[程曉海 嚴(yán)曉華 黎彥玲]
隨著業(yè)務(wù)系統(tǒng)的集約化建設(shè)、云化部署,業(yè)務(wù)應(yīng)用的數(shù)字化、移動化,大量企業(yè)開始開放遠(yuǎn)程辦公,尤其是近年來全球受新冠疫情疫情影響,居家、隔離等防疫措施,迫使大規(guī)模/全員遠(yuǎn)程辦公成為新常態(tài)。在網(wǎng)絡(luò)安全形勢日益嚴(yán)峻的大環(huán)境下,遠(yuǎn)程辦公帶來的安全風(fēng)險也逐漸升級,因此,如何安全、便捷地支撐企業(yè)遠(yuǎn)程辦公,成為當(dāng)前亟待重點解決的問題。
隨著信息化建設(shè)不斷深入,企業(yè)的業(yè)務(wù)更加開放,訪問用戶更加多元化;集團型企業(yè)對業(yè)務(wù)系統(tǒng)采取集約化建設(shè),訪問呈現(xiàn)多分支;云技術(shù)發(fā)展,使業(yè)務(wù)部署更分散;移動化,近50%的業(yè)務(wù)通過移動化方式發(fā)布。技術(shù)、應(yīng)用的演進,尤其是全球新冠疫情爆發(fā)后,遠(yuǎn)程辦公模式迅猛發(fā)展。據(jù)DCMS 稱,將近32%的英國企業(yè)正在使用VPN 來方便遠(yuǎn)程訪問。
隨著業(yè)務(wù)縱深發(fā)展,企業(yè)辦公網(wǎng)絡(luò)所處的環(huán)境也越來越復(fù)雜。端類型,從內(nèi)網(wǎng)PC 為主,演變?yōu)樵谱烂?、筆記本、手機端等移動終端;業(yè)務(wù)訪問角色,從內(nèi)部員工為主,演變?yōu)閮?nèi)外多重角色;業(yè)務(wù)系統(tǒng)類型,從C/S 業(yè)務(wù)為主,演變?yōu)锽/S、APP、H5 等多形式業(yè)務(wù)占絕對主導(dǎo)地位。
2.2.1 業(yè)務(wù)暴露面大,被攻擊風(fēng)險高
隨著企業(yè)網(wǎng)絡(luò)的物理安全邊界越來越模糊,訪問需求的復(fù)雜性越來越高,企業(yè)內(nèi)部資源的暴露面呈現(xiàn)不斷擴大趨勢,這非常容易因業(yè)務(wù)系統(tǒng)本身的脆弱性(如漏洞、弱密碼等),遭受黑客攻擊。
2.2.2 接入終端缺乏管理,安全不可控
遠(yuǎn)程辦公場景下,存在大量公網(wǎng)終端,因無法加入域控環(huán)境,企業(yè)難以集中管理,安全狀況良莠不齊。當(dāng)終端同時訪問內(nèi)網(wǎng)與互聯(lián)網(wǎng)時,容易作為跳板對業(yè)務(wù)造成威脅。
2.2.3 多重認(rèn)證,安全性弱、用戶體驗差
由于缺乏有效的管理和技術(shù)手段,賬號密碼被冒用、泄露風(fēng)險高,爆破成本低,容易造成業(yè)務(wù)被入侵。
傳統(tǒng)遠(yuǎn)程接入與業(yè)務(wù)系統(tǒng)認(rèn)證相互獨立、割裂,用戶需多次認(rèn)證才能使用業(yè)務(wù),用戶認(rèn)證體驗差。
2.2.4 數(shù)據(jù)易泄露,后果嚴(yán)重
企業(yè)信息化和大數(shù)據(jù)的快速發(fā)展,越來越多重要核心數(shù)據(jù)在業(yè)務(wù)系統(tǒng)集中存放,因此成為攻擊目標(biāo)。在遠(yuǎn)程辦公場景下,這些數(shù)據(jù)更容易被攻破、泄露,給企業(yè)或社會造成損失。
2.2.5 安全監(jiān)管要求越來越高
