［龐浩 何淵文］

1 引言

技術(shù)創(chuàng)新一直是推動產(chǎn)業(yè)改革的重要因素，在國家“新基建”政策和數(shù)字化轉(zhuǎn)型浪潮的推動下，隨著AI、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算、5G、信息與互聯(lián)網(wǎng)等技術(shù)的創(chuàng)新和融合發(fā)展電子信息產(chǎn)業(yè)體系處于變革重組，人們?nèi)粘Ｉ詈凸ぷ髂Ｊ桨l(fā)生巨大的變化，互聯(lián)網(wǎng)應用場景日趨多樣，電信運營商的網(wǎng)絡架構(gòu)和業(yè)務場景也隨之發(fā)生了重大的變化，傳統(tǒng)的網(wǎng)絡邊界已經(jīng)變得模糊甚至消失。隨著云計算資源池彈性化以及移動化辦公趨勢發(fā)展，面對無處不在的網(wǎng)絡邊界以及動態(tài)變化的IP 信息，通過手工不斷修改VPN/防火墻策略已無法滿足新的安全接入需求。

零信任安全最早是由行業(yè)研究機構(gòu)（Forrester Research）提出，主要思路是數(shù)據(jù)中心零信任網(wǎng)絡的信任重構(gòu)依賴于全新身份標識的構(gòu)建。面對邊界安全的局限性，它提供了一組相對折衷的安全思想：在信息系統(tǒng)和服務中對每個訪問請求執(zhí)行精確的且最小的訪問權(quán)限，來最小化數(shù)據(jù)訪問風險的不確定性。默認不授予任何訪問信任，而是基于對訪問程序的不斷評估動態(tài)授予所需的最小權(quán)限，從而將資源限制為那些僅需要訪問的資源。

零信任安全針對傳統(tǒng)邊界安全架構(gòu)思想進行了重新評估和審視，建議圍繞業(yè)務系統(tǒng)創(chuàng)建一種以身份為中心的全新邊界，旨在解決“基于網(wǎng)絡位置建立信任”這種理念本身固有的安全問題。

因此，基于零信任模型的網(wǎng)絡安全架構(gòu)技術(shù)性研究和實踐，實現(xiàn)以身份標識為中心建立網(wǎng)絡信任關(guān)系，防止數(shù)據(jù)泄露和限制網(wǎng)絡內(nèi)部橫向移動，從而更有效地保護網(wǎng)絡通信和業(yè)務訪問。

2 傳統(tǒng)網(wǎng)絡安全架構(gòu)面臨挑戰(zhàn)

2.1 傳統(tǒng)安全架構(gòu)局限性

在傳統(tǒng)網(wǎng)絡分區(qū)架構(gòu)下，企業(yè)網(wǎng)絡一般分為外部互聯(lián)網(wǎng)和內(nèi)部生產(chǎn)網(wǎng)絡。在互聯(lián)網(wǎng)的使用過程中，企業(yè)官網(wǎng)、郵件服務器、業(yè)務平臺等重要資產(chǎn)不可避免地暴露互聯(lián)網(wǎng)，同時也暴露在惡意攻擊者的面前，導致端口掃描，暴力破解、遠程命令注入等攻擊頻繁，系統(tǒng)面臨巨大的網(wǎng)絡安全威脅。

對于內(nèi)部網(wǎng)絡，企業(yè)一般來說都會使用防火墻分隔開，不與外網(wǎng)直接連通，并基于安全性劃分為DMZ 區(qū)、辦公網(wǎng)絡區(qū)等不同區(qū)域，如圖1 所示。這種固有思維導致企業(yè)在安全建設上往往重點關(guān)注邊界的劃分和安全防護，而忽略內(nèi)部網(wǎng)絡中橫向攻擊的安全風險，僅通過設置VLAN來控制訪問流量。隨著業(yè)務上云的發(fā)展，云計算環(huán)境下引入虛擬化技術(shù)，將物理資源池化虛擬化后按需分配給用戶，并實現(xiàn)動態(tài)調(diào)整。應用系統(tǒng)運行所需要的計算、存儲、網(wǎng)絡資源的物理空間位置時刻可能發(fā)生變化，網(wǎng)絡邊界日趨模糊，傳統(tǒng)的硬件防火墻已經(jīng)無法適應現(xiàn)今網(wǎng)絡發(fā)展。當網(wǎng)絡邊界無法清晰地界定時，原有的通過防火墻建立的網(wǎng)絡安全策略所能發(fā)揮的作用越來越小，那么系統(tǒng)面臨網(wǎng)絡安全攻擊的風險也越來越大。當安全威脅突破了最外層的防火墻邊界時，攻擊者在內(nèi)網(wǎng)“一馬平川”，入侵攻擊無法得到有效遏制，所造成的危害就更廣，影響也更惡劣。

