蔣亞坤，李曉耕，林 旭

（云南電力調(diào)度控制中心，云南 昆明 650000）

用戶在從外部互聯(lián)網(wǎng)訪問(wèn)企業(yè)內(nèi)部信息系統(tǒng)時(shí)，主要通過(guò)虛擬專用網(wǎng)絡(luò)（VPN）設(shè)備實(shí)現(xiàn)用戶身份認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全控制，VPN已在各行業(yè)大量使用。首先傳統(tǒng)VPN使用TCP/IP通信協(xié)議進(jìn)行互聯(lián)網(wǎng)用戶身份認(rèn)證，先連接網(wǎng)絡(luò)，后認(rèn)證身份，存在資產(chǎn)暴露問(wèn)題；其次傳統(tǒng)VPN是基于網(wǎng)絡(luò)為中心的準(zhǔn)入控制，用戶一旦通過(guò)VPN接入企業(yè)內(nèi)部網(wǎng)絡(luò)，就難以控制其對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊[1][2]。

零信任是近年來(lái)國(guó)際上最為領(lǐng)先的新一代安全架構(gòu)，通過(guò)軟件定義邊界（SDP）構(gòu)建無(wú)邊界的安全防御體系。本文對(duì)零信任安全架構(gòu)的用戶安全訪問(wèn)控制系統(tǒng)實(shí)現(xiàn)進(jìn)行設(shè)計(jì)探討，首先介紹零信任安全架構(gòu)原理，并以面向業(yè)務(wù)及用戶的訪問(wèn)控制為例對(duì)其進(jìn)行闡述，最后探討零信任架構(gòu)優(yōu)化及改進(jìn)建議，可為零信任安全架構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)提供指導(dǎo)。

1 零信任SDP介紹

零信任SDP是國(guó)際云安全聯(lián)盟（CSA）于2013年提出的一個(gè)全新概念，彌補(bǔ)了傳統(tǒng)TCP/IP漏洞，其核心思想是通過(guò)SDP架構(gòu)隱藏核心網(wǎng)絡(luò)資產(chǎn)與設(shè)施，使之不直接暴露在不可信網(wǎng)絡(luò)下，使得網(wǎng)絡(luò)資產(chǎn)與設(shè)施免受外來(lái)安全威脅。

2 系統(tǒng)架構(gòu)設(shè)計(jì)

2.1 系統(tǒng)架構(gòu)

本文設(shè)計(jì)了一種適用于網(wǎng)絡(luò)環(huán)境的零信任SDP安全隔離與準(zhǔn)入系統(tǒng)，下面對(duì)其系統(tǒng)架構(gòu)進(jìn)行說(shuō)明。

SDP彌補(bǔ)了TCP/IP架構(gòu)的缺陷，避免重要網(wǎng)絡(luò)資產(chǎn)直接暴露在Internet中，規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，在架構(gòu)上實(shí)現(xiàn)徹底安全防護(hù)。SDP架構(gòu)主要包含三部分：SDP控制器（Controller）、SDP網(wǎng)關(guān)（Gateway）和SDP客戶端（Client）。SDP架構(gòu)圖如圖1所示。

圖1 SDP安全架構(gòu)圖

SDP基于SDN架構(gòu)實(shí)現(xiàn)控制平面與轉(zhuǎn)發(fā)平面的分離，通過(guò)先認(rèn)證，再連接的方式規(guī)避了TCP/IP架構(gòu)的缺陷，實(shí)現(xiàn)了網(wǎng)關(guān)的隱身功能；通過(guò)SPA單包認(rèn)證機(jī)制實(shí)現(xiàn)了控制器的隱身。通過(guò)網(wǎng)絡(luò)隱身特性讓攻擊者無(wú)法攻擊不可視資產(chǎn)進(jìn)而規(guī)避已知與未知攻擊威脅。