隨著安全形勢日趨嚴(yán)峻,國家和行業(yè)管理部門對企業(yè)安全的監(jiān)管力度逐步加強,如公安部每年的攻防演練、工信部的安全漏洞掃描,推動企業(yè)主動做好防護和加固。
傳統(tǒng)企業(yè)網(wǎng)絡(luò)在構(gòu)建安全體系時,主要是基于邊界安全的理念,即:在企業(yè)網(wǎng)絡(luò)的邊界部署IPS、防火墻、WAF、等安全設(shè)備,用來防范來自企業(yè)網(wǎng)絡(luò)邊界之外的攻擊。近年來,隨著移動化、上云和軟件即服務(wù)(SaaS)三大趨勢,尤其疫情爆發(fā)后,遠(yuǎn)程辦公規(guī)?;⒊B(tài)化,傳統(tǒng)網(wǎng)絡(luò)邊界模型已無法滿足當(dāng)前新要求,零信任安全策略逐漸被采納。
零信任既不是技術(shù)也不是產(chǎn)品,而是一種安全理念。零信任理念強調(diào):“Never Trust、Always Verify”。根據(jù)NIST《零信任架構(gòu)標(biāo)準(zhǔn)》[1]中的定義:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的前提下,當(dāng)執(zhí)行信息系統(tǒng)和服務(wù)中的每次訪問請求時,降低其決策準(zhǔn)確度的不確定性。
軟件定義邊界SDP 是實踐零信任安全理念的技術(shù)架構(gòu)與方案。企業(yè)可以通過部署SDP 產(chǎn)品或者解決方案來實現(xiàn)零信任安全理念中的原則。SDP 的網(wǎng)絡(luò)隱身技術(shù)可以很好實現(xiàn)Never Trust 原則。與傳統(tǒng)TCP/IP 網(wǎng)絡(luò)默認(rèn)允許連接不同,在沒有經(jīng)過身份驗證和授權(quán)之前,服務(wù)器對于終端用戶是完全不可見的,從By Default Trust 變成Never Trust。SDP 是一種快速高效的零信任安全實踐技術(shù)架構(gòu)。[2]
SPA 單包授權(quán)是SDP(軟件定義邊界)的核心功能,在允許訪問控制器、網(wǎng)關(guān)等相關(guān)系統(tǒng)組件所在的網(wǎng)絡(luò)之前先檢查設(shè)備或用戶身份,實現(xiàn)零信任“先認(rèn)證再連接”的安全模型。SPA 單包授權(quán)的目的是允許服務(wù)被防火墻隱藏起來,防火墻默認(rèn)丟棄所有未經(jīng)驗證的TCP 和UDP 數(shù)據(jù)包,不響應(yīng)那些連接請求,不為潛在的攻擊者提供任何關(guān)于該端口是否正被監(jiān)聽的信息,進而實現(xiàn)“網(wǎng)絡(luò)隱身”。在認(rèn)證和授權(quán)后,用戶被允許訪問該服務(wù)。[2]
基于零信任安全理念,組合網(wǎng)絡(luò)安全、終端安全、數(shù)據(jù)安全、身份識別等多種技術(shù),構(gòu)建新型零信任安全架構(gòu)。即:將設(shè)備信任和用戶信任作為架構(gòu)的基礎(chǔ),通過對訪問過程的持續(xù)評估,確認(rèn)訪問行為的可信度,并對訪問行為進行自適應(yīng)的訪問控制。該架構(gòu)用于取代逐漸不適應(yīng)當(dāng)前安全要求的傳統(tǒng)安全架構(gòu)。
本設(shè)計方案以零信任為原則,重點解決遠(yuǎn)程辦公的“三項安全痛點”:訪問控制安全、鏈路安全和終端安全。將企業(yè)網(wǎng)絡(luò)內(nèi)部和外部的任何設(shè)備、訪問者、和業(yè)務(wù)系統(tǒng)均視為不信任,體系化的設(shè)計新型的訪問控制,構(gòu)建新的信任基礎(chǔ)。[3]