圖1 傳統(tǒng)網(wǎng)絡分區(qū)架構(gòu)

2.2 安全運維工作繁重

通過在網(wǎng)絡中部署防火墻、IPS、IDS、WAF、VPN 等一系列安全設備構(gòu)建的企業(yè)安全防線，由于設備可能來自不同的廠家，缺乏統(tǒng)一的網(wǎng)管系統(tǒng)，對運維人員的專業(yè)能力要求高且日常維護工作量大，難以有效控制安全風險。

（1）安全策略冗余降低防護效率

安全設備從建設部署開始，便需要運維人員對策略進行持續(xù)性維護，涉及策略的新增，調(diào)優(yōu)、變更、刪除等。在大量的復雜性策略維護工作中，早期創(chuàng)建的策略往往沒有定期梳理和及時回收，造成舊策略的大量累積，影響安全設備正常運行，甚至導致安全策略沖突失效，使安全產(chǎn)品未能發(fā)揮應有的防護作用，給整體網(wǎng)絡安全埋下隱患。

（2）準入控制權(quán)限粗放存在安全隱患

在安全設備使用過程中，部分安全設備存在配置顆粒度較大的問題，而運維人員也常常為降低維護復雜度配置粗放式策略。例如，VPN 設備通常都會設立多個角色組，將用戶賬號按照角色組開通進入內(nèi)網(wǎng)的權(quán)限，而不是為每個賬號單獨配置對應的應用資源訪問控制策略，未能實現(xiàn)賬號權(quán)限的細致化管理。這樣就造成了遠程用戶獲取連接準入權(quán)限后可以訪問到非工作所需的設備和系統(tǒng)，容易導致內(nèi)部資源的非授權(quán)訪問風險，用戶能夠與非授權(quán)的業(yè)務系統(tǒng)建立網(wǎng)絡連接，甚至利用業(yè)務系統(tǒng)自身的漏洞來進行口令爆破、SQL 注入、遠程命令執(zhí)行等攻擊，帶來極大的安全隱患。

（3）可視化管理缺乏維護難度增大

在網(wǎng)絡安全防線構(gòu)建過程中，常常使用防火墻等安全網(wǎng)關(guān)類設備保障網(wǎng)絡連接的安全性，但受防火墻價格和設計定位的限制，缺乏安全策略高效管理的能力，只能依靠運維人員手動維護安全準入策略。這樣不僅耗費大量的人力，同時可維護性低下，運維人員缺乏精力定期梳理和精簡，往往導致安全策略日積月累，數(shù)量龐大，無法實現(xiàn)安全策略的有效、準確、動態(tài)管理。隨著云計算、容器、大數(shù)據(jù)等新技術(shù)廣泛應用，越來越多的網(wǎng)絡資產(chǎn)需要納入網(wǎng)絡連接管控，安全策略數(shù)量和復雜度呈指數(shù)級增長，導致管理維護越發(fā)困難。

