王茜/WANG Qian，陳晨/CHEN Chen，井俊豐/JING Junfeng，季家震/JI Jiazhen

（奇安信科技集團股份有限公司，中國 北京100032 ）

近年來，企業(yè)業(yè)務系統(tǒng)向云化遷移，信息數據日趨集中化。各種信息化系統(tǒng)趨于集中式建設和分布式服務。新型基礎設施如新型廣域網、移動互聯網、混合云、泛終端、大數據平臺的出現，也讓信息化系統(tǒng)的建設和運維模式發(fā)生變化。同時，網絡安全形勢日趨復雜，網絡攻擊手段更為多樣。數據泄露、勒索軟件、高級可持續(xù)威脅（APT）攻擊等安全事件頻發(fā)。相應地，針對這些安全威脅的實戰(zhàn)化、體系化、常態(tài)化要求也變得越來越高。信息技術（IT）、網絡、安全需要統(tǒng)籌管理。同步規(guī)劃、同步建設、同步運營已成為企業(yè)數字化轉型的必然要求。

但是，中國的企業(yè)信息化網絡依然面臨著防護不全、投入不足、能力不夠、效率不高等問題。尤其是那些具有眾多分支機構的大型企業(yè)，其分支機構分布廣、防護范圍廣、防護點多，且各分支機構的安全防護能力參差不齊，難以實現統(tǒng)一管理和安全防護。另外，全球疫情的蔓延使辦公環(huán)境從局域網延伸到居家辦公（SOHO）場景。各類自帶設備（BYOD）終端已成為企業(yè)辦公環(huán)境的接入邊界。漏洞、后門、僵尸木馬等針對終端設備的安全威脅日益嚴重。黑客更容易入侵各類智能設備，滲透企業(yè)網絡和重要的業(yè)務系統(tǒng)，竊取用戶數據或者企業(yè)經營數據。這將給企業(yè)帶來直接和間接的經濟損失。

基于Gartner 提出的安全訪問服務邊緣（SASE）架構，我們設計了針對大型企業(yè)的一體化安全運營系統(tǒng)Q-SASE，通過“軟件定義安全”“軟件定義網絡”“零信任動態(tài)評估”等技術實現了整體解決方案，并通過在大型企業(yè)的落地實踐，對Q-SASE的一體化安全運營的可行性和有效性進行了驗證。本研究可作為行業(yè)推廣的經驗參考。

1 基于SASE架構的解決方案

1.1 SASE架構的由來

2019年Gartner在《未來的安全在云端》中提出了SASE的概念。Gartner官方對SASE的定義如下：SASE通過將網絡和網絡安全的功能融合為統(tǒng)一服務的模式，為企業(yè)客戶提供一個新的網絡安全架構，如圖1 所示。SASE 能夠使分支機構人員和移動辦公用戶高效、安全地就近接入安全節(jié)點（部署在云端或者數據中心的PoP 點），以訪問互聯網應用、公有云軟件即服務（SaaS）、公司內部應用等。

▲圖1 SASE技術概念圖

根據Gartner的定義，SASE是一種基于實體的身份、實時上下文、企業(yè)安全/合規(guī)策略，以及在整個會話中持續(xù)評估風險/信任的服務。實體的身份可與人員、人員組（分支機構）、設備、應用、服務、物聯網系統(tǒng)或邊緣計算場地相關聯。SASE架構將使安全運營以一致和集成的方式提供一組豐富的安全網絡服務，從而支持企業(yè)數字化轉型和業(yè)務向云計算的遷移，并滿足員工移動辦公的需求。

1.2 Q-SASE解決方案

基于SASE架構和零信任理念，Q-SASE 解決方案采用“軟件定義廣域網絡（SD-WAN）+軟件定義安全+零信任動態(tài)信任”的技術路線，實現了針對大型企業(yè)的分支機構和移動辦公場景下訪問互聯網、公有云、私有云內部應用的整體安全防護。其中，SD-WAN 技術對分支機構的各類訪問流量進行組網編排和引流，軟件定義安全的云安全資源池對多種訪問流量進行安全防護，零信任技術對接入的用戶終端進行身份認證和動態(tài)訪問控制。因此，Q-SASE能夠實現組網和安全功能相融合的整體解決方案。