零信任SDP新一代用戶安全訪問(wèn)控制系統(tǒng)基于SDN架構(gòu)進(jìn)行設(shè)計(jì)，實(shí)現(xiàn)了控制平面與轉(zhuǎn)發(fā)平面的分離，系統(tǒng)由零信任中央管理模塊（Controller）、終端環(huán)境感知模塊、密鑰分發(fā)管理模塊、安全審計(jì)模塊、統(tǒng)一身份管理模塊、流量調(diào)度管理模塊、API可信網(wǎng)關(guān)、應(yīng)用準(zhǔn)入網(wǎng)關(guān)、安全客戶端、安全SDK等多個(gè)模塊組成，其架構(gòu)圖如圖2所示。其中，零信任中央管理模塊是該系統(tǒng)的核心部分，負(fù)責(zé)各個(gè)模塊之間的通信，處理各種服務(wù)進(jìn)程；終端環(huán)境感知模塊負(fù)責(zé)對(duì)終端補(bǔ)丁、殺毒軟件、系統(tǒng)設(shè)置等進(jìn)行綜合感知與評(píng)價(jià)并向中央處理模塊反饋終端感知評(píng)價(jià)分值；密鑰分發(fā)管理模塊可以實(shí)現(xiàn)客戶端或SDK的密鑰分發(fā)管理，負(fù)責(zé)密鑰的生產(chǎn)、存儲(chǔ)與更新；安全審計(jì)模塊對(duì)用戶訪問(wèn)行為UEBA進(jìn)行海量日志分析與判斷，對(duì)用戶異常行為進(jìn)行感知與處理；統(tǒng)一身份管理模塊，可以實(shí)現(xiàn)本地認(rèn)證或認(rèn)證轉(zhuǎn)發(fā)功能，基于SPA單包認(rèn)證方式實(shí)現(xiàn)控制器與網(wǎng)關(guān)的網(wǎng)絡(luò)隱身，同時(shí)基于MFA多因素認(rèn)證方式，增強(qiáng)系統(tǒng)的認(rèn)證安全性；流量調(diào)度管理模塊負(fù)責(zé)多網(wǎng)關(guān)、多用戶的負(fù)載均衡流量調(diào)度與系統(tǒng)的災(zāi)備與切換；API可信網(wǎng)關(guān)與應(yīng)用準(zhǔn)入網(wǎng)關(guān)負(fù)責(zé)用戶的安全準(zhǔn)入控制，基于身份實(shí)現(xiàn)最小化網(wǎng)絡(luò)分段與隔離；安全客戶端與安全SDK實(shí)現(xiàn)終端安全的隧道建立、可信進(jìn)程、環(huán)境感知等功能。各個(gè)模塊互相協(xié)作，共同構(gòu)成一個(gè)完整的零信任SDP用戶安全訪問(wèn)控制系統(tǒng)。

圖2 零信任SDP用戶安全訪問(wèn)控制系統(tǒng)架構(gòu)

2.2 系統(tǒng)設(shè)計(jì)

零信任SDP用戶安全訪問(wèn)控制系統(tǒng)可以部署在不同網(wǎng)絡(luò)的接入訪問(wèn)、供應(yīng)商遠(yuǎn)程訪問(wèn)、遠(yuǎn)程安全運(yùn)維等多個(gè)場(chǎng)景進(jìn)行運(yùn)用。

零信任SDP系統(tǒng)可集中或在不同的網(wǎng)絡(luò)中分布式部署控制器Controller模塊，提供整個(gè)零信任SDP系統(tǒng)的中央調(diào)度功能，包括客戶端統(tǒng)一認(rèn)證、密鑰分發(fā)、動(dòng)態(tài)流量調(diào)度、動(dòng)態(tài)防火墻網(wǎng)關(guān)模塊、流量審計(jì)等整體協(xié)作與控制，管理員可以根據(jù)實(shí)際情況通過(guò)控制器調(diào)整和下發(fā)用戶訪問(wèn)資源的權(quán)限與安全策略，并實(shí)時(shí)通知網(wǎng)關(guān)進(jìn)行動(dòng)態(tài)安全策略調(diào)整。在各個(gè)網(wǎng)絡(luò)邊界部署云化或硬件專屬SDP網(wǎng)關(guān)模塊實(shí)現(xiàn)泛邊界防御功能。內(nèi)外部用戶通過(guò)安全客戶端或SDK基于加密隧道方式，只有通過(guò)身份認(rèn)證才能訪問(wèn)特定的資源與數(shù)據(jù)，具有云-管-端的立體安全防御能力。下面對(duì)系統(tǒng)實(shí)現(xiàn)作具體分析。

2.2.1 身份認(rèn)證與識(shí)別

SDP系統(tǒng)基于SPA單包認(rèn)證方式進(jìn)行身份認(rèn)證，SPA（Single-Packet Authorization，單包認(rèn)證）是一種輕量級(jí)的認(rèn)證協(xié)議，遵循RFC4226，SPA是SDP的重要核心組件，Client-Controller Controller-Gateway Client-Gateway之間都采用了SPA方式進(jìn)行認(rèn)證。

圖3 SPA流程

為了增強(qiáng)SDP系統(tǒng)認(rèn)證的安全性，在原有SPA認(rèn)證協(xié)議基礎(chǔ)上增加了控制器模塊的認(rèn)證轉(zhuǎn)發(fā)與MFA多因素認(rèn)證功能。