3 零信任模型實現(xiàn)思路

SDP（軟件定義邊界）是有國際云安全聯(lián)盟CSA 提出的基于零信任理念的新一代網(wǎng)絡安全技術(shù)架構(gòu)，堅持“持續(xù)驗證，永不信任”的原則，采用基于個人身份的訪問控制和動態(tài)的接入環(huán)境風險評估作為核心思路，實現(xiàn)業(yè)務資源訪問的最小化權(quán)限控制。SDP 安全架構(gòu)一般分為3 層：網(wǎng)絡能力層、平臺能力層、終端能力層，其典型架構(gòu)如圖2 所示。網(wǎng)絡能力層具備SPA（單包授權(quán)）能力，為用戶提供統(tǒng)一的網(wǎng)絡入口；平臺能力層實現(xiàn)人員身份認證、訪問策略生成與下發(fā)，訪問行為審計等功能，可以實現(xiàn)根據(jù)接入環(huán)境的風險等級動態(tài)調(diào)整訪問權(quán)限。終端能力層負責采集用戶的操作環(huán)境和應用安全配置，并具備數(shù)據(jù)安全保障措施，并具備多類終端及應用適配的特性。與傳統(tǒng)網(wǎng)絡安全架構(gòu)比較，SDP 具備以下優(yōu)勢。

圖2 基于零信任的SDP 安全架構(gòu)

（1）精細化的權(quán)限管理

基于零信任的SDP 模型有別于傳統(tǒng)寬泛的網(wǎng)絡接入，不再以IP 地址作為網(wǎng)絡訪問策略的授權(quán)依據(jù)，而是采用身份訪問管理技術(shù)（Identity and Access Manager，簡稱IAM）將企業(yè)網(wǎng)絡環(huán)境中的應用系統(tǒng)、數(shù)據(jù)庫、主機、網(wǎng)絡設備和安全設備等資源的賬號、認證、訪問控制、審計工作納入統(tǒng)一管理，其邏輯架構(gòu)如圖3 所示。無論互聯(lián)網(wǎng)還是企業(yè)內(nèi)部網(wǎng)絡接入環(huán)境均以個人身份信息作為認證依據(jù)，只有通過認證和授權(quán)才能允許對系統(tǒng)進行單次有效的訪問，降低了賬號管理復雜度，同時解除了普通用戶在訪問不同資源時重復認證的繁瑣過程，提升了日常工作的便利性。

圖3 SDP 身份訪問管理技術(shù)（IAM）架構(gòu)

整個認證授權(quán)過程中，首先通過多因子認證方式對用戶及其使用的終端進行校驗。認證校驗通過之后，通過采集的接入環(huán)境安全參數(shù)評估出初始信任等級并根據(jù)等級進行授權(quán)。這兩步均是SDP 客戶端與服務端進行交互，不涉及具體所需訪問的業(yè)務系統(tǒng)。當認證通過后，客戶端才能夠建立安全連接，通過代理方式訪問所需業(yè)務應用。

（2）動態(tài)風險評估

SDP 基于“持續(xù)驗證，永不信任”的原則，在用戶通過認證進行業(yè)務訪問的過程中，SDP 會持續(xù)監(jiān)測終端設備的接入環(huán)境和安全配置參數(shù)，結(jié)合時間、頻次、訪問資源預設級別、用戶身份等要素，動態(tài)判定用戶的安全風險級別。因此，用戶的信任度和風險級別會隨著時間和空間動態(tài)變化，促使針對重大安全風險及時預警并觸發(fā)安全防護措施，達到信任和風險的動態(tài)平衡。

（3）用戶權(quán)限動態(tài)調(diào)整

SDP 模型強調(diào)訪問權(quán)限是實時調(diào)整的，根據(jù)用戶、接入環(huán)境風險級別、數(shù)據(jù)、業(yè)務系統(tǒng)等要素形成差異化的訪問請求，通過動態(tài)防火墻技術(shù)快速部署安全訪問控制策略，及時調(diào)整整體網(wǎng)絡環(huán)境的安全防護措施。實際運行中SDP通常都會為每個用戶設定最小權(quán)限和最大權(quán)限范圍，即為安全訪問控制策略設立基于用戶個人的基線和上限集合。在用戶訪問過程中，SDP 會依據(jù)動態(tài)判定的用戶風險級別和可信度，在用戶最小和最大權(quán)限范圍之間快速調(diào)整訪問權(quán)限。對于實時調(diào)整后訪問權(quán)限受限的用戶，可以觸發(fā)SDP 的二次認證機制，通過強化身份認證提升用戶的可信級別，實現(xiàn)用戶的網(wǎng)絡最小訪問權(quán)限的動態(tài)擴展。

