正文

全靠开源,免费攒一套零信任系统出来!各组件推荐!

admin
admin V管理员 /0 评论 /257 阅读
0612
此篇文章发布距今已超过165天,您需要注意文章的内容或图片是否可用!

观众老爷们,帮忙点点关注、点点赞、点点在看,抱拳了!

前言

我们都知道,零信任(Zero Trust)模型只是一种网络安全理念,即 Never trust,Always verify。传统的网络安全模式就像是城池和护城河,而零信任原则它假设所有的内部和外部资源都是不可信的,必须对一切都采取严格的访问控制和监控。

核心原则

  1. 显示验证:不信任任何人,始终验证每一个人和设备,不能含有任何隐藏的信任,也就是说在零信任安全模型中,每次进行身份验证和授权时,都应该综合考虑所有可用的数据点,而不是仅仅依赖单一因素(例如密码)。

  2. 最小特权原则:授权时按照用户身份和请求功能所需的最小来做,同时还要动态、实时调整。

  3. 恶意假设:零信任的原则是假设内部网络已经沦陷了,这就意味着在零信任原则下的任意网络活动都有可能是恶意的。

实现零信任模型需要的关键组件

如果我们不想找安全方案供应商买方案,想自己搞一套零信任系统能做到吗?肯定可以!

事实上,我们如果想找一堆开源“积木”来实现零信任模型,这里会涉及到很多组件和技术,我在下文把核心组件列出来。

身份和访问管理(IAM)

IAM 是零信任模型的核心组件之一,我们在零信任中会用 IAM 给每个用户和设备做验证和授权,例如做一些 MFA 啊、密码策略啊、设置 SSO 啊、做更细粒度的权限控制啊等等。

开源免费的 IAM 很多,我比较推荐 ,除此之外还有 Keycloak、Gluu 等,项目地址:

https://github.com/keycloak/keycloakhttps://github.com/GluuFederation/oxAuthhttps://github.com/zitadel/zitadel

设备安全管理

包括各类终端设备管理工具,EDR、MDM、设备合规性检测等,开源 EDR 大家可以用 Wazuh,但这工具设计的初衷并不是为了 EDR 而生的;EDR 我还是更推荐科摩多的 OpenDER,项目地址如下:

https://github.com/ComodoSecurity/openedr

MDM 工具倒是有一些开源项目,但是挺多都不维护了,还有些已经 archive 了,因此我推荐 miradore 的免费版:

https://www.miradore.com/plans-pricing/

设备合规性检测工具开源免费的很多,例如有 NIST 认证的 OpenSCAP 工具包:

https://www.open-scap.org/tools/openscap-base/

而且 也可以做合规,里面有合规检测面板,可以根据 CIS 等规则扫描设备是否合规,如下:

除此之外,还有很多开源杀软(带 API 的,方便我们集成进 SIEM),如 等。

网络架构安全

零信任架构的一个核心是微分段,也叫微隔离,其实就是更细粒度的网络隔离技术,做这件事的时候可以基于身份做隔离,也可以基于网络做隔离,做微分段主要是为了避免大面积横移和减小攻击面。

除了微分段,零信任架构里的还有很多涉及网络安全的点,防火墙、网关等等。

不过在这里我还想说一下更重要的:SDP,。

SDP(Software Defined Perimeter,软件定义边界)主要用于资源的安全访问,它最终能做到的状态是,资源不可见(无论是虚拟机还是各种对外暴露出的服务),在用户没有完成身份验证和授权之前,所有资源都是黑盒,只有过了验证和授权,才能看到我们想看的东西,这样就可以最大程度的减小攻击面。SDP 的优势很多,本文就不细讲了,推荐工具:

https://github.com/openziti

数据保护

一个是加密,另一个是 DLP(数据防泄漏)。DLP 工具中,我比较推荐的如下:

https://github.com/ezarko/opendlphttps://github.com/bytedance/godlp

DLP 除了主机端,服务端也可以用安全网关来做,这个实现方式有很多,开源的方案也不少。

安全监控和响应

这里就要做 和 咯,我之前的文章有说过,也有推荐的工具。SIEM 我比较推荐 Wazuh 或 ELK stack,SOAR 开源的我更喜欢 Shuffle,因为它开箱即可用,而且还特别适合没什么编码基础的运营同学。

应用安全

这个没啥说的,除了内部安全实践 SDL 外,还有 WAF、SAST、IAST、DAST、漏扫、渗透测试等等!这一部分实在是太多了,不过我可以给一份 OWSAP 列出的清单,大家有需要就在这上面找即可:

https://owasp.org/www-community/Free_for_Open_Source_Application_Security_Tools

当然这个列表不是说 OWSAP 推荐他们,而是这些工具全部开源且免费!

云安全

这个就要看你的云供应商了,什么 CASB、CWP 等等,这部分开源的免费的也有:

https://www.openpolicyagent.org/https://falco.org/https://www.open-scap.org/

当然这部分我还是建议你用云服务商自家的,方便集成...

我的建议

上面我列出来了一大堆工具,通过上面的组件基本就能把零信任落地攒起来个七七八八,如果你想全用开源免费的东西来彻底落地一套零信任方案,建议用 OpenZiti 做底座,然后攒不同的组件上去,这样做一方面工作量不会太多,另一方面是底座有了之后,我们不需要真的从零开始建设,会简单很多!

假设你想用商业化方案,我推荐 Cloudflare 的 Zero Trust,无他,便宜大碗还好用!

点点赞 点点关注 点点文末广告 抱拳了家人

创作不易

关注一下

帮忙点点文末广告


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网