Q-SASE解決方案包括一套安全運營管理服務平臺，以及為企業(yè)客戶建設的云安全資源池，通過在分支機構部署SD-WAN安全網關，以及移動辦公終端安裝零信任客戶端，將訪問互聯網、內網業(yè)務系統(tǒng)的流量引流到安全資源池進行安全防護和安全威脅檢測分析，并在威脅檢測分析的基礎上，提供“安全運行閉環(huán)管理并持續(xù)監(jiān)測響應為核心”的安全運營，如圖2所示。

▲圖2 Q-SASE的系統(tǒng)組成

1）Q-SASE 的安全運營管理服務平臺。該平臺能夠對整個SASE架構中的系統(tǒng)模塊進行持續(xù)運行監(jiān)測，以保障整個系統(tǒng)的持續(xù)穩(wěn)定運行。此外，該平臺還可對運營人員的權限和工單進行管理，實現對安全告警日志和安全事件的持續(xù)跟蹤與管理，并基于企業(yè)需求針對安全資源池和安全網關中的組網策略和安全策略進行持續(xù)優(yōu)化。

2）Q-SASE 的安全資源池。安全資源池采用虛擬化鏡像的方式來部署不同的安全組件。安全資源池的安全組件按需配置。安全組件的創(chuàng)建、初始化、激活等操作都由安全資源池來支撐系統(tǒng)自動完成。在不同分支機構的SD-WAN 安全網關接入資源池前，安全資源池將支撐系統(tǒng)，使系統(tǒng)按照不同租戶角色申請來部署安裝相應的安全組件。安全訪問服務的云安全資源池采用虛擬化方式部署，可基于接入的分支機構數量和互聯網流量規(guī)模實現彈性擴容。根據不同企業(yè)的需求，安全資源池可部署豐富的安全組件，包括虛擬化防火墻安全組件、上網行為審計安全組件、零信任接入安全組件、虛擬化Web 應用防護（WAF）安全組件、日志審計安全組件、態(tài)勢感知云探針安全組件等。

3）SD-WAN組網及引流。采用SD-WAN技術，安全網關與安全資源池之間可實現快速靈活組網，并支持將分支機構訪問互聯網應用和內網應用的流量引流到安全資源池以進行安全防護和安全運營。安全網關設備支持零配置開局部署，并支持自動注冊及從運營管理平臺獲取初始化網絡配置和安全策略配置，還可通過預配置向導、批量腳本導入、郵件零配置上線（ZTP）、無線網絡ZTP 等多種方式，實現分鐘級零配置上線。安全網關還支持靈活接入能力，可以支持專線接入、互聯網以及4G/5G移動網接入。

4）零信任客戶端接入?；诹阈湃慰蛻舳藢尚旁L問控制臺和可信應用代理的訪問，從身份風險、終端風險、網絡風險、權限和數據風險5個維度，全面構建從終端到應用訪問的端到端安全防護信任評估能力。便捷的運維管理能力和動態(tài)訪問控制機制，可確保在業(yè)務訪問的各個階段都能擁有較好的零信任防護效果。零信任可信客戶端對接入終端的用戶進行身份認證，支持賬號的統(tǒng)一管理與單點登錄，擁有權限管理與多因子認證等安全能力；支持對終端的應用環(huán)境進行實時監(jiān)測，即只有通過終端環(huán)境信任評估的才能接入政企客戶內部網絡，例如是否安裝殺毒軟件、是否升級到最新版本和最新病毒庫；基于終端的身份管理，可以依托企業(yè)的4A（包括認證、賬號、授權、審計）、身份識別與訪問管理（IAM）、Windows 服務器的活動目錄（AD）、輕量目錄訪問協(xié)議（LDAP）、公鑰基礎設施（PKI）等基礎設施，也可以基于企業(yè)自建的身份認證中心和應用訪問會話，對所有訪問請求建立動態(tài)訪問控制策略。

2 Q-SASE的關鍵技術實現

基于SASE 的創(chuàng)新型架構和內生安全框架，Q-SASE 方案采用“軟件定義網絡”“軟件定義安全”和“零信任動態(tài)評估”3種技術，不僅實現了SD-WAN技術的靈活組網和引流，還實現了云安全資源池的按需交付和分布式部署，以及零信任的身份管理和信任評估動態(tài)控制，并基于實時威脅檢測實現了安全風險分析與協(xié)同處置。

