
OpenZiti to darmowy projekt typu open source skupiający się na wdrażaniu zasad sieci o zerowym zaufaniu.
Sieć o zerowym zaufaniu to podejście do bezpieczeństwa na podstawie zakładając, że każde połączenie i punkt końcowy jest uważany za zagrożenie, nawet jeśli znajdują się w sieci firmowej lub zaufanej. Zamiast pośrednio ufać urządzeniom lub użytkownikom, sieć o zerowym zaufaniu stale weryfikuje tożsamość i stan bezpieczeństwa każdego komponentu sieci przed udzieleniem dostępu do zasobów lub danych.
Model bezpieczeństwa zerowego zaufania zapewnia, że dane i zasoby są domyślnie niedostępne. Użytkownicy Mogą mieć do nich dostęp jedynie w ograniczonym zakresie i w określonych okolicznościach, tak zwany dostęp z najniższymi uprawnieniami. Model ten weryfikuje i autoryzuje każde połączenie, na przykład gdy użytkownik łączy aplikację lub oprogramowanie ze zbiorem danych za pośrednictwem interfejsu programowania aplikacji (API), zapewniając, że interakcja spełnia wymagania polityki bezpieczeństwa firmy.
W systemie Linux istnieją różne rozwiązania do wdrożenia sieci zerowego zaufania oraz OpenZiti jest jednym z nich.
Co to jest OpenZiti?
OpenZiti jest przedstawiane jako zestaw narzędzi, które ułatwia integrację funkcjonalności interakcji w sieciach rozproszonych oraz tworzenie sieci nakładkowych specyficzne dla opracowywanych aplikacji, działające w konwencjonalnym Internecie i wykorzystujące routing mesh, który łączy każdy punkt sieci poprzez sąsiednie węzły.
OpenZiti jest pierwotnie przeznaczony do budowy sieci zapewniających ochronę i izolację ruchu w niezabezpieczonych środowiskach, w których węzły mogą zostać naruszone (zgodnie z architekturą Zero Trust). Ta technologia można używać do zarządzania komunikacją z aplikacjami zamiast polegać na VPN. Sieć działa poprzez kontroler zarządzający konfiguracją, uwierzytelnianiem i usługami, wraz z węzłami pełniącymi rolę routerów tworzących sieć kratową i kierujących ruch przez siebie. Można dodać usługi w celu równoważenia obciążenia i odporności na awarie.
Dostęp do sieci nakładkowej odbywa się poprzez klienta OpenZiti Edge który umożliwia połączenie z sieci zewnętrznej z siecią nakładkową utworzoną za pomocą OpenZiti. To To umożliwia tworzenie tuneli i serwerów proxy w celu przekierowywania ruchu pomiędzy sieciami zwykłymi i nakładkowymi, ułatwiając interakcję z zewnątrz z aplikacjami wewnętrznymi i dostęp do istniejących aplikacji, które nie obsługują jeszcze sieci nakładkowej.
El Dostęp do sieci i odbiór danych z serwerów DNS możliwy jest wyłącznie po przejściu obowiązkowej autoryzacji i uwierzytelnienia. Bez odpowiedniej autoryzacji Klient nie będzie mógł określić dostępności usługi ani połączyć się z nią. Cały ruch jest chroniony za pomocą mTLS (wzajemne uwierzytelnianie, w którym klient i serwer uwierzytelniają się nawzajem) oraz szyfrowanie typu end-to-end (przy użyciu ChaCha20-Poly1305), co oznacza, że atakujące węzły sieciowe nie pozwolą na wykrycie ruchu aplikacji . Do szyfrowania wykorzystywane są funkcje z biblioteki libsodium.
Wśród popularnych aplikacji którzy korzystają z OpenZiti, znajdują platformę wymiany danych Zrok i ekosystem przeglądarki, co ułatwia wdrażanie witryn w sieci nakładkowej. Oprócz tworzenia rozproszonych aplikacji sieciowych, OpenZiti nadaje się do tworzenia sieci prywatnych, które zarządzają dostępem do interfejsów API, stron internetowych lub prywatnych baz danych. Umożliwia także ukrywanie infrastruktur opartych na Kubernetes w sieci nakładkowej oraz zdalne zarządzanie systemami i urządzeniami bez konieczności konfigurowania zapór ogniowych lub korzystania z VPN.
Obecnie OpenZiti jest w wersji 1.0 a w nim Stabilność API dla routerów i kontrolerów (wcześniej stabilność gwarantowana była tylko dla klientów). Począwszy od tej wersji interfejsy API i CLI będą kompatybilne wstecz, a wszelkie usunięcia funkcji będą przeprowadzane przed wycofaniem, zanim zostaną trwale usunięte, tylko w przypadku znaczącej zmiany numeru wersji. Ta nowa wersja obejmuje również dodatkowe testy, takie jak symulacje awarii elementów sieci, umożliwiając weryfikację stabilności sieci w sytuacjach awaryjnych oraz jej zdolności do regeneracji poprzez powrót do normalnej pracy po usunięciu usterek.
Jeśli chcesz dowiedzieć się więcej na ten temat, powinieneś wiedzieć, że aplikacja rozpowszechniana jest na licencji Apache 2.0, a szczegóły możesz sprawdzić na stronie poniższy link.