离上,一是有别于传统物理防火墙的隔离作用,二是更贴近云计算环境中的真实需求。
    微隔离将网络边界安全理念发挥到极致,将网络边界分割到尽可能的小,能很好的缓解传统边界安全理念下边界内过度信任带来的安全风险。
    在这里插入图片描述
    从架构上看,微隔离管理中心可以扩展为零信任安全控制中心组件,微隔离组件可以扩展为零信任安全代理组件。
    微隔离本身也在发展过程中,目前业界有很多厂商正在基于微隔离的技术思路来实现零信任理念的落地,并开发出了相关的零信任安全解决方案和产品。因此,从架构上看,微隔离具备扩展为零信任架构的条件,并适应一定的应用场景,其自动化、可视化、自适应等特点也能为零信任理念发展带来一些好的思路。

    展开全文
  • 图谱从客户视角出发,结合相关信任标准和国内外信任最佳实践,针对企业用户如何构建信任体系,提供具体的能力清单和指导框架,汇聚成通用性的信任安全能力谱图,旨在帮助企业进行安全能力转型和升级。...

    不久前,腾讯安全发布「企业级零信任能力图谱」,受到业内人士的广泛关注。图谱从客户视角出发,结合相关零信任标准和国内外零信任最佳实践,针对企业用户如何构建零信任体系,提供具体的能力清单和指导框架,汇聚成通用性的零信任安全能力谱图,旨在帮助企业进行安全能力转型和升级。

    此次,作为零信任能力图谱的延续,腾讯安全正式发布《零信任解决方案白皮书》,将核心能力聚合成解决方案、落地到关键组件,通过典型场景应用结合腾讯最佳实践,帮助企业构建新一代零信任安全网络架构提供帮助。

    腾讯基于ZTA架构模型,参考谷歌ByondCorp最佳实践,结合自身十多年来的网络安全管理实践,形成了“腾讯零信任”的解决方案,于2016年在公司内部实践。方案打破传统基于网络区域的特权访问方式,基于可信用户、可信设备和可信应用的访问三要素验证,对访问主体授予最小访问权限,并对全链路访问加密和监控保护。目前已经过6万多员工的实践验证。新冠病毒疫情期间,很好解决了员工远程办公便捷性、稳定性和安全性问题。

    以下是《腾讯零信任解决方案白皮书》全文:

     

    1. 背景介绍

    目前,绝大多数企业都还是采用传统的网络分区和隔离的安全模型,用边界防护设备划分出企业内网和外网,并以此构建企业安全体系。在传统的安全体系下,内网用户默认享有较高的网络权限,而外网用户如异地办公员工、分支机构接入企业内网都需要通过VPN。不可否认传统的网络安全架构在过去发挥了积极的作用,但是在高级网络攻击肆虐,内部恶意事件频发的今天,传统的网络安全架构需要迭代升级。

    同时,随着云计算、大数据、物联网、移动互联网等技术的兴起,加快了很多企业的战略转型升级,企业的业务架构和网络环境随之发生了重大的变化。然而,传统基于边界防护的网络安全架构很难适应新环境,对于一些高级持续性威胁攻击无法有效防御,内网安全事故也频频发生。因此,传统安全架构已不能满足企业的数字化转型需求。

    一种基于“零信任框架模型”的网络安全架构由此诞生。最初的零信任框架模型是由著名研究机构Forrester的首席分析师John Kindervag在2010年提出的,并在Google的BeyondCorp项目中得到了应用。Google是业界第一个将零信任架构模型落地实践的公司,ByondCorp项目对外部公共网络和本地网络的设备在默认情况下都不会授予任何特权,用户无论在哪里,无论什么时间,只有使用通过受控设备、通过身份认证,且符合“访问控制引擎”中的策略要求,通过专用访问代理才能访问特定的公司内部资源。

    零信任的核心思想可以概括为:网络边界内外的任何访问主体(人/设备/应用),在未经过验证前都不予信任,需要基于持续的验证和授权建立动态访问信任,其本质是以身份为中心进行访问控制。

    腾讯基于ZTA架构模型,参考谷歌ByondCorp最佳实践,结合自身十多年来的网络安全管理实践,形成了”腾讯零信任“的解决方案,于2016年在公司内部实践,该项目打破传统基于网络区域的特权访问方式,基于可信用户、可信设备和可信应用的可信身份三要素验证,对访问主体授予最小访问权限,并对全链路访问加密和监控。目前已经过6万多员工的实践验证。新冠病毒疫情期间,很好解决了员工远程办公便捷性、稳定性和安全性问题。

