［程曉海 嚴(yán)曉華 黎彥玲］

1 引言

隨著業(yè)務(wù)系統(tǒng)的集約化建設(shè)、云化部署，業(yè)務(wù)應(yīng)用的數(shù)字化、移動化，大量企業(yè)開始開放遠(yuǎn)程辦公，尤其是近年來全球受新冠疫情疫情影響，居家、隔離等防疫措施，迫使大規(guī)模/全員遠(yuǎn)程辦公成為新常態(tài)。在網(wǎng)絡(luò)安全形勢日益嚴(yán)峻的大環(huán)境下，遠(yuǎn)程辦公帶來的安全風(fēng)險也逐漸升級，因此，如何安全、便捷地支撐企業(yè)遠(yuǎn)程辦公，成為當(dāng)前亟待重點解決的問題。

2 遠(yuǎn)程辦公主要現(xiàn)狀及痛點

2.1 當(dāng)前現(xiàn)狀分析

隨著信息化建設(shè)不斷深入，企業(yè)的業(yè)務(wù)更加開放，訪問用戶更加多元化；集團型企業(yè)對業(yè)務(wù)系統(tǒng)采取集約化建設(shè)，訪問呈現(xiàn)多分支；云技術(shù)發(fā)展，使業(yè)務(wù)部署更分散；移動化，近50%的業(yè)務(wù)通過移動化方式發(fā)布。技術(shù)、應(yīng)用的演進，尤其是全球新冠疫情爆發(fā)后，遠(yuǎn)程辦公模式迅猛發(fā)展。據(jù)DCMS 稱，將近32%的英國企業(yè)正在使用VPN 來方便遠(yuǎn)程訪問。

隨著業(yè)務(wù)縱深發(fā)展，企業(yè)辦公網(wǎng)絡(luò)所處的環(huán)境也越來越復(fù)雜。端類型，從內(nèi)網(wǎng)PC 為主，演變?yōu)樵谱烂?、筆記本、手機端等移動終端；業(yè)務(wù)訪問角色，從內(nèi)部員工為主，演變?yōu)閮?nèi)外多重角色；業(yè)務(wù)系統(tǒng)類型，從C/S 業(yè)務(wù)為主，演變?yōu)锽/S、APP、H5 等多形式業(yè)務(wù)占絕對主導(dǎo)地位。

2.2 問題與痛點分析

2.2.1 業(yè)務(wù)暴露面大,被攻擊風(fēng)險高

隨著企業(yè)網(wǎng)絡(luò)的物理安全邊界越來越模糊，訪問需求的復(fù)雜性越來越高，企業(yè)內(nèi)部資源的暴露面呈現(xiàn)不斷擴大趨勢，這非常容易因業(yè)務(wù)系統(tǒng)本身的脆弱性（如漏洞、弱密碼等），遭受黑客攻擊。

2.2.2 接入終端缺乏管理，安全不可控

遠(yuǎn)程辦公場景下，存在大量公網(wǎng)終端，因無法加入域控環(huán)境，企業(yè)難以集中管理，安全狀況良莠不齊。當(dāng)終端同時訪問內(nèi)網(wǎng)與互聯(lián)網(wǎng)時，容易作為跳板對業(yè)務(wù)造成威脅。

2.2.3 多重認(rèn)證，安全性弱、用戶體驗差

由于缺乏有效的管理和技術(shù)手段，賬號密碼被冒用、泄露風(fēng)險高，爆破成本低，容易造成業(yè)務(wù)被入侵。

傳統(tǒng)遠(yuǎn)程接入與業(yè)務(wù)系統(tǒng)認(rèn)證相互獨立、割裂，用戶需多次認(rèn)證才能使用業(yè)務(wù)，用戶認(rèn)證體驗差。

2.2.4 數(shù)據(jù)易泄露，后果嚴(yán)重

企業(yè)信息化和大數(shù)據(jù)的快速發(fā)展，越來越多重要核心數(shù)據(jù)在業(yè)務(wù)系統(tǒng)集中存放，因此成為攻擊目標(biāo)。在遠(yuǎn)程辦公場景下，這些數(shù)據(jù)更容易被攻破、泄露，給企業(yè)或社會造成損失。