（4）業(yè)務安全訪問

區(qū)別于傳統(tǒng)VPN 服務器必然將服務器IP 及端口暴露在互聯(lián)網(wǎng)，SDP 通過SPA 單包認證方式實現(xiàn)服務及資產(chǎn)隱藏，避免惡意的掃描及暴露滲透等攻擊風險。SPA 單包認證（Single-Packet Authorization）技術(shù)，是一種輕量級的認證協(xié)議，遵循RFC4226 標準文件。通過SPA 技術(shù)，SDP 默認不響應任何 TCP 或 UDP 請求，只響應通過授權(quán)的請求，對非授權(quán)用戶無法通過端口掃描發(fā)現(xiàn)SDP 服務端IP 及端口所有正常業(yè)務服務都隱藏在服務端后面，產(chǎn)生了網(wǎng)絡隱身和服務隔離的防護效果。SPA 認證流程如圖4 所示。另外，SDP 采用安全傳輸隧道技術(shù)，使用戶與服務端之間通過可信、可控的信道進行信令和數(shù)據(jù)交互，數(shù)據(jù)傳輸加密防護，有效保障網(wǎng)絡傳輸?shù)陌踩?/p>

圖4 SDP 的SPA 認證流程

4 零信任架構(gòu)應用方案

采用基于零信任的SDP 解決方案，中國南方某電信運營商部署網(wǎng)絡安全接入管控系統(tǒng)，實現(xiàn)了統(tǒng)一安全接入邊界和訪問管控，所有相關(guān)的內(nèi)部員工、營業(yè)員、渠道合作人員、外協(xié)人員、開發(fā)及維護第三方辦等均通過SDP 系統(tǒng)訪問該電信運營商內(nèi)網(wǎng)，令互聯(lián)網(wǎng)上的業(yè)務系統(tǒng)隱身于網(wǎng)關(guān)后；以身份為中心，僅允許授權(quán)用戶連接，系統(tǒng)集成SSO，提供統(tǒng)一體驗的工作門戶，具體組網(wǎng)方案如圖5所示。

圖5 零信任SDP 應用方案組網(wǎng)架構(gòu)

系統(tǒng)的體系結(jié)構(gòu)由3 個部分組成：安全客戶端（包括PC、APP、瀏覽器等客戶端）、安全網(wǎng)關(guān)和安全接入控制器，其中控制器與安全網(wǎng)關(guān)應分離部署，并都支持獨立硬件與虛擬化部署。其中控制器和安全網(wǎng)關(guān)參照SDP 架構(gòu)進行控制面和數(shù)據(jù)面的分離，客戶端支持沙箱功能，分離個人空間與工作空間實現(xiàn)終端數(shù)據(jù)防泄密。另外，系統(tǒng)支持對外開放API 接口，可將外部的第三方組件集成到零信任架構(gòu)來，形成以SDP 架構(gòu)為中心的統(tǒng)一安全防護體系。

4.1 安全接入控制器

安全接入控制器是系統(tǒng)的核心組成部分，負責認證、授權(quán)、策略管理與下發(fā)，是整體的調(diào)度與管理中心。該模塊可采用虛擬化集群部署的模式，通過與該電信運營商的統(tǒng)一認證平臺對接，實現(xiàn)賬號實名制管理，并對系統(tǒng)的其他組件行統(tǒng)一的管控，包括接入設備管理、用戶身份管理、認證管理、授權(quán)策略管理、接入評估、訪問控制、可視化管理、審計管理等，其認證策略邏輯如圖6 所示。

