【技术实现步骤摘要】
本公开总体涉及提供安全网络应用,具体涉及提供利用零信任云架构的安全网络应用。
技术介绍
1、组织通常具有在一个或多个物理场所中互连的计算机和服务器的网络。随着网络和互联网的发展,许多组织发现让员工远程工作很有好处,无论是在自己的家中,还是在客户位置处,从而为组织的客户提供更个性化的服务。这种发展允许员工从组织的控制之外的位置通过互联网访问其组织的网络。
2、当然,这种机会也带来了严重的风险,因为组织无法控制其他网络或与其员工连接到相同远程网络的其他个体(诸如攻击者)。
3、安全外壳(ssh)协议是加密安全网络协议的一个示例,其允许在非安全网络上操作网络服务。ssh通过在两台机器之间建立客户端-服务器关系(一台是ssh客户端,另一台是ssh服务器)来提供安全信道(例如在互联网之上)。
4、例如,提供ssh访问的一个挑战是,一旦用户与安全网络上的服务器建立客户端连接,该用户可能能够访问安全网络上的其他机器、执行权限提升、横向移动攻击或以其他方式访问他们未被授权访问的网络部分。
5、因此,提供一种能够克服上述挑战的解决方案将是有利的。
技术实现思路
1、以下是本公开的若干个示例实施例的
技术实现思路
。该
技术实现思路
被提供是为了方便读者对此类实施例提供基本理解,并不完全限定本公开的广度。该
技术实现思路
不是对所有预期实施例的广泛概述,并非旨在标识所有实施例的关键或至关重要的元素,也不旨在描述任何或所有方面的范围。其唯一目的是以简化形式呈现一个或多
2、一个或多个计算机的系统可以被配置为通过在系统上安装软件、固件、硬件或它们的组合来执行特定操作或动作,这些软件、固件、硬件或它们的组合在操作中使系统执行动作。一个或多个计算机程序可以被配置为通过包括指令来执行特定操作或动作,该指令在由数据处理设备执行时使该装置执行动作。
3、在一个一般方面,方法可以包括从客户端设备接收用以认证身份的请求,该身份至少包括用户的唯一标识符。方法还可以包括通过零信任云环境接收用以访问远程服务器上的csna的请求,该远程服务器被部署在安全网络环境中,该远程服务器具有默认网络命名空间(dnn),其中该请求包括用于登录到csna中的会话凭据,并且其中安全网络环境与零信任云环境通信地耦合。方法还可以包括通过零信任云环境使客户端设备和远程服务器之间的通信管道化。该方面的其他实施例包括对应的计算机系统、装置和记录在一个或多个计算机存储设备上的计算机程序,各自被配置为执行该方法的动作。
4、实现可以包括以下特征中的一个或多个。方法可以包括配置远程服务器以:生成隔离网络命名空间(inn);生成inn与dnn之间的网桥;将来自inn的名称指派给虚拟网络接口(vni);以及在inn中生成新的csna。方法可以包括:将远程服务器的默认网络命名空间(dnn)防火墙配置为丢弃来自inn的指向安全网络环境的数据分组。方法可以包括:将dnn防火墙配置为转发来自inn的未指向安全网络环境的数据分组。方法可以包括:访问策略引擎以确定匹配以下的策略:身份、会话凭证、及其组合。方法可以包括:基于所确定的策略使通信管道化。方法其中csna是ssh会话。方法其中零信任云环境包括以下任一项:前端csna服务器、访问门户服务器、后端服务器、及其任何组合。方法其中后端服务器被配置为连接到被部署在安全网络环境中的连接器。方法其中客户端设备被配置为与前端csna服务器通信。所述技术的实现可以包括硬件、方法或过程、或计算机有形介质。
5、在一个一般方面,非暂态计算机可读介质可以包括一个或多个指令,该一个或多个指令在由设备的一个或多个处理器执行时使该设备:从客户端设备接收用以认证身份的请求,该身份至少包括用户的唯一标识符。介质还可以接收用以通过所述零信任云环境访问远程服务器上的csna的请求,该远程服务器被部署在安全网络环境中,该远程服务器具有默认网络命名空间(dnn),其中该请求包括用于登录到csna中的会话凭据,并且其中安全网络环境与零信任云环境通信地耦合。介质还可以通过零信任云环境使客户端设备与远程服务器之间的通信管道化。该方面的其他实施例包括对应的计算机系统、装置和记录在一个或多个计算机存储设备上的计算机程序,各自被配置为执行方法的动作。
6、在一个一般方面,系统可以包括处理电路系统。系统还可以包括存储器,该存储器包含指令,该指令在由处理电路执行时将该系统配置为:从客户端设备接收用以认证身份的请求,该身份至少包括用户的唯一标识符。系统还可以接收用以通过所述零信任云环境访问远程服务器上的csna的请求,该远程服务器被部署在安全网络环境中,该远程服务器具有默认网络命名空间(dnn),其中该请求包括用于登录到csna中的会话凭据,并且其中安全网络环境与零信任云环境通信地耦合。另外,系统还可以通过零信任云环境使客户端设备与远程服务器之间的通信管道化。该方面的其他实施例包括对应的计算机系统、装置和记录在一个或多个计算机存储设备上的计算机程序,各自被配置为执行方法的动作。