2.2.5 安全監(jiān)管要求越來越高

隨著安全形勢日趨嚴(yán)峻，國家和行業(yè)管理部門對企業(yè)安全的監(jiān)管力度逐步加強，如公安部每年的攻防演練、工信部的安全漏洞掃描，推動企業(yè)主動做好防護和加固。

3 零信任及其主要技術(shù)

傳統(tǒng)企業(yè)網(wǎng)絡(luò)在構(gòu)建安全體系時，主要是基于邊界安全的理念，即：在企業(yè)網(wǎng)絡(luò)的邊界部署IPS、防火墻、WAF、等安全設(shè)備，用來防范來自企業(yè)網(wǎng)絡(luò)邊界之外的攻擊。近年來，隨著移動化、上云和軟件即服務(wù)（SaaS）三大趨勢，尤其疫情爆發(fā)后，遠(yuǎn)程辦公規(guī)?；⒊B(tài)化，傳統(tǒng)網(wǎng)絡(luò)邊界模型已無法滿足當(dāng)前新要求，零信任安全策略逐漸被采納。

3.1 零信任相關(guān)概念

零信任既不是技術(shù)也不是產(chǎn)品，而是一種安全理念。零信任理念強調(diào)：“Never Trust、Always Verify”。根據(jù)NIST《零信任架構(gòu)標(biāo)準(zhǔn)》[1]中的定義：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的前提下，當(dāng)執(zhí)行信息系統(tǒng)和服務(wù)中的每次訪問請求時，降低其決策準(zhǔn)確度的不確定性。

3.2 軟件定義邊界（SDP）

軟件定義邊界SDP 是實踐零信任安全理念的技術(shù)架構(gòu)與方案。企業(yè)可以通過部署SDP 產(chǎn)品或者解決方案來實現(xiàn)零信任安全理念中的原則。SDP 的網(wǎng)絡(luò)隱身技術(shù)可以很好實現(xiàn)Never Trust 原則。與傳統(tǒng)TCP/IP 網(wǎng)絡(luò)默認(rèn)允許連接不同，在沒有經(jīng)過身份驗證和授權(quán)之前，服務(wù)器對于終端用戶是完全不可見的，從By Default Trust 變成Never Trust。SDP 是一種快速高效的零信任安全實踐技術(shù)架構(gòu)。[2]

3.3 SPA 單包授權(quán)

SPA 單包授權(quán)是SDP（軟件定義邊界）的核心功能，在允許訪問控制器、網(wǎng)關(guān)等相關(guān)系統(tǒng)組件所在的網(wǎng)絡(luò)之前先檢查設(shè)備或用戶身份，實現(xiàn)零信任“先認(rèn)證再連接”的安全模型。SPA 單包授權(quán)的目的是允許服務(wù)被防火墻隱藏起來，防火墻默認(rèn)丟棄所有未經(jīng)驗證的TCP 和UDP 數(shù)據(jù)包，不響應(yīng)那些連接請求，不為潛在的攻擊者提供任何關(guān)于該端口是否正被監(jiān)聽的信息，進而實現(xiàn)“網(wǎng)絡(luò)隱身”。在認(rèn)證和授權(quán)后，用戶被允許訪問該服務(wù)。[2]

4 基于零信任的遠(yuǎn)程辦公安全解決方案

4.1 方案主要目標(biāo)

基于零信任安全理念，組合網(wǎng)絡(luò)安全、終端安全、數(shù)據(jù)安全、身份識別等多種技術(shù)，構(gòu)建新型零信任安全架構(gòu)。即：將設(shè)備信任和用戶信任作為架構(gòu)的基礎(chǔ)，通過對訪問過程的持續(xù)評估，確認(rèn)訪問行為的可信度，并對訪問行為進行自適應(yīng)的訪問控制。該架構(gòu)用于取代逐漸不適應(yīng)當(dāng)前安全要求的傳統(tǒng)安全架構(gòu)。