圖6 認證服務隔離邏輯

安全接入控制器負責控制建立連接和切斷主體（用戶）與客體（應用）之間的通信連接（通過給網(wǎng)關(guān)發(fā)送控制指命），生成客戶端用于訪問應用的身份驗證令牌或憑證。該模塊支持IAM 身份認證、動態(tài)權(quán)限控制，對接入的身份、終端、環(huán)境、行為進行信任評估，基于策略引擎配置的策略結(jié)果，決定最終允許或拒絕會話。如果會話被授權(quán)且請求已被認證，則控制器通知網(wǎng)關(guān)允許代理訪問。如果會話被拒絕，則控制器向網(wǎng)關(guān)發(fā)出指令以切斷連接。同時該模塊受SPA 單包授權(quán)技術(shù)對設備本身的服務進行隱身保護——只有已授權(quán)的客戶端接入，才能打開認證頁面，未授權(quán)的客戶端將無法接入控制中心對外提供的任何服務，認證頁面都無法打開。第三方組件識別的安全問題，如態(tài)勢感知平臺識別的流量攻擊行為、終端威脅管理平臺識別的終端威脅、或者DLP 等數(shù)據(jù)管控平臺識別的數(shù)據(jù)泄露風險，可通過對外提供的WEB API 接口，將上述風險上傳到安全接入控制器進行統(tǒng)一的信任評估和策略配置，及時開展對應的響應和阻斷，達到統(tǒng)一安全管控的效果。

4.2 安全網(wǎng)關(guān)

安全網(wǎng)關(guān)負責建立、監(jiān)視及切斷訪問主體（用戶）和客體（應用）之間的連接，針對遠程訪問、API 接口調(diào)用、日常運維等不同訪問場景提供對應的接入能力，實現(xiàn)統(tǒng)一接入、統(tǒng)一管控。安全網(wǎng)關(guān)從控制器接收策略和指令，并支持HTTPS 代理訪問和SSL 隧道代理訪問。同時，安全網(wǎng)關(guān)應支持受SPA 單包授權(quán)技術(shù)對設備本身的服務進行隱身保護，只有已授權(quán)的客戶端才能通過代理網(wǎng)關(guān)代理訪問業(yè)務，否則將無法連接代理網(wǎng)關(guān)對外放通的端口服務。由于所有流量都經(jīng)過安全網(wǎng)關(guān)，安全網(wǎng)關(guān)會記錄所有的訪問請求，包括源IP、目標IP 以及訪問的URL 的路徑，支持通過Syslog 方式將所有日志對接給第三方日志審計平臺，或?qū)⒚魑牧髁跨R像發(fā)送給外部審計平臺，如WAF、SIP 等，以便外部設備進行審計、分析。

4.3 安全客戶端

安全客戶端負責實現(xiàn)基于設備屬性的動態(tài)訪問控制,分為PC 客戶端和移動端APP，支持SSL 加密隧道訪問，為各種終端類型（Windows、Android、MAC OS、IOS）提供統(tǒng)一體驗的辦公接入環(huán)境，實現(xiàn)互聯(lián)網(wǎng)遠程訪問統(tǒng)一入口和統(tǒng)一登錄認證。

PC 的客戶端提供終端安全檢測的能力，對接入的終端當前的環(huán)境（如操作系統(tǒng)、防火墻、殺毒軟件、應用進程）進行收集和上報，上報給安全接入控制器進行信任評估的策略管理?？蛻舳诉€具備沙箱功能，在認證后客戶端會在終端上強制開啟工作空間，敏感業(yè)務限制在僅能在工作空間中訪問，并具備文件加密、文件隔離、網(wǎng)絡隔離、剪切板管控、外設管控、屏幕水印、防截屏錄屏等安全能力?？蛻舳松诚涔ぷ髟砣鐖D7 所示。

圖7 沙箱文件重定向原理

5 結(jié)束語

本文分析了傳統(tǒng)網(wǎng)絡安全架構(gòu)面臨諸多挑戰(zhàn)，提出了基于零信任的SDP 架構(gòu)應用方案。零信任安全模型是將網(wǎng)絡系統(tǒng)內(nèi)部或外部任何一個對象，無論處于網(wǎng)絡的任何位置，都被視為完全個可信任。它是對現(xiàn)有的網(wǎng)絡安全邊界模型基礎上進行重新定義，整合現(xiàn)有成熟技術(shù)，不斷兼容創(chuàng)新技術(shù)。本方案以安全、可信、合規(guī)為目標，通過SDP 網(wǎng)絡安全架構(gòu)實現(xiàn)網(wǎng)絡隱身、持續(xù)驗證、細粒度訪問控制等功能，顯著減少互聯(lián)網(wǎng)暴露面，降低漏洞被利用的機率，避免惡意攻擊行為，提升接入訪問的安全性。