首先對現(xiàn)網(wǎng)業(yè)務(wù)系統(tǒng)進行綜合評估,根據(jù)業(yè)務(wù)模型和場景,確定方案的主要功能需求;根據(jù)交互量和并發(fā)數(shù)確定建設(shè)規(guī)模和能力。本文的場景確定為:企業(yè)有一個總部(構(gòu)建私有云服務(wù))和一個物理上分開的分支機構(gòu),并擁有企業(yè)自己的內(nèi)網(wǎng)。主要功能確定為:網(wǎng)絡(luò)隱身、最小授權(quán)和高效訪問共三項,系統(tǒng)性能滿足4000 用戶并發(fā)的需求。企業(yè)實際運用中,具體設(shè)備選型可結(jié)合解決方案廠家的產(chǎn)品實際,選擇具有集群功能、可平滑升級迭代的產(chǎn)品,并考慮架構(gòu)能夠適配安全技術(shù)與措施不斷演進發(fā)展。
4.2.1 方案架構(gòu)設(shè)計
方案整體架構(gòu)基于零信任理念的SDP 架構(gòu)實現(xiàn)(如圖1 所示),核心零信任產(chǎn)品組件由控制中心、代理網(wǎng)關(guān)、客戶端、分析中心四大部分組成。[4]
圖1 架構(gòu)設(shè)計圖
控制中心:它是調(diào)度與管理的中心,負(fù)責(zé)認(rèn)證、授權(quán)、策略下發(fā)與管理。通過給網(wǎng)關(guān)發(fā)送控制指命,控制建立連接和切斷用戶與應(yīng)用之間的通信連接。[3]
代理網(wǎng)關(guān):它位于客戶端和應(yīng)用資源之間,負(fù)責(zé)建立、監(jiān)視終端用戶與應(yīng)用資源間的連接,并負(fù)責(zé)在必要時切斷這種連接。上述功能的實現(xiàn),是通過它與控制中心之間的信息通信,接收控制中心所發(fā)出的指令和策略來實現(xiàn)的[3][4]。
客戶端:系統(tǒng)在客戶端應(yīng)具備在PC 和移動端兩類,并且移動端APP 和PC 客戶端均可支持SSL 隧道的訪問。開啟SPA 服務(wù)隱身后,只有授權(quán)過的客戶端才能連接控制中心和代理網(wǎng)關(guān),才能進行認(rèn)證、授權(quán)、和代理訪問。[5]
分析中心:負(fù)責(zé)日志采集、存儲及分析。日志接收存儲引擎和安全分析引擎,通過分析,識別系統(tǒng)安全風(fēng)險,以風(fēng)險告警形式提示管理員,支持可視化處理。
4.2.2 部署方案設(shè)計
購置2 臺零信任網(wǎng)關(guān),分別部署在企業(yè)所屬網(wǎng)絡(luò)的出口節(jié)點和私有云節(jié)點,實現(xiàn)內(nèi)外部網(wǎng)絡(luò)隔離,并實現(xiàn)對所有訪問請求的記錄,如:訪問資源的URL 路徑、源IP 地址和目標(biāo)IP 地址,同時還可以實現(xiàn)對日志審計的支持。[5]
購置1 臺零信任控制中心,部署在零信任網(wǎng)關(guān)前,實現(xiàn)對系統(tǒng)的管理、控制和日常維護。如圖2 所示。
圖2 部署方案設(shè)計示意圖
主要功能效果:
(1)網(wǎng)絡(luò)和業(yè)務(wù)隱身:SPA 單包授權(quán)技術(shù)與應(yīng)用訪問代理配合,實現(xiàn)網(wǎng)關(guān)自身和應(yīng)用資源的雙重隱藏,讓企業(yè)“網(wǎng)絡(luò)隱身”。