2.1 軟件定義網絡技術方案

Q-SASE采用SD-WAN的技術路線，而SD-WAN是基于軟件定義網絡（SDN）的技術體系發(fā)展而來的。Q-SASE 實現了SDN管控平臺與安全網關的協(xié)同工作機制。

SDN采用與傳統(tǒng)網絡截然不同的控制架構，將網絡控制平面和轉發(fā)平面分離，采用集中控制替代原有分布式控制，并通過開放和可編程接口實現軟件定義。SDN技術架構如圖3所示。

▲圖3 軟件定義網絡技術方案

從網絡架構層次上看，SDN典型的網絡架構包括轉發(fā)層（基礎設施層）、控制層和應用層。該新技術會對組網技術產生以下積極的影響：

1）降低設備復雜度。轉發(fā)和控制的分離，使得網絡設備轉發(fā)平面的能力要求趨于簡化和統(tǒng)一，硬件組件趨于通用化而且便于不同廠商設備的互通。這些都有利于降低設備的復雜度和硬件成本。

2）提高網絡利用率。集中的控制平面可以實現海量網絡設備的集中管理，使得網絡運維人員能夠基于完整的網絡全局視圖實施網絡規(guī)劃，優(yōu)化網絡資源，提高網絡利用率，降低運維成本。

3）加速網絡創(chuàng)新。一方面，SDN 通過控制平面可以便捷地為網絡設備制定各種策略，提升網絡靈活性；另一方面，SDN提供開放的北向接口，允許上層應用直接訪問所需的網絡資源和服務，使得網絡可以差異化地滿足上層應用需求，提供更靈活的網絡服務，加速網絡創(chuàng)新。

SD-WAN 是將SDN 技術應用到廣域網場景中的一種實踐方案。這種方案用于連接廣闊地理范圍的企業(yè)網絡、數據中心、互聯網應用及云服務，旨在幫助企業(yè)降低廣域網的開支，提高網絡連接靈活性。SD-WAN 作為SDN 技術體系中的一種可落地的門類，為企業(yè)帶來了低成本、高可用帶寬的組網方式。

2.2 軟件定義安全技術方案

“軟件定義”作為一種理念，可以從網絡領域沿用到安全領域。云安全資源池作為Q-SASE解決方案實現的重要載體，其背后的技術支撐正是軟件定義安全（SDS）。云安全資源池也是軟件定義安全技術的核心應用方向之一。

云安全資源池技術方案的目標在于“隨需而變”，而這正符合軟件定義安全敏捷、高效、開放的特點。云安全資源池需要運行在云計算環(huán)境中，不僅要解決傳統(tǒng)安全能力落地的問題，還要能夠充分發(fā)揮云計算基礎設施的功能與優(yōu)勢，實現快速交付、分布式部署、多云（含信創(chuàng)）環(huán)境支持、服務鏈編排等。

在軟件定義安全的技術實現中，安全管理控制是重中之重。這是因為安全管理控制承擔了所有安全能力的服務抽象、服務編排及調度、策略管理、策略交付等安全核心功能。此外，安全管理控制還需要實現與云平臺的深度集成，基于應用程序編程接口（API）獲取云上租戶資產的關鍵信息，以便安全管理員部署和管理所需的安全資源。

Q-SASE中的云安全資源池，技術方案架構如圖4所示。

▲圖4 軟件定義安全技術方案

此外，云安全資源池南向對安全能力完全開放，可通過定義安全組件的統(tǒng)一接入規(guī)范來支持各類安全能力，包括第三方安全能力的接入；北向通過開放API支持平臺的能力和用戶的業(yè)務系統(tǒng)深度融合；西向通過定義標準的服務鏈編排接口支持各種引流設備，包括傳統(tǒng)的交換機引流和SDN 控制器引流；東向則通過定義標準的云平臺對接技術規(guī)范來統(tǒng)一支持各種私有云、公有云等云平臺的對接，實現云平臺租戶、資產、用戶的同步和管理。