    在零信任标准制定方面,腾讯基于在零信任的技术积累和实践经验,在业界率先发起零信任技术标准的研制工作。在国内,2019年7月,腾讯联合CNCERT、奇虎科技、数据通信科学技术研究所、中国移动通信集团设计院、奇安信、天融信、上海观安、恒安嘉新、深信服、北京微智信业、西安邮电大学等产学研机构,发起《零信任安全技术参考框架》行业标准立项,推进国内的零信任标准研制工作。在国外,2019年9月,在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织) SG17安全研究组全体会议上,由腾讯、CNCERT、中国移动主导的“服务访问过程持续保护参考框架”国际标准成功立项。该框架提供有关持续身份安全和访问控制管理的标准化指导,成为国际标准组织中首个零信任安全相关的技术标准,表明中国力量在国际网络安全领域逐步在增强技术领导力和话语权,对推动零信任安全技术在全球范围规模商用的进程,加快零信任技术和服务快速发展与普及具有重要深远的意义。2020年3月,“服务访问过程持续保护参考框架”国际标准草案正式提交ITU-T,也在SG17安全研究组全体会议中得到普遍认可并获通过,后续将联动国内外相关机构持续推动。

    产业互联网时代正面临前所未有的安全挑战。市场亟需新一代安全技术标准的指导准则和参考框架,腾讯将与各方合作伙伴一起,携手推动零信任安全技术标准建设和技术应用落地,为用户新一代网络安全体系构建、为全球网络安全的健康发展做出贡献。

     

    2. 核心能力

    (腾讯安全零信任能力图谱)

     

    腾讯安全零信任能力图谱包含五大能力:可信识别能力是零信任的基础能力,包括用户可信识别、受控设备可信识别和受控应用可信识别。通过可信的用户在可信的受控设备上使用可信的应用,对受保护资源进行可信的访问。在此能力基础上,依托持续信任评估能力,对访问主体的整个访问过程进行监控分析,对用户、受控设备和应用的可信度进行持续的信任评估,根据评估结果通过无边界应用访问控制能力无边界网络访问控制能力进行动态的权限控制,并通过安全可视化能力将访问流量、路径和效果等直观呈现,为企业安全运营提供有力的决策支撑。

    • 可信识别能力

    零信任架构体系下,基于数字身份,实现用户的可信识别,完成身份认证和单点登录。实现受控设备可信识别,完成受控设备的合规和安全管理。实现应用的可信识别,实现应用和进程的黑白名单管理。最终形成一整套零信任可信识别能力,保证合法的用户基于合法的受控制终端通过合法的应用和进程,发起对客体合法的访问。

    • 无边界的访问控制能力

    零信任架构下基于身份而非网络位置来构建访问控制体系,即无边界的访问控制。将控制平面和数据平面解耦,通过控制平面接收来自动态信任评估的用户信任评估和设备风险评估结果,设置访问控制策略并下发到数据平面策略执行点执行访问控制策略。

    通过零信任架构中的无边界访问控制能力构建核心业务资产保护屏障。将核心业务资产暴露面隐藏,保证核心资产对未经认证的访问主体不可见。只有访问权限和访问信任等级符合要求的访问主体才被允许对业务资产进行访问。通过对访问主体的逐层访问控制,不仅满足动态授权最小化原则,同时可以抵御攻击链各阶段攻击威胁。

    • 持续信任评估能力

    在零信任架构下,持续信任评估能力是可信识别能力和访问控制能力的重要输入。通过对访问主体的持续信任评估,实现对访问主体的访问权限动态调整和访问身份认证动态调整。

    访问主体信任评估包括对用户访问上下文行为分析的信任评估,对受控设备和访问网关基于环境因素的风险评估,通过信任评估模型和算法,实现基于身份的持续信任评估能力,识别异常访问行为和风险访问环境,并对信任评估结果进行调整,为动态访问控制提供有效输入。

    • 安全可视化能力

    通过可视化技术将访问路径、访问流量、用户异常访问行为直观展示,也可以将在线设备状态、统计情况、策略执行情况、执行路径等可视化呈现,帮助安全运营人员更为直观、更为全面的了解访问主体的安全状态和行为,从而更快速、更精准的找到风险点,触发安全响应,支撑安全决策。

     

    3. 方案概述

    腾讯零信任解决方案,充分利用五大安全能力,构建基于可信用户、可信设备和可信应用的访问主体,并对其访问行为进行持续信任评估和动态授权,以达到无边界的最小权限访问控制。

    身份可信作为“零信任”架构的第一关,包括用户可信、设备可信和应用可信。有多种认证方式来确保用户可信:如企业微信扫码、token双因子认证、生物认证等。用户身份可与企业本地身份、域身份以及自定义帐号体系灵活适配。在用户体验上,通过应用系统单点登录(SSO),让应用使用更加便捷。设备可信则通过对设备进行合规管理、病毒查杀、安全加固和设备认证来实现。应用可信通过对应用和进程识别、黑白名单管理、远程分发和应用白名单发起来确保。

    无边界动态访问控制是零信任架构的战略指挥核心,访问主体的访问鉴权依赖动态信任评估结果,且信任评估是持续的,伴随整个访问过程。一旦访问过程发生行为异常或环境异常,动态自动调整访问权限,保证业务访问的最小权限。访问控制策略可通过受控终端代理和访问网关双向执行。受控终端访问控制策略直接控制终端发起的应用进程,访问网关根据访问控制策略对访问流量进行二次校验,确保人-应用-访问目标合法,确保访问主体行为合法。

    为了保证访问链路安全,采用独有的访问链路加密/解密网关,可针对设备指定WEB或应用程序流量层层加密,对不稳定网络做网络传输协议优化。同时,通过链路加速解决访问速度的问题。并且支持访问控制管理、单链接请求授权,及时阻断违规访问与网络风险。

