从 0 到 1:构建基于 Linux 的零信任网络架构(ZTNA)实践指南

在传统网络安全模型中，“信任”通常是基于网络边界的。然而在现代分布式、远程办公盛行的环境下，这种边界逐渐消失，攻击面也随之扩大。零信任网络架构（Zero Trust Network Architecture, ZTNA） 正是在这种背景下提出的，它强调“默认不信任任何人”，所有访问请求必须被认证和授权。

本篇文章将以实践为导向，带你一步步搭建一个 基于 Linux 的 ZTNA 系统，结合开源工具，真正落地这一理念。

一、架构概览

我们将基于以下组件构建零信任架构：

o 身份认证与授权（AuthN/AuthZ）：Keycloak

o 反向代理与策略执行点（PEP）：Nginx + OpenResty + Lua

o 服务访问控制策略（PDP）：OPA（Open Policy Agent）

o 可观测性：Prometheus + Grafana + Loki

o 设备识别与 MDM：Osquery + FleetDM

o 加密通信：WireGuard VPN

整体思路为：“身份+设备+策略”的三重校验模型，形成一个动态的、实时的访问控制系统。

二、环境准备

1. 基础环境安装

假设使用的是 Ubuntu 22.04：

sudo apt update && sudo apt install -y docker.io docker-compose nginx git unzip

sudo systemctl enable docker --now

三、部署身份中心：Keycloak

1. 使用容器快速启动

# docker-compose-keycloak.yml

version: '3'

services:

keycloak:

image: quay.io/keycloak/keycloak:23.0

environment:

- KEYCLOAK_ADMIN=admin

- KEYCLOAK_ADMIN_PASSWORD=admin

command:

- start-dev

ports:

- 8080:8080

启动：

docker-compose -f docker-compose-keycloak.yml up -d

访问 http://localhost:8080，使用 admin/admin 登录管理后台。

四、配置反向代理与访问网关

1. 安装 OpenResty 支持 Lua 脚本控制

sudo apt install -y openresty

2. 示例 Nginx + Lua 脚本拦截请求

location /api/ {

access_by_lua_block {

local token = ngx.req.get_headers()["Authorization"]

if not token then

return ngx.exit(401)

end

-- 验证 token、调用 OPA 验权等

}

proxy_pass http://backend-api;

}

五、配置 OPA 进行策略判定

1. 启动 OPA 容器

docker run -d --name opa -p 8181:8181 openpolicyagent/opa run --server

2. 示例策略：限制仅组为“admin”的用户访问

# /policy/example.rego

package http.authz

default allow = false

allow {

input.user == "admin"

}

发布策略：

curl -X PUT --data-binary @example.rego localhost:8181/v1/policies/example

六、配置 WireGuard 构建零信任入口

1. 安装并生成密钥对

sudo apt install -y wireguard

wg genkey | tee privatekey | wg pubkey > publickey

2. 配置服务端 wg0.conf

[Interface]

PrivateKey = <private_key>

Address = 10.0.0.1/24

ListenPort = 51820

[Peer]

PublicKey = <client_public_key>

AllowedIPs = 10.0.0.2/32

启用服务：

sudo wg-quick up wg0

七、集成设备识别：osquery + FleetDM

1. 安装 osquery 客户端

sudo apt install -y osquery

2. 使用 FleetDM 管理设备、上报安全状态、补丁信息等

通过 osquery 查询用户登录、开机时间、补丁状态：

SELECT username, time FROM last;

SELECT * FROM os_version;

八、配置可观测性

1. 部署 Prometheus + Grafana + Loki 容器栈

git clone https://github.com/grafana/loki

cd loki/production

docker-compose up -d

可视化 ZTNA 各组件运行状态、延迟、访问情况等。

九、ZTNA 系统运行流程示意图

1. 用户接入 VPN（WireGuard）或通过公网访问入口；

2. 请求首先到达 OpenResty 网关；

3. OpenResty 拦截请求并调用 Keycloak 校验身份；

4. 调用 OPA 进行权限判断；

5. 若通过验证，转发请求至后台服务；

6. 相关日志和指标同步至 Prometheus 和 Loki。

十、总结

这是一套完全基于开源生态打造的零信任网络架构方案，能够实现：

o 统一身份认证与授权；

o 细粒度访问控制；

o 动态设备风险评估；

o 全链路监控与审计；

o 支持远程办公与跨地域访问。

如果你觉得这篇文章有帮助，欢迎 点赞、评论、收藏并关注我，后续我会持续分享更多《从 0 到 1》系列的 Linux 实战干货！