李國睿

關(guān)鍵詞：零信任；網(wǎng)絡(luò)安全；應(yīng)用安全

1什么是零信任？

零信任（Zero Trust），從名稱上就可以看出，零信任就是什么都不信任，實際上不是一個新鮮的概念，也不是一種具體的產(chǎn)品形態(tài)，而是一種實施網(wǎng)絡(luò)安全的指導(dǎo)思想，來幫助組織更好地進(jìn)行網(wǎng)絡(luò)安全的保護(hù)。早在2010年，零信任一詞就被正式地提出來，后來Google發(fā)表了Beyond Corp論文并將其進(jìn)行了產(chǎn)品化。在Google之后，包括Gartner，F(xiàn)orrester等咨詢廠商也開始提及零信任的概念，零信任網(wǎng)絡(luò)的建設(shè)以及零信任網(wǎng)絡(luò)安全理念的實施逐漸深入人心。零信任的定義如下。

（1）網(wǎng)絡(luò)自始至終存在外部或內(nèi)部的威脅。

（2）網(wǎng)絡(luò)訪問者位置不確定，網(wǎng)絡(luò)的可信程度要求高。

（3）網(wǎng)絡(luò)接入網(wǎng)絡(luò)終端必須經(jīng)過充分的（AAA）認(rèn)證。

（4）網(wǎng)絡(luò)訪問的安全策略可以根據(jù)訪問者身份角色自定義。

統(tǒng)一身份認(rèn)證系統(tǒng)、網(wǎng)絡(luò)接人認(rèn)證系統(tǒng)、傳統(tǒng)VPN等都可以劃分在零信任整個框架內(nèi)，那么對于校園網(wǎng)來說，落地零信任大致分為以下4個步驟。（1）身份管理與訪問控制，高校的身份治理一直是很重要的話題，只有定義好人和資源的信任關(guān)系，才能夠?qū)α阈湃伟踩L問建立堅實的基礎(chǔ)。（2）軟件定義邊界，此時可以逐步對網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行更加精細(xì)的管理，利用反向代理、可信網(wǎng)關(guān)等產(chǎn)品，將部分業(yè)務(wù)的邏輯邊界軟件化，從而能夠靈活地調(diào)整策略以及信任關(guān)系。（3）動態(tài)細(xì)粒度的授權(quán)，更加精準(zhǔn)的屬性定義、策略定義，配合動態(tài)決策引擎、風(fēng)險評估引擎，以完成按時按需授權(quán)、符合最小授權(quán)的安全原則。（4）最終的狀態(tài)，即對整個網(wǎng)絡(luò)進(jìn)行改造，包括路由策略的修改、IP網(wǎng)段樹立等，根據(jù)用戶的身份、信任授權(quán)等，精細(xì)化地控制用戶的網(wǎng)絡(luò)訪問權(quán)限，以達(dá)到徹底的零信任狀態(tài)。

2高校零信任基本需求

上海外國語大學(xué)賢達(dá)經(jīng)濟(jì)人文學(xué)院系教育部于2004年批準(zhǔn)設(shè)立的上海首批全日制本科獨立學(xué)院，2021年獲得碩士學(xué)位授予單位。學(xué)?，F(xiàn)有虹口、崇明2個校區(qū)，學(xué)校依托上海外國語大學(xué)雄厚的師資力量以及外語教學(xué)與科研等方面的優(yōu)勢，構(gòu)建了以語言、商科類學(xué)科為核心，藝術(shù)學(xué)、教育學(xué)及法學(xué)等其他學(xué)科協(xié)調(diào)發(fā)展的學(xué)科專業(yè)體系，現(xiàn)有6大學(xué)科門類23個本科專業(yè)，全日制本科在校生近9000人。

對于校園網(wǎng)來說，傳統(tǒng)網(wǎng)絡(luò)基本上存在物理邊界，校內(nèi)自建數(shù)據(jù)中心，校內(nèi)用戶通過校園網(wǎng)訪問各業(yè)務(wù)系統(tǒng)。而隨著云計算、移動互聯(lián)網(wǎng)等新興IT技術(shù)的發(fā)展，校園網(wǎng)邊界已經(jīng)趨于模糊，如云教務(wù)、智慧圖書館、電子資源以及一些SaaS服務(wù)，往往不會部署在物理校園網(wǎng)中，從而導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)的物理邊界趨于模糊。從用戶的角度來看，傳統(tǒng)校園網(wǎng)的物理邊界可以使用VPN跨越后訪問，但是當(dāng)前用戶的訪問形態(tài)多種多樣，如由于疫情防控，居家研學(xué)時間的延長，以及利用移動門戶進(jìn)行辦公等，都對傳統(tǒng)網(wǎng)絡(luò)的連接方法提出了更多的要求。因此，在這種趨勢下，踐行一些零信任的理念就更加必要。