    通过零信任解决方案,为用户打造基于可信身份的无边界动态访问控制闭环,为企业构建全方位、一站式的零信任安全体系,为企业业务安全和业务上云提供安全保障。

     

    4. 关键组件

    腾讯零信任解决方案提供零信任架构中无边界可信访问的核心能力,为企业构建基于零信任的新一代安全架构。

    关键组件包括:终端访问代理、可信识别、动态信任评估引擎、访问控制引擎和访问网关。

    (关键组件结构图)

     

    4.1 终端访问代理

    终端访问代理是部署于受控设备的发起安全访问的终端代理,负责访问主体可信身份验证的请求发起,验证身份可信,即可与访问网关建立加密的访问连接,同时也是访问控制的策略执行点。

    终端访问代理部署于受控设备,访问主体发起访问时,需要校验主体身份状态是否可信、身份访问的目标资源是否有权限。同时检查发起访问的应用是否是可信应用,通过可信识别校验的访问主体授权建立对应的加密连接,并将相应的网络连接数据发送到访问网关。访问主体发起访问时建立人身份-应用-目标业务系统的组合策略控制,为了保障低风险访问,进行流量过滤,大大减少访问网关的访问流量压力。

    4.2 可信识别

    零信任架构体系下的可信识别包括用户可信识别、受控设备可信识别和受控应用可信识别。通过可信识别模块对用户进行多因子身份认证(MFA)并验证该用户名下受控设备和受控应用的安全性和可信度,认证通过之后,自动评估访问主体的初始信任等级并根据等级进行授权。

    用户可信识别提供用户全生命周期的身份管理和多因素身份认证能力。针对用户/用户组制定网络访问权限策略。在设备接入前,对用户进行业务权限的授权,非授权的业务资源完全不可见,做到最小特权的需求。在设备接入后,持续验证所有用户的身份,提供包括企业微信扫码、LDAP认证、域身份、Token 双因子认证在内的多种身份验证方式。通过身份可信识别能力实现合法的用户使用合法的终端,使用合法的应用对被保护资产进行合法的访问。

    受控设备可信识别支持病毒查杀、漏洞修复、安全加固、合规检测、数据保护、EDR等全方位的终端管控功能模块。其中,病毒查杀采用了新一代的AI动态杀毒引擎,海量样本可实时发现最威胁;EDR入侵检测基于腾讯多年来成熟的实战经验,通过云端联动最新威胁情报,定时推送预警检测模型及专家策略,秒级发现入侵隐患,为用户及时应对热点安全事件提供决策支持。在设备接入内网之前以及接入运行后,iOA持续检查设备安全状态,更好地透视与管控企业内网环境,限制任何不符合安全要求的设备对企业网络的访问。

    受控应用可信识别支持细粒度识别应用和进程,包括名称/版本/程名/MD5/Hash/签名。支持远程下发进程黑名单,阻止恶意进程在终端中运行。对访问发起方采用白名单模式,发现恶意程序即拦截访问,无法建立连接和接入,同时针对企业指定软件,支持远程强制卸载或分发。

    4.3 动态信任评估引擎

    动态信任评估引擎是零信任整体架构的策略指挥中心,为访问主体对核心业务资产的访问鉴权提供信任评估依据,并将信任评估结果下发到访问控制引擎,为访问控制引擎基于动态信任评分授权提供依据。

    动态信任评估引擎具有解析、评估、决策三部分能力:

    (动态信任评估引擎组件架构)

     

    1)访问解析

    访问解析旨在解析访问主体对资源的访问请求,从访问请求中提取出涉及的用户实体、设备实体、数据资源、应用资源等信息,并对访问请求进行字段标准化,转化为信任引擎可以处理的格式。然后将这些实体、资源信息传递给动态信任评估引擎和静态信任评估引擎,进入信任评估。

    2)信任评估

    信任评估包括访问评估引擎、持续信任评估引擎和静态场景评估引擎。

    • 访问实体评估引擎:对所有的用户和设备等实体进行周期性的信任评估。系统按照一定周期,根据用户和设备的认证记录、历史行为记录、当前各项属性情况以及历史的异常风险记录,最终对实体进行综合信任量化评分,输出当前周期每个实体的信任级别。
    • 动态信任评估引擎接收实体的资源访问请求,对资源访问请求进行信任评估。根据实体请求资源的行为特征,结合上下文行为信息,检测当前实体行为的异常风险,并最终对实体行为进行信任量化评分,输出当前实体访问资源行为的信任级别。
    • 静态信任评估引擎为信任评估中重要的组成部分。静态信任评估引擎根据确定的评估规则对请求中,较稳定的静态属性(如用户身份、部门、岗位、权限、账号;设备归属;资产权重;应用权重等)进行评估。静态信任策略由于判断规则明确,往往能较快完成评估动作,适用于明确的规则型判断场景。

    3)决策算法

    决策算法以访问实体评分作为访问鉴权基线值,后续依赖动态信任评估引擎和静态信任评估引擎,持续对访问主体行为进行信任评估,并依据实时信任评分动态调整访问授权范围,以满足最小授权原则。从某种意义上说,决策算法是一种融合规则及评分的复合决策机制(criteria & score-based judging mechanism)。