圖4 控制器認(rèn)證及轉(zhuǎn)發(fā)模塊

控制器收到認(rèn)證報(bào)文后會(huì)向后端第三方統(tǒng)一身份認(rèn)證模塊IAM進(jìn)行轉(zhuǎn)發(fā)，如果有任何認(rèn)證因子錯(cuò)誤時(shí)控制器會(huì)直接將認(rèn)證報(bào)文進(jìn)行丟棄，使非法攻擊者無(wú)法探知控制器的服務(wù)端口，進(jìn)而實(shí)現(xiàn)控制器的網(wǎng)絡(luò)隱身功能，保障SDP控制器模塊的系統(tǒng)安全運(yùn)行，同時(shí)基于MFA多因素增強(qiáng)了認(rèn)證的豐富性與安全性，極大增加了黑客破解口令的難度系數(shù)。

2.2.2 動(dòng)態(tài)防火墻

傳統(tǒng)的防火墻基于規(guī)則模式進(jìn)行配置，需要手工方式逐條進(jìn)行配置，通常只能針對(duì)防火墻后端訪問(wèn)資源進(jìn)行嚴(yán)格的ACL安全策略配置，針對(duì)用戶側(cè)往往只能配置允許放通服務(wù)端口或基于內(nèi)部網(wǎng)段進(jìn)行粗顆粒度策略放通，存在網(wǎng)絡(luò)及服務(wù)端口暴露面風(fēng)險(xiǎn)，無(wú)法針對(duì)不斷變換位置的BYOD等移動(dòng)辦公終端進(jìn)行嚴(yán)格的ACL訪問(wèn)控制。本系統(tǒng)API可信網(wǎng)關(guān)及應(yīng)用準(zhǔn)入網(wǎng)關(guān)采用了動(dòng)態(tài)防火墻技術(shù)，改變了原有防火墻的靜態(tài)配置模式，通過(guò)控制器采用動(dòng)態(tài)策略計(jì)算生成并動(dòng)態(tài)下發(fā)，動(dòng)態(tài)防火墻默認(rèn)采用deny any any策略拒絕一切流量的連接，只有通過(guò)身份認(rèn)證的終端或用戶，SDP防火墻才會(huì)基于用戶的位置、IP地址、設(shè)備指紋等信息進(jìn)行動(dòng)態(tài)的安全策略配置，任何非法用戶或攻擊者都將無(wú)法掃描到SDP防火墻及后端應(yīng)用的任何IP地址及端口，因而實(shí)現(xiàn)了SDP動(dòng)態(tài)防火墻的網(wǎng)絡(luò)隱身功能，可抵御掃描、滲透、暴力破解、撞庫(kù)、SQL注入、APT等各類網(wǎng)絡(luò)攻擊。

2.2.3 動(dòng)態(tài)流量調(diào)度

零信任SDP系統(tǒng)基于SDN架構(gòu)進(jìn)行實(shí)現(xiàn)，實(shí)現(xiàn)了控制平面與轉(zhuǎn)發(fā)平面的分離，并且通過(guò)私有協(xié)議進(jìn)行組件間的通信，北向接口通過(guò)RESTFUF API方式向外部系統(tǒng)開放調(diào)度能力，同時(shí)控制器平面也可以實(shí)現(xiàn)masterslaver或多master等多種方式實(shí)現(xiàn)主備與冗余。實(shí)際運(yùn)用中可能存在多數(shù)據(jù)中心、多云、多邊界部署，動(dòng)態(tài)流量調(diào)度模塊可以感知系統(tǒng)內(nèi)各個(gè)GW的在線用戶、Tunnel、Session、流量等多個(gè)性能指標(biāo)，系統(tǒng)可以支持多種負(fù)載均衡算法，包括Round-Robin、Random、Weight-Round-Robin、Hash，可以基于用戶的規(guī)模、網(wǎng)關(guān)的并發(fā)處理能力、網(wǎng)絡(luò)吞吐量動(dòng)態(tài)決策每臺(tái)SDP所承載的業(yè)務(wù)流量，實(shí)現(xiàn)彈性計(jì)算能力擴(kuò)展及靈活的業(yè)務(wù)調(diào)度能力。

2.2.4 密鑰分發(fā)與管理

密鑰分發(fā)與管理模塊是保障SDP系統(tǒng)安全一個(gè)重要模塊，涉及SDP用戶的注冊(cè)、密鑰的生成與分發(fā)、密鑰管理（頒發(fā)、更新、作廢、驗(yàn)證）等功能。