本校（上海外國語大學(xué)賢達(dá)經(jīng)濟(jì)人文學(xué)院）經(jīng)過多年的信息化建設(shè)，具備大量基于Web訪問的業(yè)務(wù)系統(tǒng)，包括教務(wù)系統(tǒng)、財務(wù)系統(tǒng)、資產(chǎn)管理系統(tǒng)等。由于移動辦公及疫情防控時教學(xué)的需要，迫切需要一套融合身份治理、訪問控制、軟件定義邊界的一個整體化的零信任解決方案。

3零信任方案選型

經(jīng)過多方方案比較，我校選擇了“WebVPN+反向代理（基于Nginx）”組合零信任方案。WebVPN解決校外訪問校內(nèi)的資源訪問問題，反代（基于Nginx）解決校內(nèi)資源發(fā)布問題。兩套系統(tǒng)對接校園統(tǒng)一身份認(rèn)證系統(tǒng)，實現(xiàn)校內(nèi)校外單點登錄，以及實現(xiàn)基于身份的各種訪問權(quán)限控制。

3.1WebVPN簡介

用戶在外網(wǎng)訪問內(nèi)網(wǎng)各類資源時，使用傳統(tǒng)VPN需要根據(jù)不同的用戶終端和不同的操作系統(tǒng)下載安裝不同的客戶端或插件，且VPN配置復(fù)雜煩瑣，極易出錯，并增加了用戶在外網(wǎng)訪問內(nèi)網(wǎng)資源的成本，給用戶帶來極大的不便。用戶在使用傳統(tǒng)VPN訪問內(nèi)網(wǎng)資源時，訪問流量是通過隧道從學(xué)?；蚱髽I(yè)的出口出去的，而由于傳統(tǒng)VPN的配置，用戶如果登錄VPN后再訪問諸如百度、新浪等外網(wǎng)資源時，這些訪問流量也會從單位出口出去，因此，用戶就擁有了一層學(xué)校或企業(yè)的用戶身份，一旦有用戶在網(wǎng)上進(jìn)行惡意活動，就會給學(xué)?；蚱髽I(yè)帶來麻煩和安全隱患。

WebVPN是一款基于瀏覽器的遠(yuǎn)程訪問控制系統(tǒng)，它區(qū)別于其他傳統(tǒng)的VPN，無須安裝任何瀏覽器插件或客戶端，即可實現(xiàn)內(nèi)部系統(tǒng)資源的外網(wǎng)遠(yuǎn)程訪問。WebVPN支持通過系統(tǒng)訪問HTTP，HTTPS，WebSocket， RTMP， HLS， RDP， VNC， Telnet， SSH等協(xié)議的資源，無須在系統(tǒng)中通過域名或別名對資源進(jìn)行預(yù)先定義或適配。用戶可以通過WebVPN中導(dǎo)航塊直接訪問資源，支持通過WebVPN中的地址欄自定義其訪問目標(biāo)，支持用戶通過IPv4或IPv6利用本系統(tǒng)訪問IPv4和IPv6資源。

用戶使用WebVPN系統(tǒng)工作節(jié)點服務(wù)器代理訪問公共資源或內(nèi)部資源，在代理服務(wù)器上開啟認(rèn)證訪問策略，用戶需經(jīng)過認(rèn)證才能訪問內(nèi)部資源。

3.2Nginx反向代理簡介

Nginx作為Web服務(wù)器核心功能就是反向代理，用于管理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。反向代理系統(tǒng)的核心功能有：Web類資源的統(tǒng)一發(fā)布與管理，實現(xiàn)IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)過渡方案，HTTPS代理訪問。用戶只需在內(nèi)網(wǎng)中部署Nginx服務(wù)器（代理服務(wù)器），代理服務(wù)器上各線路網(wǎng)卡設(shè)置公網(wǎng)IP，內(nèi)網(wǎng)網(wǎng)卡設(shè)置內(nèi)網(wǎng)IP，所需發(fā)布的Web資源均設(shè)置內(nèi)網(wǎng)IP與Nginx服務(wù)器通信即可，支持HTTP，HTTPS，WebSocket， RDP， VNC， Telnet， SSH， RTMP， HLS等協(xié)議，有效節(jié)省公網(wǎng)IP，實現(xiàn)對Web資源的統(tǒng)一發(fā)布和管理。針對HTTPS類型資源系統(tǒng)提供證書管理功能，支持系統(tǒng)內(nèi)自建證書，并支持合并多條證書鏈生成完整證書。同時，系統(tǒng)可基于會話和負(fù)載均衡調(diào)度資源服務(wù)器，以提升用戶訪問體驗[1-2]。

