【零信任产品】【基础部署】常规联动部署配置案例

强裕校发表于:2021年04月02日 17:36:54更新于:2021年04月29日 14:38:53

1    简介

         本文档介绍零信任产品四件套联动部署配置案例,可信访问控制台TAC、可信应用代理TAP、可信API代理TIP和可信终端环境感知系统TESS之间的联动配置。

2    配置前提

         本文档适用于零信任产品四件套(TAC、TAP、TIP和TESS),如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

         本文档中的配置均是在实验室环境下进行的配置和验证,配置前,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

         零信任产品TAC、TAP、TIP和TESS之间网络可达,联动默认通信端口如下表:

访问来源

访问目标

目标端口

用途

TESS客户端

TESS服务端

TCP443

客户端上报可信环境感知信息

TESS服务端

TESS客户端

TCP443

服务端下发策略

TESS服务端

TAC

TCP443

可信环境感知上报信息给可信访问控制台

TAC

TESS服务端

TCP443

可信访问控制台到可信环境感知查询分数

TAC

TAP/TIP

TCP8443

TAC与TAP/TIP通信

TAP/TIP

TAC

TCP443

TAP到TAC进行认证授权

 

3    配置举例

3.1    组网需求

         在零信任产品四件套联动部署场景中,需要保证零信任产品TAC、TAP、TIP和TESS之间网络可达,联动通信的数据端口联通正常,组网逻辑拓扑如下:

image.png

3.2    配置思路

1)   在TAC的【验证服务】中,需要为每一台TAP/TIP创建验证服务,用于TAC/TIP与多台TAP通讯前进行可信验证;多台TAP/TIP将使用同一验证服务;自动生产的ID、KEY和公钥,将作为TAP/TIP关联配置中的必需信息。

2)   TAC和TAP&TIP&TESS进行联动配置

3)   配置完成,进行联动检测和验证

3.3    使用版本

         本举例是在零信任产品(TAC、TAP和TIP)1.10p1版本和TESS V6.6.0.1923 版本上进行配置和验证的。

3.4    配置步骤

3.4.1     TAC和TAP联动配置

1)   【TAC】【身份访问管理】-【验证服务】-【服务管理】

配置及检查验证服务,用于通信的可信验证

image.png

自动生产的ID、KEY和公钥,将作为TAP关联配置中的必需信息

image.png

2)   【TAC】【身份访问管理】-【高级选项】-【可信代理管理】

点击【添加】:此处添加的是TAP的主机

image.png

3)   【TAP】【可信应用代理】-【可信访问控制台】

配置和TAC的联动信息

image.png

3.4.2     TAC和TIP联动配置

1)   【TAC】【身份访问管理】-【验证服务】-【服务管理】

配置及检查验证服务,用于通信的可信验证

image.png

自动生产的ID、KEY,将作为TIP关联配置中的必需信息

image.png

2)   【TAC】【身份访问管理】-【高级选项】-【可信代理管理】

点击【添加】:此处添加的是TIP的主机

image.png

3)   【TIP】【可信API代理】-【可信访问控制台】

配置和TAC的联动信息

image.png

3.4.3     TAC和TESS联动配置

1)   【TAC】【身份访问管理】-【验证服务】-【服务管理】

配置及检查验证服务,用于通信的可信验证

image.png

自动生产的ID、KEY,将作为TESS关联配置中的必需信息,后续在TESS侧填写

image.png

2)   【TAC】【身份访问管理】-【高级选项】-【身份令牌服务高级选项】

感知客户端下载地址:

https://TESS_IP/deploy

用户设备信息查询地址:

https://TESS_IP/api/iam/getscore?api_version=1.0&detail=0&mids=

image.png

3)   【TESS】【系统管理】-【系统设置】-【数据导出】

接收URL:https://tac_ip/v1.0/device/trust_change

APP ID:验证服务APPID

APPkey:验证服务APPkey

image.png

4    验证配置

1)   TAC管理界面创建WEB应用后点击同步到可信代理,然后再到TAP上看是否有应用信息,有信息说明联动成功

2)   TAC管理界面创建API后点击同步到可信代理,然后再到TIP上看是否有API信息,有信息说明联动成功

3)   在TAC管理界面【高级选项】-【可信代理管理】查看TAP/TIP的联动状态是否正常(首次联动配置状态显示可能有一定延迟)

4)   通过TAC【用户日志】查看是否有TESS终端的分数信息

5)   通过TESS服务端【系统运行日志】查看是否有感知日志信息

5    注意事项

1)   在进行零信任产品四件套联动配置前,验证客户环境中已经放行相关的数据通信端口。

2)   联动配置成功后,在TAC【可信代理管理】查看首次联动配置的TAP/TIP状态时,可能会显示数据状态异常,等待一段时间后即可恢复正常。

3)   TESS服务端勾选并开启感知结果查询和感知变更推送日志模块,可以通过该日志确定TESS服务端与TAC对接日志发送和查询的情况,默认未开启。