    依据多维决策点综合对访问主体的访问授权进行决策,决策点包括访问行为是否满足访问合规要求、基于上下文行为的信任评分、是否触发安全事件场景,以及综合访问置信度等。通过综合这些决策方式,访问决策引擎给出当前实体访问资源的最终信任结果。

    4.4 访问控制引擎

    通过访问控制引擎实现零信架构下的无边界访问控制能力,访问控制引擎包含网络访问接入、业务访问鉴权、静态访问控制和动态访问控制四大能力。

    • 网络访问接入

    访问主体对被访问资源发起访问时,通过身份可信识别模块,对访问请求进行预认证,认证通过之后,访问终端才能够与访问网关建立网络连接,由网关代理可访问的服务。

    • 业务访问鉴权

    访问鉴权将根据接收到用户身份、设备状况、信任等级和访问请求等信息,结合访问控制策略为用户每个请求建立加密访问链接。比如,默认运维工程师只能使用特定设备,通过特定客户端访问网络系统某个预设好的功能模块。

    • 静态访问控制引擎

    所有访问主体的访问基于静态合规类访问条件鉴权,不满足访问控制策略的访问即时触发身份验证、拒绝访问或置信度动态调整等动作。

    • 动态访问控制引擎

    动态访问控制策略:从动态访问控制引擎中获得动态评估结果,例如访问主体评估分数,安全场景结果等。动态访问控制策略主要基于动态评估结果提供基于上下文的资源访问评分、基于安全场景决策或基于置信度访问决策等能力。

    4.5 访问网关

    访问网关是无边界网络访问控制能力的策略执行点,访问网关与动态访问控制引擎、可信识别引擎联动,基于访问控制策略对访问主体提供授权范围内的访问服务,而后建立加密连接,对异常访问行为进行阻断并对访问主体动态调整授权范围。访问加密流量携带对应关键策略的信息,在网关进行二次访问控制鉴权校验。访问网关在确保连接合法性后,将加密流量还原为目标业务系统的原始流量进行转发,保障原始业务系统访问体验不变,业务系统无需做开发改造。

    访问网关提供应用分层访问代理、API接口代理、流量数据加密、应用单点登录和全流量应用操作记录能力。

    除此之外,访问网关的另一个重要的能力是将业务系统网络隐身的能力,访问网关为业务系统提供统一访问入口,只有通过身份可信识别的访问主体才可以与访问网关建立访问通路,并根据访问控制策略对受保护业务资产发起访问,原有主体终端到目标业务系统的物理网络策略无需提供。业务系统避免被暴露在终端所在的任意风险等级的网络,防御攻击效果直接,即使被入侵,也扫描不到企业资产,只能够扫到网关入口,同时访问主体必须符合访问控制策略,才能对业务系统发起访问。

    访问网关除了具备以上关键能力外,还具备流量控制、网络加速、Web动态水印、业务系统状态监控等能力。

    4.6 链路加速服务

    全球办公网络加速(Global Office Accelerator)通过部署全球1300+节点与智能动态规划最优加速路径,结合访问主体可信识别与访问控制引擎,为企业搭建“无缝接入、链路高效、终端可靠、访问可控”的办公加速网络, 实现用户在全球任意网络环境中高速、稳定、安全地访问企业数据和协同办公。

    腾讯全球加速网络在中国境内部署1100余处加速节点,拥有120T+储备带宽,覆盖国内所有省份及自治区域,网络涵盖三大运营商以及20多家主流中小型运营商,同时具备高规格、高安全性的自建机房;在境外区域部署了200余处加速节点,拥有20T+储备带宽,网络范围覆盖50+个国家及地区,与AWS、Azure等国际云建有Peer,并与全球 TOP10 的 CDN 厂商建立良好合作关系,建立跨境链路保证跨境资源加速质量,更有2700+ 合作节点可按需调度。

    链路加速服务基于AI智能调度优选节点,智能分离动静态资源,结合腾讯自研最优链路算法及协议层优化技术,一键操作切换,即可实现全站加速。可支持各类主流、新型传输及应用协议网络加速,适用在任意应用场景下的不同协议间的融合传输。

     

    5. 典型应用场景

    零信任理念主要阐述了以动态访问控制为核心的企业内部安全框架。同时,也提出了不以访问终端设备所在网络位置为安全评判标准的方法。

    基于此方法,当零信任体系在企业进行应用时,它可以非常灵活的应对多种安全场景。

    • 无边界办公/运维场景

    业务访问的便捷性和安全性兼顾一直是企业数字化办公的需求。部分企业为了提供更为便捷的业务访问,将业务系统直接发布在互联网,极大的增加了业务安全风险;亦或是企业为了保证业务安全性,生产系统只能本地维护,一旦有故障发生,维护人员只能奔赴现场处理,响应速度大大降低。如何让员工/运维人员不论在何时何地,无论使用何种办公终端,无论对办公应用访问还是对生产业务维护,感知与本地操作一致,同时还能提升访问安全性和稳定性,是企业数字化办公的刚需。