4.2 典型安全方案設(shè)計

本設(shè)計方案以零信任為原則，重點解決遠(yuǎn)程辦公的“三項安全痛點”：訪問控制安全、鏈路安全和終端安全。將企業(yè)網(wǎng)絡(luò)內(nèi)部和外部的任何設(shè)備、訪問者、和業(yè)務(wù)系統(tǒng)均視為不信任，體系化的設(shè)計新型的訪問控制，構(gòu)建新的信任基礎(chǔ)。[3]

首先對現(xiàn)網(wǎng)業(yè)務(wù)系統(tǒng)進行綜合評估，根據(jù)業(yè)務(wù)模型和場景，確定方案的主要功能需求；根據(jù)交互量和并發(fā)數(shù)確定建設(shè)規(guī)模和能力。本文的場景確定為：企業(yè)有一個總部（構(gòu)建私有云服務(wù)）和一個物理上分開的分支機構(gòu)，并擁有企業(yè)自己的內(nèi)網(wǎng)。主要功能確定為：網(wǎng)絡(luò)隱身、最小授權(quán)和高效訪問共三項，系統(tǒng)性能滿足4000 用戶并發(fā)的需求。企業(yè)實際運用中，具體設(shè)備選型可結(jié)合解決方案廠家的產(chǎn)品實際，選擇具有集群功能、可平滑升級迭代的產(chǎn)品，并考慮架構(gòu)能夠適配安全技術(shù)與措施不斷演進發(fā)展。

4.2.1 方案架構(gòu)設(shè)計

方案整體架構(gòu)基于零信任理念的SDP 架構(gòu)實現(xiàn)（如圖1 所示），核心零信任產(chǎn)品組件由控制中心、代理網(wǎng)關(guān)、客戶端、分析中心四大部分組成。[4]

圖1 架構(gòu)設(shè)計圖

控制中心：它是調(diào)度與管理的中心，負(fù)責(zé)認(rèn)證、授權(quán)、策略下發(fā)與管理。通過給網(wǎng)關(guān)發(fā)送控制指命，控制建立連接和切斷用戶與應(yīng)用之間的通信連接。[3]

代理網(wǎng)關(guān)：它位于客戶端和應(yīng)用資源之間，負(fù)責(zé)建立、監(jiān)視終端用戶與應(yīng)用資源間的連接，并負(fù)責(zé)在必要時切斷這種連接。上述功能的實現(xiàn)，是通過它與控制中心之間的信息通信，接收控制中心所發(fā)出的指令和策略來實現(xiàn)的[3][4]。

客戶端：系統(tǒng)在客戶端應(yīng)具備在PC 和移動端兩類，并且移動端APP 和PC 客戶端均可支持SSL 隧道的訪問。開啟SPA 服務(wù)隱身后，只有授權(quán)過的客戶端才能連接控制中心和代理網(wǎng)關(guān)，才能進行認(rèn)證、授權(quán)、和代理訪問。[5]

分析中心：負(fù)責(zé)日志采集、存儲及分析。日志接收存儲引擎和安全分析引擎，通過分析，識別系統(tǒng)安全風(fēng)險，以風(fēng)險告警形式提示管理員，支持可視化處理。

4.2.2 部署方案設(shè)計

購置2 臺零信任網(wǎng)關(guān)，分別部署在企業(yè)所屬網(wǎng)絡(luò)的出口節(jié)點和私有云節(jié)點，實現(xiàn)內(nèi)外部網(wǎng)絡(luò)隔離，并實現(xiàn)對所有訪問請求的記錄，如：訪問資源的URL 路徑、源IP 地址和目標(biāo)IP 地址，同時還可以實現(xiàn)對日志審計的支持。[5]

購置1 臺零信任控制中心，部署在零信任網(wǎng)關(guān)前，實現(xiàn)對系統(tǒng)的管理、控制和日常維護。如圖2 所示。

圖2 部署方案設(shè)計示意圖

主要功能效果：

（1）網(wǎng)絡(luò)和業(yè)務(wù)隱身：SPA 單包授權(quán)技術(shù)與應(yīng)用訪問代理配合，實現(xiàn)網(wǎng)關(guān)自身和應(yīng)用資源的雙重隱藏，讓企業(yè)“網(wǎng)絡(luò)隱身”。