(2)可信終端管理:①終端身份認(rèn)證,用戶和設(shè)備雙重認(rèn)證;② 可信環(huán)境感知,終端安全基線檢測;③動態(tài)授權(quán)控制,終端威脅異常,禁止訪問。
(3)統(tǒng)一入口,集中導(dǎo)航,高效訪問。支持
靜態(tài)密碼、動態(tài)口令、生物識別等多維身份認(rèn)證方式,實現(xiàn)單點登錄,提升用戶認(rèn)證的安全性和體驗性。
表1 性能指標(biāo)需求表
4.3.1 網(wǎng)關(guān)和業(yè)務(wù)隱身功能
支持基于SPA 單包授權(quán)技術(shù)的隱身功能,服務(wù)器僅允許授權(quán)用戶使用可信客戶端訪問被保護業(yè)務(wù),否則,不可見,也不能連接(如圖3 所示)。避免攻擊者對服務(wù)器進行漏洞掃描、爆破等惡意攻擊。
圖3 網(wǎng)絡(luò)/業(yè)務(wù)隱身示意圖
用戶通過在安全的網(wǎng)絡(luò)環(huán)境登錄獲取TOTP 種子,或者通過管理員分發(fā)“SPA企業(yè)專屬客戶端”獲取TOTP種子。當(dāng)用戶需在不安全網(wǎng)絡(luò)環(huán)境登錄系統(tǒng)時,就可以通過種子計算出動態(tài)令牌加入https請求中,服務(wù)器校驗令牌合法性,如不合法,就不響應(yīng)該請求。
網(wǎng)關(guān)隱身:采用控制面和業(yè)務(wù)面分離,先驗證才連接。默認(rèn)不開放任何TCP 端口,SPA 敲門驗證通過后,才開放端口,實現(xiàn)網(wǎng)絡(luò)隱身。
應(yīng)用隱身:只允許驗證通過的設(shè)備和用戶連接,否則應(yīng)用不可見,不可連接,實現(xiàn)應(yīng)用隱身。
4.3.2 最小授權(quán)訪問
動態(tài)按需最小授權(quán),基于可信的用戶身份、訪問終端、上下文信息、流量內(nèi)容等多維信息,按照更精細(xì)的顆粒度實施風(fēng)險度量,并根據(jù)度量結(jié)果進行授權(quán),以此達到進行動態(tài)訪問控制的效果,確保只有可信的用戶、終端設(shè)備,才能實現(xiàn)對應(yīng)用的可見、可連接和可訪問[6]。
在用戶和資源之間,綜合身份、設(shè)備、行為等維度的風(fēng)險信息,通過智能分析和動態(tài)訪問控制,進行持續(xù)風(fēng)險和信任等級評估[7],在業(yè)務(wù)系統(tǒng)全場景實現(xiàn)放行、阻斷、自適應(yīng)認(rèn)證、權(quán)限收斂等自適應(yīng)處置。人機綁定,確保用戶和設(shè)備雙重可信,防止賬號竊取/仿冒攻擊。
4.3.3 高效訪問
統(tǒng)一入口:與已有4A 快速對接,一個賬號打通所有應(yīng)用,統(tǒng)一賬號登錄。與4A 實現(xiàn)單點登錄,4A 與應(yīng)用實現(xiàn)單點登錄。登出一鍵注銷,用戶應(yīng)用會話統(tǒng)一管理,無感登出,統(tǒng)一注銷。
集中導(dǎo)航:應(yīng)用集中展示,根據(jù)用戶權(quán)限,自動展現(xiàn)用戶應(yīng)用列表,隱藏?zé)o權(quán)限的應(yīng)用,可與現(xiàn)有門戶快速集成、復(fù)用。
智能自動選路:多數(shù)據(jù)中心場景,控制器告知終端應(yīng)用對應(yīng)網(wǎng)關(guān)地址,實現(xiàn)自動選路;網(wǎng)關(guān)集群場景,負(fù)載均衡自動選路[8,9]。