2.3 零信任身份管理及信任評估技術方案

零信任技術方案關注業(yè)務保護面的構建，通過業(yè)務保護面實現對資源的保護。在零信任方案中，應用、服務、接口、數據都可以作為業(yè)務資源。該方案通過構建保護面實現對暴露面的收縮，要求所有業(yè)務默認隱藏，并根據授權結果進行最低程度的開放。所有的業(yè)務訪問請求都應該進行全流量加密和強制授權。業(yè)務安全訪問相關機制需要盡可能工作在應用協(xié)議層。

基于身份而非網絡位置來構建訪問控制體系，首先需要為接入網絡的人和設備賦予數字身份，將身份化的人、設備和應用進行運行時組合構建訪問主體，并為訪問主體設定其所需的最小權限，以進行全面數字化管理。其中，訪問主體由用戶、設備和應用組合而成。系統(tǒng)會在身份管理的基礎上進行持續(xù)信任評估，并通過信任評估模型和算法，實現基于身份的信任評估能力，同時需要對訪問的上下文環(huán)境進行風險判定，對訪問請求進行異常行為識別，并對信任評估結果進行調整。在身份信任的基礎上，系統(tǒng)還需要評估主體信任。主體信任是對身份信任在當前訪問上下文中的動態(tài)調整，和認證強度、風險狀態(tài)和環(huán)境因素等相關。身份信任相對穩(wěn)定，而主體信任和網絡代理一樣，具有短時性特征，是一種動態(tài)信任。

基于主體的信任等級進行動態(tài)訪問控制是零信任技術方案的本質所在。動態(tài)訪問控制采用基于角色授權（RBAC）和基于屬性授權（ABAC）的組合授權模式。這樣便于系統(tǒng)實施靈活的動態(tài)訪問控制?；诎踩€疊加信任等級可實現分級的業(yè)務訪問。同時，當訪問上下文和環(huán)境存在風險時，系統(tǒng)需要對訪問權限進行實時干預，并評估是否需要對訪問主體的信任進行降級。

2.4 安全威脅分析及協(xié)同處置技術方案

在日常的安全運營工作中，真正的威脅往往會被淹沒在大量的未確認安全事件中，如低危的防火墻、IDS和WAF告警等。然而，這些告警的分析確認和處置往往會成為令人頭疼的問題。傳統(tǒng)的安全檢測能力主要依托特征庫匹配的檢測機制。雖然這樣能夠有效地檢測并攔截普通的低級威脅，但也會產生大量的冗余和誤報告警。如果不對安全策略和檢測機制進行優(yōu)化，安全運營人員就無法在發(fā)生威脅的第一時間判斷出哪些威脅會造成嚴重影響，哪些威脅需要優(yōu)先處置。

基于大數據架構設計的流式關聯分析引擎，能夠實時關聯多維度數據，結合云端的威脅情報樣本，可以針對使用不同日志數據（如入侵防御日志、上網行為日志等）檢測內部主機連接攻擊者遠程命令和控制服務器，進而發(fā)現失陷主機的安全威脅，防止由失陷帶來的數據泄密、系統(tǒng)破壞等關鍵風險?；谠瓢踩Y源池的本地威脅情報，配合云端威脅情報分析平臺進行進一步的分析，了解安全威脅的背景信息，以及攻擊者的相關網絡資源和歷史攻擊行為，并進行深入追蹤，通過多數據關聯分析和威脅溯源，實時提供攻擊者上下文信息，提升威脅分析、溯源和協(xié)同處置的效率。

3 Q-SASE的應用實踐

基于中國電子信息產業(yè)集團有限公司（簡稱中國電子）的一體化安全運營需求，結合企業(yè)數字化轉型的業(yè)務發(fā)展目標，我們構建了包括Q-SASE運營管理服務平臺，云安全資源池的安全防護組件、零信任組件，以及SD-WAN 安全網關和零信任客戶端在內的Q-SASE一體化安全運營系統(tǒng)，為中國電子26 家二級企業(yè)的240 家分支機構和超過12 萬員工的公有云、行業(yè)云終端訪問業(yè)務，提供覆蓋云網端的安全防護和安全運營能力。