7、实现可以包括以下特征中的一个或多个。系统中的存储器包含另外的指令,该另外的指令在由处理电路系统执行时还将该系统配置为:配置远程服务器以:生成隔离网络命名空间(inn);生成inn与dnn之间的网桥;将来自inn的名称指派给虚拟网络接口(vni);以及在inn中生成新的csna。系统中的存储器包含另外的指令,该另外的指令在由处理电路系统执行时还将系统配置为:将远程服务器的默认网络命名空间(dnn)防火墙配置为丢弃来自inn的指向安全网络环境的数据分组。系统中的存储器包含另外的指令,该另外的指令在由处理电路系统执行时还将系统配置为:将dnn防火墙配配置为转发来自inn的未指向安全网络环境的数据分组。系统中的存储器包含另外的指令,该另外的指令在由处理电路系统执行时还将系统配置为:访问策略引擎以确定匹配以下的策略:身份、会话凭证、及其组合。系统中的存储器包含另外的指令,该另外的指令当由处理电路系统执行时还配置系统以:基于确定的策略使通信管道化。系统其中csna是ssh会话。系统其中零信任云环境包括以下任一项:前端csna服务器、访问门户服务器、后端服务器、及其任何组合。系统其中后端服务器被配置为连接到被部署在安全网络环境中的连接器。系统其中客户端设备被配置为与前端csna服务器通信。所述技术的实现可以包括硬件、方法或过程、或计算机有形介质。
本文档来自技高网...【技术保护点】
1.一种用于利用零信任云环境来隔离加密安全网络应用CSNA的方法,包括:
2.根据权利要求1所述的方法,还包括:
3.根据权利要求2所述的方法,还包括:将所述远程服务器的默认网络命名空间DNN防火墙配置为丢弃来自所述INN的指向所述安全网络环境的数据分组。
4.根据权利要求3所述的方法,还包括:将所述DNN防火墙配置为转发来自所述INN的未指向所述安全网络环境的数据分组。
5.根据权利要求1所述的方法,还包括:
6.根据权利要求5所述的方法,还包括:
7.根据权利要求1所述的方法,其中所述CSNA是SSH会话。
8.根据权利要求1所述的方法,其中所述零信任云环境包括以下任何一项:前端CSNA服务器、访问门户服务器、后端服务器、以及其任何组合。
9.根据权利要求8所述的方法,其中所述后端服务器被配置为连接到被部署在所述安全网络环境中的连接器。
10.根据权利要求8所述的方法,其中所述客户端设备被配置为与所述前端CSNA服务器通信。
11.一种非暂态计算机可读介质,
12.一种利用零信任云环境来隔离加密安全网络应用CSNA的系统,包括:
13.根据权利要求12所述的系统,其中所述存储器包含另外的指令,所述另外的指令在由所述处理电路系统执行时还将所述系统配置为:
14.根据权利要求13所述的系统,其中所述存储器包含另外的指令,所述另外的指令在由所述处理电路系统执行时还配置所述系统以:
15.根据权利要求14所述的系统,其中所述存储器包含另外的指令,所述另外的指令在由所述处理电路系统执行时还配置所述系统以:
16.根据权利要求12所述的系统,其中所述存储器包含另外的指令,所述另外的指令在由所述处理电路系统执行时还将所述系统配置为:
17.根据权利要求16所述的系统,其中所述存储器包含另外的指令,所述另外的指令在由所述处理电路系统执行时还将所述系统配置为:
18.根据权利要求12所述的系统,其中所述CSNA是SSH会话。
19.根据权利要求12所述的系统,其中所述零信任云环境包括以下任何一项:前端CSNA服务器、访问门户服务器、后端服务器、以及其任何组合。
20.根据权利要求19所述的系统,其中所述后端服务器被配置为连接到被部署在所述安全网络环境中的连接器。
21.根据权利要求19所述的系统,其中所述客户端设备被配置为与所述前端CSNA服务器通信。
...【技术特征摘要】
1.一种用于利用零信任云环境来隔离加密安全网络应用csna的方法,包括:
2.根据权利要求1所述的方法,还包括:
3.根据权利要求2所述的方法,还包括:将所述远程服务器的默认网络命名空间dnn防火墙配置为丢弃来自所述inn的指向所述安全网络环境的数据分组。
4.根据权利要求3所述的方法,还包括:将所述dnn防火墙配置为转发来自所述inn的未指向所述安全网络环境的数据分组。
5.根据权利要求1所述的方法,还包括:
6.根据权利要求5所述的方法,还包括:
7.根据权利要求1所述的方法,其中所述csna是ssh会话。
8.根据权利要求1所述的方法,其中所述零信任云环境包括以下任何一项:前端csna服务器、访问门户服务器、后端服务器、以及其任何组合。
9.根据权利要求8所述的方法,其中所述后端服务器被配置为连接到被部署在所述安全网络环境中的连接器。
10.根据权利要求8所述的方法,其中所述客户端设备被配置为与所述前端csna服务器通信。
11.一种非暂态计算机可读介质,存储一组指令,所述一组指令用于利用零信任云环境来隔离加密安全网络应用csna,所述一组指令包括:
12.一种利用零信任云环境来隔离加密安全网络应用c...
【专利技术属性】
技术研发人员:S·施瓦特兹,G·阿兹瑞兰特,
申请(专利权)人:慧与发展有限责任合伙企业,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。