一种零信任网络架构及构建方法技术

本公开提供了一种零信任网络架构及构建方法，包括：控制器、云网关、边缘网关以及终端代理；边缘网关与云网关通信连接，云网关、边缘网关和终端代理分别与控制器通信连接，云网关和边缘网关分别与客户端通信连接；控制器用于控制客户端、云网关和边缘网关的注册登录流程，并进行路由策略和授权访问控制策略的下发；边缘网关用于对资源安全访问的控制，云网关用于客户端跨区域访问资源时的路由；终端代理部署在客户端，通过与云网关和边缘网关建立隧道，对授权的资源进行安全访问；网络位置边界不再决定访问权限，在访问被允许之前，所有的访问主体都需要经过身份认证和授权，解决了目前边界模糊的企业网络架构带来的安全威胁。目前边界模糊的企业网络架构带来的安全威胁。目前边界模糊的企业网络架构带来的安全威胁。

【技术实现步骤摘要】
一种零信任网络架构及构建方法


[0001]本公开涉及网络安全
，特别涉及一种零信任网络架构及构建方法。

技术介绍

[0002]本部分的陈述仅仅是提供了与本公开相关的
技术介绍
，并不必然构成现有技术。
[0003]目前很多企业对于资源的访问保护采用的方式是划分安全区域，首先把网络划分为外网、内网和DMZ等不同的安全区域，在不同的安全区域之间就形成网络边界，然后在网络边界处部署安全设备，包括防火墙、IDS、IPS、WAF等网络安全技术手段，对来自边界外部的各种攻击行为进行防范，以此构建企业的网络安全体系。这种传统的安全理念中网络位置决定了信任程度，在安全区域边界外的用户默认是不可信的，安全区域边界内的用户会被授予高信任等级来访问企业的敏感资源，他们默认是可信的。
[0004]随着云计算、无线互联、物联网、大数据等新兴技术的发展，并且随着业务迁移到云端，APT攻击的泛滥，以及移动办公的趋势，企业的数据不再局限在内网，组织原本建立的内外网边界变得越来越模糊，也有更多的技术手段可以轻易突破网络边界，网络安全不再止于边界安全，尤其现在安本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种零信任网络架构，其特征在于：包括：控制器、云网关、边缘网关以及终端代理；边缘网关与云网关通信连接，云网关、边缘网关和终端代理分别与控制器通信连接，云网关和边缘网关分别与客户端通信连接；控制器用于控制客户端、云网关和边缘网关的注册登录流程，并进行路由策略和授权访问控制策略的下发；边缘网关用于对资源安全访问的控制，云网关用于客户端跨区域访问资源时的路由；终端代理部署在客户端，通过与云网关和边缘网关建立隧道，对授权的资源进行安全访问。2.如权利要求1所述的零信任网络架构，其特征在于：控制器完成安装后，通过控制器进行如下操作：添加区域、添加用户、添加云网关、添加边缘网关、添加应用和添加用户授权。3.一种权利要求1或2所述的零信任网络架构的构建方法，其特征在于：云网关完成安装和初始化后，向控制器发送SPA包敲门验证成功后，进行注册流程，注册流程成功后，向控制器进行登录流程；登录成功后，控制器会更新关联云网关、边缘网关和在线终端组件的隧道信息，生成新版本，云网关登录成功后完成策略更新。4.如权利要求3所述的构建方法，其特征在于：云网关策略更新，包括以下过程：云网关登录成功后，从配置文件获取设备类型和识别码；向控制器发送策略请求，请求消息中包含设备类型、设备识别码以及当前策略版本号，控制器检查云网关的策略版本是否有更新；如果有更新则向云网关下发新版本的策略信息，其中包含隧道信息；云网关收到新版本策略后，与当前版本进行比较，依据版本比较结果更新隧道信息；云网关监听唯一标识自己的识别码的消息队列频道，当终端上下线的时候，控制器进行计算是否需要向关联的云网关发送隧道更新消息，当有更新隧道信息到来，云网关获取该信息进行隧道更新。5.一种权利要求1或2所述的零信任网络架构的构建方法，其特征在于：边缘网关完成安装和初始化后，向控制器发送SPA包敲门验证成功后，进行注册流程，注册流程成功后，向控制器进行登录流程；登录成功后，控制器更新关联边缘网关和在线终端的隧道信息生成新版本，边缘网关登录成功后完成策略更新流程。6.如权利要求5所述的构建方法，其特征在于：边缘网关策略更新，包括以下过程：边缘网关登录成功后，从配置文件获取设备类型和识别码；向控制器发送策略请求，请求消息中包含设备类型、设备识别码以及当前策略版本号，控制器将检查边缘网关的策略...

【专利技术属性】
技术研发人员：王智超，张琳，徐吏明，凃敏，杨文宏，魏敬伟，
申请(专利权)人：中孚安全技术有限公司，
类型：发明
国别省市：