使用反向代理技術(shù)可以支持IPv4與IPv6資源的相互轉(zhuǎn)換，將IPv4/IPv6資源轉(zhuǎn)為IPv6/IPv4為用戶提供服務(wù)。使用反向代理軟件是老業(yè)務(wù)系統(tǒng)支持IPv6訪問的最簡單方案。用戶通過IPv6地址發(fā)出訪問請求，直接通過Nginx反向代理軟件轉(zhuǎn)發(fā)給指定的不支持IPv6地址的服務(wù)器，網(wǎng)站對Nginx發(fā)過來的HTTP請求做出回應(yīng)，回應(yīng)數(shù)據(jù)到達(dá)Nginx代理服務(wù)器后，經(jīng)過Nginx軟件轉(zhuǎn)換并進(jìn)行IPv6請求回復(fù)。其實現(xiàn)了代理功能，同時滿足IPv6網(wǎng)絡(luò)用戶訪問IPv4業(yè)務(wù)系統(tǒng)的需求，實現(xiàn)了二者的無感鏈接。如圖1所示。

3.3組合方案的特點

“WebVPN+反向代理”（基于Nginx）組合方案不同于傳統(tǒng)的VPN和Nginx方案，基于零信任的理念擴展成為6A，提供了更多的功能以及業(yè)務(wù)。從Account（賬號即主體）、Application（應(yīng)用即客體）、Authentication（認(rèn)證）、Authorization（授權(quán)）、Access Control（訪問控制）、Auditing（審計）六個方面來提供零信任安全防護(hù)措施。從維度上，通過一快一慢的方式組合完成業(yè)務(wù)的安全保障?？斓姆矫媸强爝B接、快判斷，在存在惡意風(fēng)險時快速做出處理，通過SSL加密，協(xié)議隔離、可信令牌授權(quán)、隱藏業(yè)務(wù)拓?fù)湟约盎诮巧木W(wǎng)絡(luò)路由來保障數(shù)據(jù)傳輸?shù)陌踩?，并通過對用戶的身份統(tǒng)一管理、設(shè)置細(xì)粒度的訪問控制、對數(shù)據(jù)進(jìn)行可靠備份、多因素認(rèn)證等方式來保障用戶的安全性。慢的方面是慢審計、深審計，事后對安全事件進(jìn)行更加細(xì)致的審計分析可以對潛在的風(fēng)險進(jìn)行排查和清零，通過全量的訪問日志、完整的操作錄屏、傳輸文件，以及密碼合規(guī)性進(jìn)行審計，以找出對安全事件進(jìn)行精細(xì)溯源，并通過對日志數(shù)據(jù)的風(fēng)險賬號分析、登錄行為分析、惡意訪問分析、訪問終端分析，可以對潛在的風(fēng)險進(jìn)行排查以及清零[3]。

4“WebVPN+反代”（基于Nginx）組合方案的優(yōu)勢

通過部署實施“WebVPN+反代”（基于Nginx）組合零信任安全方案，不僅可以做到安全方面的保障，在易用性方面也會大幅提升用戶的使用感受，其在部署后，和原有用戶的操作邏輯完全一致，不會增加額外的復(fù)雜操作，從而使用戶可以無感知地進(jìn)行安全訪問。對管理員來說，所有用戶流量都可以進(jìn)行信任評估。該方案不僅支持PC端對接統(tǒng)一身份認(rèn)證系統(tǒng)的無感知訪問，還支持既有統(tǒng)一身份認(rèn)證，同時在使用企業(yè)微信等移動門戶的無感知訪問時，可以直接在企業(yè)微信的工作臺上，點擊具體業(yè)務(wù)系統(tǒng)，便可以直接進(jìn)入業(yè)務(wù)系統(tǒng)，同時整個業(yè)務(wù)數(shù)據(jù)的流通都需要經(jīng)過安全系統(tǒng)進(jìn)行信任評估，以及應(yīng)用授權(quán)后，才會對用戶的訪問進(jìn)行放行。對于用戶來說，在訪問某個業(yè)務(wù)系統(tǒng)時，系統(tǒng)進(jìn)行零信任的評估，若沒有進(jìn)行認(rèn)證授權(quán)，則會通過資源訪問控制系統(tǒng)發(fā)起單點認(rèn)證，單點認(rèn)證由統(tǒng)一身份認(rèn)證系統(tǒng)處理賬號和三方系統(tǒng)（如企業(yè)微信）數(shù)據(jù)互通后，由三方系統(tǒng)進(jìn)行用戶身份認(rèn)證，認(rèn)證完成后，通過資源訪問控制系統(tǒng)來放行該用戶資源的可信訪問。同時，因為該用戶是通過統(tǒng)～身份認(rèn)證的，在訪問業(yè)務(wù)系統(tǒng)時，可以做到一次認(rèn)證并能夠進(jìn)行持續(xù)訪問，由此表明用戶的實際訪問效果和原有方式是一致的，實現(xiàn)了用戶無感知訪問效果。

5結(jié)束語

通過部署實施“WebVPN+反代”（基于Nginx）組合零信任安全方案，既解決了本校師生訪問校內(nèi)資源的權(quán)限便捷安全問題，又解決了本校資源互聯(lián)網(wǎng)發(fā)布控制問題，同時解決了校內(nèi)資源IPV6發(fā)布、HTTPS等基礎(chǔ)問題，該組合方案對于高校Web資源的發(fā)布、管理、訪問、安全都能基本兼顧，具有一定的實際意義。