（2）可信終端管理：①終端身份認(rèn)證，用戶和設(shè)備雙重認(rèn)證；② 可信環(huán)境感知，終端安全基線檢測；③動態(tài)授權(quán)控制，終端威脅異常，禁止訪問。

（3）統(tǒng)一入口，集中導(dǎo)航，高效訪問。支持

靜態(tài)密碼、動態(tài)口令、生物識別等多維身份認(rèn)證方式，實現(xiàn)單點登錄，提升用戶認(rèn)證的安全性和體驗性。

表1 性能指標(biāo)需求表

4.3 主要功能設(shè)計

4.3.1 網(wǎng)關(guān)和業(yè)務(wù)隱身功能

支持基于SPA 單包授權(quán)技術(shù)的隱身功能，服務(wù)器僅允許授權(quán)用戶使用可信客戶端訪問被保護業(yè)務(wù)，否則，不可見，也不能連接（如圖3 所示）。避免攻擊者對服務(wù)器進行漏洞掃描、爆破等惡意攻擊。

圖3 網(wǎng)絡(luò)/業(yè)務(wù)隱身示意圖

用戶通過在安全的網(wǎng)絡(luò)環(huán)境登錄獲取TOTP 種子，或者通過管理員分發(fā)“SPA企業(yè)專屬客戶端”獲取TOTP種子。當(dāng)用戶需在不安全網(wǎng)絡(luò)環(huán)境登錄系統(tǒng)時，就可以通過種子計算出動態(tài)令牌加入https請求中，服務(wù)器校驗令牌合法性，如不合法，就不響應(yīng)該請求。

網(wǎng)關(guān)隱身：采用控制面和業(yè)務(wù)面分離，先驗證才連接。默認(rèn)不開放任何TCP 端口，SPA 敲門驗證通過后，才開放端口，實現(xiàn)網(wǎng)絡(luò)隱身。

應(yīng)用隱身：只允許驗證通過的設(shè)備和用戶連接，否則應(yīng)用不可見，不可連接，實現(xiàn)應(yīng)用隱身。

4.3.2 最小授權(quán)訪問

動態(tài)按需最小授權(quán)，基于可信的用戶身份、訪問終端、上下文信息、流量內(nèi)容等多維信息，按照更精細(xì)的顆粒度實施風(fēng)險度量，并根據(jù)度量結(jié)果進行授權(quán)，以此達到進行動態(tài)訪問控制的效果，確保只有可信的用戶、終端設(shè)備，才能實現(xiàn)對應(yīng)用的可見、可連接和可訪問[6]。

在用戶和資源之間，綜合身份、設(shè)備、行為等維度的風(fēng)險信息，通過智能分析和動態(tài)訪問控制，進行持續(xù)風(fēng)險和信任等級評估[7]，在業(yè)務(wù)系統(tǒng)全場景實現(xiàn)放行、阻斷、自適應(yīng)認(rèn)證、權(quán)限收斂等自適應(yīng)處置。人機綁定，確保用戶和設(shè)備雙重可信，防止賬號竊取/仿冒攻擊。

4.3.3 高效訪問

統(tǒng)一入口：與已有4A 快速對接，一個賬號打通所有應(yīng)用，統(tǒng)一賬號登錄。與4A 實現(xiàn)單點登錄，4A 與應(yīng)用實現(xiàn)單點登錄。登出一鍵注銷，用戶應(yīng)用會話統(tǒng)一管理，無感登出，統(tǒng)一注銷。

集中導(dǎo)航：應(yīng)用集中展示，根據(jù)用戶權(quán)限，自動展現(xiàn)用戶應(yīng)用列表，隱藏?zé)o權(quán)限的應(yīng)用，可與現(xiàn)有門戶快速集成、復(fù)用。

智能自動選路：多數(shù)據(jù)中心場景，控制器告知終端應(yīng)用對應(yīng)網(wǎng)關(guān)地址，實現(xiàn)自動選路；網(wǎng)關(guān)集群場景，負(fù)載均衡自動選路[8,9]。