圖4 高效訪問
4.3.4 數(shù)據(jù)更安全
通過基于SPA 單包授權(quán)技術(shù),實現(xiàn)網(wǎng)關(guān)、業(yè)務(wù)隱身,并通過最小授權(quán)實現(xiàn)終端可信,大大降低了資源的可見性,實現(xiàn)對業(yè)務(wù)和服務(wù)的有效防護,防止被攻擊或成為攻擊目標(biāo)。保障數(shù)據(jù)更安全的存儲、傳輸和使用。
4.3.5 契合安全監(jiān)管要求
基于零信任的遠(yuǎn)程辦公安全解決方案,相較于傳統(tǒng)案,符合當(dāng)前的技術(shù)演進方向,并顯現(xiàn)了更強的安全效果,契合國家和行業(yè)管理部門對企業(yè)安全的監(jiān)管的要求。不僅可以在公安部的攻防演練、工信部的安全漏洞掃描中取得良好效果,更可以在實際應(yīng)用中實現(xiàn)有效的防護。
4.4.1 有效支撐疫情下企業(yè)遠(yuǎn)程辦公
零信任作為備受認(rèn)可的技術(shù)趨勢,其在遠(yuǎn)程辦公場景下的安全防護效果有目共睹。隨著全球疫情爆發(fā)并長期持續(xù),遠(yuǎn)程辦公成為企業(yè)運轉(zhuǎn)的常態(tài),在此背景下,越來越多的政府、企業(yè)在落地應(yīng)用該技術(shù),據(jù)中國信通院調(diào)查顯示,政府機關(guān)、信息技術(shù)服務(wù)業(yè)、金融業(yè)、制造業(yè)作為排頭兵,零信任應(yīng)用占比靠前,總占比達53%。
4.4.2 最小化暴露面,保障業(yè)務(wù)安全
暴露面全面收縮,通過“先認(rèn)證,再接入”將業(yè)務(wù)收縮到內(nèi)網(wǎng),實現(xiàn)客戶端準(zhǔn)入前,端口暴露數(shù)量為0。網(wǎng)絡(luò)、應(yīng)用資源的雙重隱身[10],可以有效阻止攻擊者/黑客對企業(yè)的網(wǎng)絡(luò)、業(yè)務(wù)資源的掃描、探測和攻擊。
4.4.3 身份可信,終端持續(xù)安全
對終端實現(xiàn)集中管控,保證訪問業(yè)務(wù)的終端符合一定的安全基線;通過對終端環(huán)境及用戶行為持續(xù)安全監(jiān)測,通過中斷訪問或進行增強認(rèn)證,有效保障終端安全。通過以身份為基礎(chǔ)的動態(tài)訪問控制和最小授權(quán)原則,構(gòu)建端到端的邏輯邊界,解決了傳統(tǒng)邊界防護內(nèi)網(wǎng)被橫向擊穿隱患。
4.4.4 集中導(dǎo)航,認(rèn)證體驗好
實現(xiàn)零信任與業(yè)務(wù)的單點登錄;結(jié)合動態(tài)訪問控制策略,配置雙因素認(rèn)證方式,滿足等保合規(guī)、安全接入要求。減少密碼被竊取、爆破等安全風(fēng)險,支持用戶內(nèi)外網(wǎng)一致訪問體驗。系統(tǒng)試點應(yīng)用6 個月,用戶滿意度提升5.6 個百分點。
本文主要研究設(shè)計零信任解決方案,解決當(dāng)前疫情下多數(shù)企業(yè)開放遠(yuǎn)程辦公的安全問題。通過部署零信任安全網(wǎng)關(guān)和控制中心,實現(xiàn)網(wǎng)絡(luò)隱身、最小授權(quán)、高效訪問,通過實際網(wǎng)絡(luò)應(yīng)用,方案達到了保障遠(yuǎn)程辦公安全的目標(biāo)。本方案高效、便捷,可適用于中等規(guī)模企業(yè)開放遠(yuǎn)程辦公場景的安全保障需求,具有借鑒和推廣意義。