YUNDUN | 云原生应用零信任实践

YUNDUN在云原生应用中通过构建零信任框架，结合身份认证、动态访问控制、可信代理等技术，实现了统一应用管理、内部应用SaaS化及用户行为分析，为企业提供更安全、灵活的访问控制方案。 以下是具体实践内容：

• 核心原则：基于身份的零信任理念坚持“永不可信，始终认证”，将身份必要性扩散至全量应用场景，从访问行为产生之初根除不可信区域。
• 适用性考虑：多数企业已完成传统网络边界防护体系建设，安全厂商零信任产品需逐步融合、迭代，避免推倒重来带来的业务不稳定和成本消耗问题。

• 现有基础：YUNDUN现有安全产品生态在传统边界模型下已实现较强大防护能力，覆盖网络安全、应用安全、性能优化等需求场景。
• 构建方式：遵循“永不可信，始终验证”原则，具象化零信任核心思想“基于身份的动态访问控制”，结合智能安全平台，增添五大模块形成完整零信任框架。

  身份认证：在边缘安全加速节点集成身份认证和访问控制，通过标准协议与各家IAM打通，支持钉钉、企业微信、微信等，以及OIDC、SAML 2.0。用户提供身份信息后，安全代理进行权限校验。

  应用与权限管理：包括应用权限设置和访问应用所需身份信息，统一管理企业所有应用，实现集中授权。

  可信安全代理：在智能边缘节点增加权限检查，对每个请求进行身份验证和访问控制。

  应用门户和单点登录：实现统一的应用管理和访问控制。

  日志审计：基于大数据分析用户访问行为，实现动态权限控制。

• 实现方式：基于现有边缘安全加速节点，集成身份认证和访问控制，实现可信应用代理。访问网关作为业务应用访问入口，降低业务应用暴露在互联网中的攻击风险，实现源站应用隐身保护。同时将日志信息与SOC/SIEM/UEBA等安全检测平台对接联动分析，实现持续信任评估。
• 最终效果：实现企业所有应用（自有应用和SaaS应用）统一管理和访问控制，确保访问安全。用户访问的应用以目录形式罗列在门户中，不同用户组和用户根据角色和权限看到不同应用列表，进入集中门户需完成多因子身份认证。
• 典型应用请求流程：

  用户在浏览器中打开

  https://app.domain.com
  。

  请求到达智能边缘云，检查身份信息，若无则重定向至身份认证页面。

  用户完成身份认证，请求重定向至边缘云。

  边缘云验证身份和权限，将请求转发回源，并通过JWT附带用户身份。

  源应用校验JWT，解码身份信息，验证账号正确性，允许登录业务系统。

• 传统VPN劣势：传统基于VPN构建的内网环境存在内网粗颗粒度隔离、凭证泄露影响面大、远程访问迟缓、部署成本高、多云架构适配性低等问题，难以兼顾访问速度与数据安全性。
• 实现方式：基于统一应用管理和访问控制的实现，YUNDUN将零信任覆盖面延伸至内网，替代VPN实现网络空间私有化，并实现内部应用SaaS化。设计连接器部署在企业NAT或云端VPC中，通过443端口和YUNDUN零信任POP点建立长连接，基于该连接回路实现请求回源，访问内部应用。
• 创新点：

  使用443端口执行出向连接，防火墙对该端口友好性高，且运行HTTP2.0协议支持连接复用，可在一个出向连接回路上支持多个请求回送。

  防火墙只需配置一条规则阻断所有入向连接，保证应用在公网上不可见，提高安全性，简化管理成本。

• 优势：企业网络边界无需调整，无需VPN技术，部署在企业内部的YUNDUN连接器可兼容企业已有身份管理和控制能力，打通访问链条，实现零信任框架，同时边缘节点静态资源缓存可兼顾应用加速访问。

• 应用方式：YUNDUN零信任可应用于用户行为分析，通过记录并可视化详尽的零信任日志，让企业管理者和安全人员明确掌控用户行为轨迹、接入设备等信息。
• 日志内容：包括管理员日志、应用门户日志、应用日志、ssh命令日志等，详细记录时间、客户端IP、身份认证方式、身份信息、安全策略、访问应用URL等。
• 作用：有助于安全管理员全面审计，及时拦截威胁，对可疑行为撤销令牌。

随着5G、云计算等技术发展，IT基础设施变革，Gartner提出SASE概念。YUNDUN基于SASE构建整个安全产品平台是终极目标，将持续在零信任道路上探索前进，实现核心安全业务零信任，助力企业数字化转型，让安全更有价值。