    在零信任安全网络架构下,默认网络无边界,访问人员无论在哪里,使用任意终端,对内网办公应用或是业务资源的访问,都不需要使用VPN,同时更为多元的可信认证和更为精细的鉴权访问控制,实现无边界化安全办公和运维。

    (无边界办公/运维场景图)

     

    • 混合云业务场景

    随着企业数字化转型推动,企业业务系统分步上云,这就造成了业务部署分散。业务系统可以部署于内网,也可以部署于公有云,甚至部署于多云环境。对于这种复杂的业务部署场景,如何将这些业务系统统一管理,并保证业务在公有云上的访问安全性是企业亟待解决的问题。

    在零信任安全网络架构下,通过零信任访问网关的隧道联通技术,将分散在不同环境的业务系统统一管理,同时,利用网关将业务系统的真实IP、端口隐藏,保障了业务部署于任何环境下的访问安全性,有效防御数据泄露、数据丢失、DDoS攻击、APT攻击等安全威胁。同时,访问策略从以IP为中心转变为以以身份为中心,访问鉴权不随策略的频繁变更而变更。同时,跨过混合云网络间的边界隔离,可以让用户灵活便捷且更为安全的访问处于不同云上的业务系统。

    (混合云业务场景图)

     

    • 分支安全接入场景

    企业分支/门店有接入总部、访问总部业务或者跟总部业务之间有数据交换的需求场景,会面临接入点种类数量多,攻击面广;业务类型多,访问协议多样;专线部署成本高,VPN安全性和稳定性不能保证等问题。

    零信任解决方案,具有灵活快速适配客户访问端和业务端多样性的特点,同时保障访问链路稳定性和安全性,为客户带来降本增效的价值。

    (分支安全接入场景图)

     

    • 应用数据安全调用场景

    随着企业数字化开放,外部应用对企业业务数据有接口调用需求,然而,在应用数据调用场景下,接口开放混乱,调用过程中缺失身份鉴权和权限验证的安全验证手段。

    应用数据安全调用场景适配多样化的接口,将接口统一调用,当业务应用需要调用已注册的服务能力时,需要在签名中包含调用方自身的ID和Token信息,网关进行身份鉴权和权限验证。在应用数据调用过程中,动态信任评估引擎对外部访问应用进行信任评估,并对调用行为进行识别,通过访问控制引擎进行动态访问控制。

    (应用数据安全调用场景)

     

    • 统一身份与业务集中管控场景

    在传统的企业IT架构中,业务系统管理分散,需要花费更高成本进行安全管理和运维,手动的管理方式效率低且易导致信息泄露,并且存在难以审计的问题。如何灵活高效将业务系统集中管控是企业在安全运营过程中的一大诉求。

    新一代基于零信任安全的统一身份管控解决方案,通过统一认证、统一身份管理、集中权限管理、集中业务管控、全面审计能力,帮助企业实现安全性与便利性的统一,从而确保企业业务的安全访问。方案将身份的外延扩展到包含人、设备、应用,在基于角色授权框架的基础上,结合上下文感知信息(IP、地理位置、接入网络、时间、设备安全状态等),实现自适应的访问控制。同时,方案结合风控领域的积累(知识图谱、对等组分析等能力),实现对于整体人、设备、访问风险的集中审计和智能评估,让安全可识可视。方案通过业务管控可以将业务系统应用、API应用、微服务等应用集中管理。

    (统一身份与业务集中管控场景图)

     

    • 全球链路加速访问场景

    在无边界的远程办公/运维场景下,用户远程办公/运维会遇到跨运营商访问、偏远地区访问、跨国访问等问题,并且发起访问的主体可以在任意网络,如何保障这些场景下的用户访问体验,是新一代零信任网络需要解决的一个重要问题。

    为了保证以上远程访问场景下的用户体验,远程连接采用短连接方式,每个访问连接带有鉴权信息,避免链路断开重新认证,同时我们在方案中引入全球性网络接入的加速能力,通过动态探测智能路由选择最佳路径,弱网络(小运营商、高峰期),依然可以稳定通讯,避免出现数据访问中断的情况,大幅提升远程访问体验和业务可靠性。

    (全球链路加速访问场景图)

     

    6. 腾讯最佳实践

    腾讯IT自主设计与研发,结合自身十多年来的网络安全管理实践,形成了腾讯零信任安全管理系统(iOA),于2016年在公司内部实施,已经过6万多员工的实践验证。2020年新冠疫情期间,支撑了全网员工的全尺寸工作,在满足信息互通、收发邮件、远程会议、流程审批、项目管理等基本办公需求基础上,同时实现远程无差别地访问 OA 站点和内部系统、开发运维、登录跳板机等 。

    设计目标上,可控制对企业公有云、私有云以及本地应用的访问权限,通过验证用户的身份、设备的安全状态来确定是否允许用户访问应用,确保对企业应用的可信访问并降低企业数据泄露风险。无论员工位于何处、使用任何设备都可以安全访问企业的应用程序和数据。

    设计原则上,延续了 ZTA 架构的理念和 BeyondCorp 的指导原则,并进一步细化为以下三大原则:

    1. 打破传统基于区域的授信控制方式;
    2. 基于可信身份,可信设备,可信应用三要素,授予访问权限;
    3. 对每一个访问企业资源的会话请求,都进行用户身份验证,设备安全状态,软件应用安全状态检查和授权,全链路加密。

    设计方案上,核心模块主要有,安全客户端和智能网关:

    1. 安全客户端:安装在员工工作设备上的安全 Agent,负责确保设备上的用户可信身份,可信设备,可信应用三要素;
    2. 智能网关:部署在企业应用程序和数据资源的入口,负责每一个访问企业资源的会话请求的验证,授权和转发;

    除安全客户端和智能网关外,还需要多个后台组件配合完成安全检测和访问控制,包括:

    • 策略控制引擎:对业务流量进行安全调度,按照人-设备-软件-应用颗粒度授权;
    • 身份验证模块:对用户身份进行验证;
    • 设备基线模块:验证设备硬件信息、设备证书和设备安全状态;
    • 应用检测模块:检测应用进程是否安全,如是否有漏洞,是否有病毒木马等。

    技术实现上,全链路加密有别于传统的 VPN,所有业务数据,通过 key 加解密,每一个访问,都是独立的 TCP 访问,每一个访问,都验证用户、设备、应用的状态,即零信任。无需维持一个稳定 TCP 长链接,在不稳定弱网络条件下,即使网络有波动,通过自动重试机制,下一次访问即可成功,从而减少网络抖动带来的影响,保证稳定访问业务。相比传统 VPN,减少 SSL 通道协商,无需经过 IP 分配、配置路由过程,大大减少通道建立的时间。

    效率和体验上,为方便员工快速建立和接入工作环境,iOA 针对资源访问,身份验证,设备标准化等高频场景,有针对性的提升员工效率和体验:

    1. 工作资源一键可达:支持应用发布和帮助信息发布,对于用户办公、研发所需要的常用资源,用户可通过安全客户端快速打开所需资源。同时根据用户需要实时更新帮助内容,将用户所需常用操作指引、常见问题处理方式更新发布至安全客户端,快速触达用户。
    2. 快速身份验证:iOA 结合了企业 SSO,实现快速、统一的身份验证。通过终端设备一键访问到公司 OA、运维等资源。
    3. 设备标准化:疫情突然,很多员工没有提前准备常用的工作设备,需要临时使用“新设备”来完成工作。企业对新接入公司的设备,都存在统一标准化的要求,如加入公司域、安装杀软、基本安全加固、漏洞检测等。iOA 给员工提供了标准化工具,实现一键标准化操作,极大简化了操作步骤和时间。

     

    7. 结束语

    传统的边界网络安全架构将逐步退出历史舞台,一种新的网络安全架构应运而生。零信任网络安全架构对网络安全进行了重构,无边界的网络、基于可信的身份、动态的授权和持续的信任评估成为新的理念。在零信任架构下,访问主体身份管控更为全面,不仅仅是人的身份,还有设备和应用、系统身份。访问鉴权更为精准,不再基于角色的静态鉴权,而是基于信任评估的动态鉴权。访问链路的安全性、稳定性和访问速度也被全面考虑,最终形成一整套适用企业数字化转型的新型安全机制。

    展开全文
  • 题记 2020的RSAC,“Zero trust 信任”去年有39家公司打“Zero trust”...首先做一件事情之前,问一句“为什么”,为什么企业要做这事情,企业为什么要进行信任的建设? 信任的思想具有先进性,是对传统边界...

    题记

    2020的RSAC,“Zero trust 零信任”去年有39家公司打“Zero trust”标签,今年数量激增到91家,可以说零信任理念已被国外同行广泛接受。零信任不仅仅是技术,更是理念的转变,会成为未来十年主流的网络安全架构。

    ​为什么要建设“零信任”架构?

    首先做一件事情之前,问一句“为什么”,为什么企业要做这个事情,企业为什么要进行零信任的建设?
    零信任的思想具有先进性,是对传统边界防护方式的的一个颠覆。
    这句话听起来还是有点像背书。

    边界防护是一个分散的防护

    怎么来理解呢,传统的边界防护,是哪里有对互联网的通道,就在哪里去防护,哪里有访问的权限,就在哪里去控制,很多设备都负责一块,整体上是一个离散的控制。

    各个安全设备,有的有认证、有的没认证,应用也是,每个应用都负责身份的认证和访问的控制。各个安全设备的安全等级有高有低,安全策略也受“人”的因素影响非常大,很多策略无法做到一致和统一。
    从哲学上来说,大家都负责,就是没人负责。虽然也有日志中心,但很难协调各个设备,各个厂商、应用做到统一的安全策略。针对这种思想,随着架构的变化,投入也是越来越多,安全管控也无法灵活的去适配架构的变化。所以,需要一种更为适应新的架构的方式。

    零信任是一个中心化的架构

    零信任的方式,恰恰是为了满足这种日益复杂的架构而诞生。
    并非说零信任的产品比传统安全产品有多NB,也许从单点防护上来说,还不如传统的产品,而是说从思想上,零信任的架构要比传统的思想更为适合。是整体的安全思路的一次升级。
    在这里插入图片描述