在中國電子的3 類企業(yè)信息系統(tǒng)訪問場景中，Q-SASE重點實現以下系統(tǒng)建設和安全防護：

1）采用新型SD-WAN技術，建設覆蓋全部二三級企業(yè)的廣域網，并將各分支機構的互聯網訪問流量進行匯聚，統(tǒng)一實現互聯網出口集中管理和安全防護；

2）根據數字中國電子自身業(yè)務發(fā)展和未來業(yè)務系統(tǒng)集中上云的規(guī)劃，在北京、武漢、深圳等云數據中心部署分布式的安全資源池，具備針對統(tǒng)一互聯網出口流量和內部業(yè)務系統(tǒng)訪問流量的安全防護能力和零信任安全訪問能力，對集團總部、所屬二三級企業(yè)以及新建云數據中心之間的網絡通信安全、公有云和行業(yè)云業(yè)務系統(tǒng)安全、辦公訪問安全進行有效保障；

3）依托云安全資源池的安全防護組件和零信任組件的能力，以及態(tài)勢感知的威脅發(fā)現能力，通過專業(yè)的安全運行團隊進行持續(xù)巡檢監(jiān)測、故障發(fā)現、處置保障、策略優(yōu)化等安全運行閉環(huán)，周期性安全評估安全防護系統(tǒng)平臺自身的安全性，提升網絡安全攻防演練期間的統(tǒng)一安全防護效果；

4）結合數字中國電子的實際組織架構現狀，建立全集團統(tǒng)一安全運營服務中心，將原有純建設的防護交付模式，演進為以安全服務保安全效果的服務交付模式，從“集團業(yè)務全應用場景”的角度出發(fā)，全面考慮“集團網絡安全職能落地”“各單位網絡安全職責落地”所需的工作內容，貼合設計、服務保障。

中國電子是以網絡安全和信息化為主業(yè)的國有信息技術（IT）企業(yè)，也是兼具計算機中央處理器（CPU）和操作系統(tǒng)關鍵核心技術的中國企業(yè)。Q-SASE提供的安全防護和安全運營不僅能夠覆蓋公共通信和信息服務業(yè)，計算機、通信和其他電子設備制造業(yè)，還覆蓋專用設備制造業(yè)、商務服務業(yè)、批發(fā)業(yè)等多個國民經濟行業(yè)。在基于Q-SASE方案進行一體化安全運營過程中，系統(tǒng)累計發(fā)布42 期安全周報，下發(fā)110份安全事件通告，累計處理74.3萬條告警（其中有危急告警8.4 萬條、高危告警22.7 萬條）。前10 位的攻擊類型和所占比例分別為：SQL 注入占23.11%，信息泄露占11.82%，代碼執(zhí)行占9.50%，命令執(zhí)行占4.67%，弱口令占4.04%，暴力猜解占4.03%，跨站腳本攻擊占2.59%，網絡掃描占2.39%，配置不當/錯誤占2.29%，非授權訪問占1.34%。Q-SASE通過及時分析監(jiān)測發(fā)現威脅及安全事件，同步開展響應和處置工作，并通過策略編排及時阻斷病毒文件、間諜軟件橫向傳播等風險，形成預警及處置報告。Q-SASE方案在中國電子集團總部南遷、重大活動網絡安全保障、挖礦行為自查自糾、國家級實戰(zhàn)攻防演練等活動中，均取得明顯成效。

4 總結和展望

Q-SASE的整體解決方案，將原有分散在各分支機構的網絡安全設備集中到云安全資源池，以進行統(tǒng)一建設，實現分支機構的互聯網和內網訪問流量的收口和統(tǒng)一的安全防護與安全運營。Q-SASE 的應用實踐表明，Q-SASE 方案可以系統(tǒng)性、工程化地實現安全防護和安全運營能力的集中部署、集中運行和統(tǒng)一運營，使大型企業(yè)的分支機構快速具備網絡安全能力，在疫情常態(tài)化后的困境中，讓靈活、安全的辦公和安全上云的訪問成為可能，為企業(yè)數字化轉型保駕護航。當然，目前的Q-SASE整體方案還處于初級階段，仍需要通過不斷的研究及技術實現，將現有的安全能力以及未來可能增加的安全能力通過編排集成到一起，并且實現安全能力編排化、安全流程自動化、安全運行智能化的升級演進。