圖4 高效訪問

4.3.4 數(shù)據(jù)更安全

通過基于SPA 單包授權(quán)技術(shù)，實現(xiàn)網(wǎng)關(guān)、業(yè)務(wù)隱身，并通過最小授權(quán)實現(xiàn)終端可信，大大降低了資源的可見性，實現(xiàn)對業(yè)務(wù)和服務(wù)的有效防護，防止被攻擊或成為攻擊目標(biāo)。保障數(shù)據(jù)更安全的存儲、傳輸和使用。

4.3.5 契合安全監(jiān)管要求

基于零信任的遠(yuǎn)程辦公安全解決方案，相較于傳統(tǒng)案，符合當(dāng)前的技術(shù)演進方向，并顯現(xiàn)了更強的安全效果，契合國家和行業(yè)管理部門對企業(yè)安全的監(jiān)管的要求。不僅可以在公安部的攻防演練、工信部的安全漏洞掃描中取得良好效果，更可以在實際應(yīng)用中實現(xiàn)有效的防護。

4.4 方案成效

4.4.1 有效支撐疫情下企業(yè)遠(yuǎn)程辦公

零信任作為備受認(rèn)可的技術(shù)趨勢，其在遠(yuǎn)程辦公場景下的安全防護效果有目共睹。隨著全球疫情爆發(fā)并長期持續(xù)，遠(yuǎn)程辦公成為企業(yè)運轉(zhuǎn)的常態(tài)，在此背景下，越來越多的政府、企業(yè)在落地應(yīng)用該技術(shù)，據(jù)中國信通院調(diào)查顯示，政府機關(guān)、信息技術(shù)服務(wù)業(yè)、金融業(yè)、制造業(yè)作為排頭兵，零信任應(yīng)用占比靠前，總占比達53%。

4.4.2 最小化暴露面，保障業(yè)務(wù)安全

暴露面全面收縮，通過“先認(rèn)證，再接入”將業(yè)務(wù)收縮到內(nèi)網(wǎng)，實現(xiàn)客戶端準(zhǔn)入前，端口暴露數(shù)量為0。網(wǎng)絡(luò)、應(yīng)用資源的雙重隱身[10]，可以有效阻止攻擊者/黑客對企業(yè)的網(wǎng)絡(luò)、業(yè)務(wù)資源的掃描、探測和攻擊。

4.4.3 身份可信，終端持續(xù)安全

對終端實現(xiàn)集中管控，保證訪問業(yè)務(wù)的終端符合一定的安全基線；通過對終端環(huán)境及用戶行為持續(xù)安全監(jiān)測，通過中斷訪問或進行增強認(rèn)證，有效保障終端安全。通過以身份為基礎(chǔ)的動態(tài)訪問控制和最小授權(quán)原則，構(gòu)建端到端的邏輯邊界，解決了傳統(tǒng)邊界防護內(nèi)網(wǎng)被橫向擊穿隱患。

4.4.4 集中導(dǎo)航，認(rèn)證體驗好

實現(xiàn)零信任與業(yè)務(wù)的單點登錄；結(jié)合動態(tài)訪問控制策略，配置雙因素認(rèn)證方式，滿足等保合規(guī)、安全接入要求。減少密碼被竊取、爆破等安全風(fēng)險，支持用戶內(nèi)外網(wǎng)一致訪問體驗。系統(tǒng)試點應(yīng)用6 個月，用戶滿意度提升5.6 個百分點。

5 結(jié)論

本文主要研究設(shè)計零信任解決方案，解決當(dāng)前疫情下多數(shù)企業(yè)開放遠(yuǎn)程辦公的安全問題。通過部署零信任安全網(wǎng)關(guān)和控制中心，實現(xiàn)網(wǎng)絡(luò)隱身、最小授權(quán)、高效訪問，通過實際網(wǎng)絡(luò)應(yīng)用，方案達到了保障遠(yuǎn)程辦公安全的目標(biāo)。本方案高效、便捷，可適用于中等規(guī)模企業(yè)開放遠(yuǎn)程辦公場景的安全保障需求，具有借鑒和推廣意義。