    落地到产品上,也并非是要完全去替代传统的安全防护产品,而是对原有架构的一个补充。
    举个栗子:
    即使上了零信任的产品,也并不意味着防火墙要撤下来,还是需要防火墙来去做边界的基础防护,还要有抗D的产品来保障服务的可用和连续性。
    总体上来说:整个零信任的体系,是一个防护中心化、以人和认证为核心的一套体系。

    零信任的场景

    零信任网络环境架构主要是由Google(BeyondVCorp架构)开始,如下图所示,相关的介绍文章已经有很多,这里只介绍下一个主要的场景。对此架构图不过多介绍。本文主要谈谈如何零信任的架构如何具体落地上。
    在这里插入图片描述
    1.用户不管是在互联网,还是在公司防火墙内部,发起访问请求,提交给代理网关。
    2.访问网关没有检测到有效凭据,重定向至用户管理系统中的身份认证模块。
    3.用户通过加强的身份(身份可信)、设备认证(主机可信),获得token,重定向至网关。
    4.网关认证后,访问控制会对每一个请求执行授权检查(通过转到对应服务器,不通过则拒绝请求)。访问控制可基于属性的权限控制(ABAC)与信任评估模型两者集合进行检验。如:满足信任等级,满足相应用户群组,满足相应操作属性等内容才可访问该应用。

    零信任的产品落地

    零信任的1.0初步可以实例化到几个关键的安全产品上。

    统一的身份中心
    以人为中心,主要依赖统一用户/身份的凭证中心和认证中心,实现对于可信任的用户的统一管理和信任等级变化的分发和同步。
    在这里插入图片描述

    安全控制代理网关
    零信任应用安全网关建设主要依托于应用安全网关,通过安全网关串联部署,实现隐藏内部,统一对外、实时监测的效果
    在这里插入图片描述

    统一的安全分析和策略中心
    统一的安全策略主要对用户的行为和不断变化的上下文动态进行分析,持续的优化安全策略,做到动态的分发和控制,相当于安全的大脑和智慧中心。
    在这里插入图片描述

    目前国内很多厂商(360、奇安信等)已有零信任的解决方案,如:360的零信任架构依托身份中心、业务安全访问及安全大脑三个层面,奇安信的天鉴产品线。目前涉及和面向客户主要以行业大客户为主,这种规划往往需要“刮骨”建设,涉及的方面比较复杂,基础环境支撑及改动投入也比较大。需要涉及客户领导支持力度等多个方面,落地的效果少见宣传,见到更多的还是理念层面的宣传。
    更多的传统安全厂商是处于Follow观望的状态,只是说零信任、但无实质性的零信任产品的推广。
    创新公司,则推出了一些快速落地的方案,如云深(原红芯浏览器)基于浏览器和网关,提供快速的远程办公的方案,赛赋基于IDaaS+网关提供企业可自建的快速落地的方案。
    

    **

    零信任实施的步骤

    **
    从落地的步骤上,应用层面的零信任建设相对于主机与网络更容易落地及切入,从实施周期、业务影响、建设效果等多个方面相比主机与网络,短期效果会更直接,更容易起步。可以分为四个阶段展开建设:
    在这里插入图片描述

    ✅基础 :统一身份管理和授权
    建立统一的身份认证、用户管理、授权、SSO单点登录,提供应用认证和权限分配的开发支撑。
    提供用户统一的业务系统访问入口,提供多方式的实现双因素身份认证,提高访问的安全性;实现业务系统的单点登录,提供用户体验;
    面向新业务系统开发,提供可调用平台提供的用户、认证、授权和审计的技术中台服务,即可实现低成本、可复用的快速开发;
    ✅ 增强:安全访问的代理网关
    在不更改应用系统前提下,解决业务系统统一登录。通过网关代理,实现所有系统访问的安全访问控制的,审计,建立统一安全通道的HTTPS支持,负载均衡、安全防护(WAF相关功能等)。
    业界应用应用安全网关大多数传统厂商会选择自有安全产品基础上进行的开发,有的基于WAF,有的基于VPN、有的基于下一代墙,好处是能够快速完成产品化,但是改造功能或多或少会有所限制。
    有自助研发能力的互联网公司,如果资源充沛可根据一些开源项目,如Openresty,Jansec等开源项目去构建贴合自己业务。
    ✅进化:风险度量及动态授权
    实现可信环境感知,进行自动风险度量评估;根据度量风险进行系统资源的动态访问授权控制;
    如:与EDR等设备通过接口方式实现联动等。
    ✅智能:建立以AI为中心的零信任大脑
    在以上阶段建设的基础上,进行用户智能分析;提供可视化的用户行为分析、动态授权、持续的优化变量、升级策略管控;
    自主发现未接入的系统,进行业务系统接入推广和个性体验功能优化,实现全部业务系统的细粒度授权接入。

