零信任网络的实现思路

        零信任网络描述的是对服务器外部的所有设备和数据的不信任，要实现零信任，需要从终端设备的安全、网络数据的安全以及服务器本身的安全来做起。

        终端设备的安全主要以沙盒方式来实现，服务器本身的安全以防火墙以及服务本身的安全性来防御，本文章重点描述数据网络安全的实现。

        1.  网络传输数据的加密。

                就算所有交互的数据被截取了，数据也无法被破解的原则。

                网站无不能被钓鱼的原则。

         HTTP无法防护数据被截取，而HTTPS，不能防护网站的钓鱼。所以需要使用非当前流程线上的密钥交换模式，以便实现在当前数据的交互流程中，钓鱼站点无法进行服务端和终端的信息伪造，进而达到防御的目的。

        终端设备硬件密钥模式或非当前流程环境下的在线密钥激活模式。一旦终端获得设备密钥，所有从终端设备发出的数据都将被该密钥或者通过该密钥进行交换的临时密钥进行加密，从而达到数据的不可破解并不可被钓鱼的目的。

        终端设备的初次获取的密钥，一般是非对称密钥，如RSA、SM之类的，后续对于大数据量加密的，可以通过该密钥，另外交换加密速度比较快的密钥，如AES等。

        2.  服务器服务网络安全的防护原则

                标准协议（HTTP、HTTPS、WebSocket、RTMP、HLS等等）不暴露到公网的原则。

                加密服务端口基于IP敲门原则方暴露给客户方的原则。

        服务端的安全通常在防护如下几个方面：操作系统的网络漏洞、应用框架（WEB、SSH、TELNET等等）的漏洞，另外还有应用业务本身的漏洞。

        操作系统的漏洞一般通过防火墙或服务设备本身屏蔽，如有新发现漏洞，则及时打补丁。

        本文主要描述对于业务服务的防御。在基于上述防护的范围内，交互的数据都通过加密私有协议进行传递，而所有的业务端口都被封装在内网，不再暴露到公网，从而实现防御的目的。

        以某个http服务为例，端口80不再暴露到公网，终端网页会按照如下流程进行该端口的访问。服务端暴露安全端口12345，终端浏览器访问www.dest.com时，会数据导流到终端机的安全应用客户端，客户端会对网页的访问数据进行加密包装，并导向到服务端的12345端口，服务端收取到数据并解密后，再导向到内网的真实目标80端口，并把80端口返回的数据进行加密，返回给安全应用客户端进行解密，最终导向给网页进行处理，实现最终的访问效果。

        上述流程唯一的一个模糊点在于如何把终端浏览器的访问导向到安全应用客户端，通常有如下做法：

        a. http(s)代理

                安全应用客户端实现http代理功能，并为浏览器配置代理功能，从而实现浏览器的数据导流。

        b. socks代理

                安全应用客户端实现socks代理功能，并为浏览器配置代理功能，从而实现浏览器的数据导流。

        c. DNS转换目标地址

                添加DNS服务地址或者直接修改本地的域名映射，从而实现域名变更到本机地址，进而访问本机的对应端口，安全应用客户端在本机开启对应的端口，从而实现浏览器的数据导流。

        d. 访问地址变更

                浏览器访问时不再使用域名，而是直接使用127.0.0.1的方式访问，从而实现浏览器的数据导流。

        e. 链路层数据截取

                安全应用客户端从网卡的截取对应的数据包，从而把导流数据，返回的数据再推送进网卡，从而进行整体业务的实现。很多时候，直接虚拟一张网卡，直接实现整体的截取和返回能力。

        在上述流程中，从浏览器出来的数据，只在到达安全应用客户端（在本机上）之前是未加密的，而后在公网环境中流转，都是经过加密的数据。

        为了保障服务端的安全，默认情况下，对安全端口也是拒绝访问的，进行连接时，会返回连接拒绝的错误，只有在安全应用客户端发送UDP的敲门消息时，才会运行安全应用客户端所在的网络IP进行服务端的安全端口访问，从而实现安全端口本身的防扫描能力。

        本文章主要描述了如何为一个标准业务搭建一个安全网络环境的流程，后续将再增加如何把标准业务扩展到多个公网地址环境内的方法。