該模塊工作模式為新增用戶首先在本平臺(tái)進(jìn)行注冊(cè)，注冊(cè)信息包括用戶名、密碼、郵箱、手機(jī)、部門等多維度信息，建議通過(guò)內(nèi)部可信網(wǎng)絡(luò)進(jìn)行申請(qǐng)，用戶也可以基于第三方統(tǒng)一身份平臺(tái)IAM，由第三方平臺(tái)確保用戶身份的合法及所屬部門組織架構(gòu)；經(jīng)管理員進(jìn)行核實(shí)并審核通過(guò)后系統(tǒng)自動(dòng)生成用戶的公鑰和私鑰，其中公鑰推送到SDP系統(tǒng)中，私鑰根據(jù)客戶的安全管理級(jí)別，高安全性使用推薦使用的專業(yè)介質(zhì)USB-Key并通過(guò)安全方式遞交給使用者；另外可以針對(duì)注冊(cè)成功的用戶在可信網(wǎng)絡(luò)登錄系統(tǒng)下載自己的私鑰，私鑰的使用密碼為自己的登錄系統(tǒng)的密碼，當(dāng)用戶修改密碼后原密鑰作廢，用戶需要重新下載私鑰。另外平臺(tái)可以更新、輪轉(zhuǎn)、作廢、驗(yàn)證密鑰，當(dāng)用戶注銷后，系統(tǒng)自動(dòng)作廢證書。

3 預(yù)期應(yīng)用效果展望

現(xiàn)有運(yùn)行的VPN設(shè)備，是來(lái)自互聯(lián)網(wǎng)對(duì)企業(yè)內(nèi)網(wǎng)及信息系統(tǒng)網(wǎng)絡(luò)安全最大的威脅源和風(fēng)險(xiǎn)點(diǎn)，項(xiàng)目研究成果投入使用后，可大幅降低來(lái)自外網(wǎng)的網(wǎng)絡(luò)攻擊，將外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的風(fēng)險(xiǎn)降至最低。將消除現(xiàn)有VPN存在的缺陷，解決現(xiàn)有VPN資產(chǎn)暴露、0day漏洞頻發(fā)、內(nèi)網(wǎng)資產(chǎn)暴露等問(wèn)題，阻斷DDoS、服務(wù)器查詢、高級(jí)持續(xù)性威脅（APT）、中間人攻擊等各類網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等帶來(lái)的經(jīng)濟(jì)損失，大幅提升內(nèi)網(wǎng)網(wǎng)絡(luò)及信息系統(tǒng)安全，保障企業(yè)關(guān)鍵核心基礎(chǔ)設(shè)施安全。

同時(shí)可保障特殊時(shí)期不斷網(wǎng)，通過(guò)外網(wǎng)訪問(wèn)內(nèi)網(wǎng)業(yè)務(wù)正常運(yùn)行7×24小時(shí)不中斷，避免了因應(yīng)對(duì)斷網(wǎng)帶來(lái)的臨時(shí)增加大量人力資源成本和時(shí)間成本，提升企業(yè)管理水平和管理效率，維護(hù)企業(yè)良好形象。

4 結(jié)束語(yǔ)

零信任SDP是新一代的安全架構(gòu)，解決了TCP/IP漏洞問(wèn)題，通過(guò)先認(rèn)證，后連接和基于SDN的系統(tǒng)架構(gòu)實(shí)現(xiàn)了控制器和網(wǎng)關(guān)及后端應(yīng)用資源的網(wǎng)絡(luò)隱身功能，可以抵御各類網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。本文設(shè)計(jì)了一種適用網(wǎng)絡(luò)接入的零信任SDP用戶安全訪問(wèn)控制系統(tǒng)，該系統(tǒng)可針對(duì)內(nèi)網(wǎng)安全接入訪問(wèn)、合作伙伴、供應(yīng)商遠(yuǎn)程安全訪問(wèn)等場(chǎng)景起到良好的安全防護(hù)效果。

需要指出的是，雖然SDP架構(gòu)比較完善可以較好實(shí)現(xiàn)網(wǎng)絡(luò)隱身功能，但攻擊者仍然可以通過(guò)客戶端進(jìn)行抓包，探測(cè)控制器IP地址，然后可以通過(guò)拒絕服務(wù)攻擊方式來(lái)誘使控制器無(wú)法提供服務(wù)，進(jìn)而造成服務(wù)不可用，因此需要充分考慮控制器的防止DDOS攻擊能力。未來(lái)可以在此次研究基礎(chǔ)上不斷完善和擴(kuò)展應(yīng)用場(chǎng)景，在物聯(lián)網(wǎng)安全接入、APP安全接入、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域進(jìn)行應(yīng)用與推廣?！?/p>