    展开全文
  • 开始学习CTF——CTF是什么

    千次阅读 多人点赞 2020-06-03 12:01:20
    前言: 从2019年10月开始接触CTF,学习了sql注入、文件...中文一般译作夺旗赛(对大部分新手也可以叫签到赛),在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式 CTF起源于1996年DEFCON全球黑客
  • 为了实现线程安全,需要在linux 下使用pthread_mutex_t 加锁,请使用g++ 编译并需要链接 -lpthread 使用的是double-check lock, 指针instance_ 最好声明volatile,防止优化。 Singleton.h:  C++
  • 这篇文章将分享机器学习在安全领域的应用,并复现一基于机器学习的入侵检测和攻击识别。严格意义上来说,这篇文章是数据分析,它有几亮点: (1) 详细介绍了数据分析预处理中字符特征转换数值特征、数据标准化...
  • 云计算和大数据时代,网络安全边界逐渐瓦解,内外部威胁愈演愈烈,传统的边界安全架构难以应对,信任安全架构应运而生。 组织机构的网络基础设施日益复杂,安全边界逐渐模糊。数字化转型的时代浪潮推动着信息...
  • 开始搭建一HTTPS网站

    万次阅读 2016-12-21 13:56:12
    我们都知道HTTP是非常不安全的,不安全的根源在于HTTP是明文传输。你在谷歌搜索了一关键词(假设Google使用HTTP),HTTP数据包从你的计算机传送到服务器的过程中,中间经过的任意一设备都可以轻松解析你的数据包...
  • 信任大风已起,网络安全理念重塑,百亿市场空间有望开启 产业研究智库2020-09-24 08:56:36 1、 信任是安全建设思路的转变 1.1、 信任诞生的背景:IT 无边界化 在传统的安全体系下,内网用户默认享有较...
  • 1.什么是HTTP,协议版本等 2.学会使用浏览器查看HTTP请求与响应 3.熟悉HTTP请求头和请求体 4.熟悉HTTP响应头和响应体 5.了解Rest风格 3.4神一般的Spring: 推荐书籍:Spring实战和Spring技术内幕 1.了解IOC原理和...
  • 这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文详细讲解了绕狗一句话原理、绕过安全狗的常用方法和过狗菜刀,并实践安装安全狗...
  • 这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了木马原理知识,并通过远程服务器IPC $ 漏洞实现木马植入及控制远程服务器。...
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WannaCry蠕虫的传播机制,带领大家详细阅读源代码。这篇文章将分享APT攻击检测...
  • 这是作者的网络安全自学教程系列,主要是关于安全工具和...本文将分享另一主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
  • 在大部分人眼里,所谓的黑客,安全研究者指的就是研究渗透入侵一类的技术的从业者,并不知道什么是逆向工程或者说二进制安全。提起逆向工程也许还有人可以联想到软件破解,如果提起的是二进制安全,那么知道的人就真...
  • 这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Cracer教程的第一篇文章,详细讲解了安全术语、Web渗透流程和Windows基础、...
  • 1)“基础”意味着我提供的学习路线不能太难,或者说应该是循序渐进的。 2)“自学”意味着我提供的学习素材不能太枯燥,或者说应该是幽默风趣的。 3)“找到工作”意味着学习周期要尽可能的短,但还要学有所成...
  • 这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Windows远程桌面服务漏洞(CVE-2019-0708),并详细讲解该漏洞及防御措施。...
  • 上一篇文章分享了解BurpSuite工具的安装配置、Proxy基础用法,并分享一简单的暴库案例;本篇文章分享实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、...
  • 娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要...第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engin
  • 哈希算法的四个应用场景

    千次阅读 2019-06-03 09:19:55
    哈希算法的四个应用场景 1 唯一值计算 2 数据安全校验 3 数据加密 4 散列函数
  • 第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engine工具复制内存地址获取,实现一自动扫雷程序。基础性文章,西电UI您...
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,...作者分析该病毒一月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
  • 这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark抓包原理知识,并结合NetworkMiner工具抓取了图像资源和用户名密码...
  • 这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python弱口令攻击、自定义字典生成,调用Python的exrex库实现,并结合...
  • 架构师谈什么是架构以及怎么成为一架构师

    万次阅读 多人点赞 2015-02-24 20:05:45
    所以今天我们先来点”番外篇“,讲讲什么是架构师,什么是架构这永恒的话题吧。此篇源出自我在公司内部写的一PPT,它是用于在公司内部向广大技术人员做普及用的一资料,而CSDN这边的编辑不支持图文混排的效果...
  • 这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了编辑器漏洞和IIS高版本文件上传漏洞,包括FCKeditor、eWebEditor、畸形解析...
  • Java线程(一):线程安全与不安全

    万次阅读 多人点赞 2012-04-02 12:13:29
    作为一Java web开发人员,很少也不需要去处理线程,因为服务器已经帮我们处理好了。记得大一刚学Java的时候,老师带着我们做了一局域网聊天室,用到了AWT、Socket、多线程、I/O,编写的客户端和服务器,当时做...
  • 一、什么是【线程同步】? 二、什么是线程锁? 2.1 没有加锁时 2.2 锁加在普通方法上时,使用同一对象调用。 2.3 锁加在普通方法上时,使用两不同的对象调用。 2.4 锁加在静态方法上时,使用两不同的对象调用。 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 118,962
精华内容 47,584
关键字:

安全四个为零是什么