崔書方，陳 力，馬 明

（武漢問道信息技術(shù)有限公司 湖北 武漢 430042）

0 引言

目前園區(qū)遠(yuǎn)程辦公呈現(xiàn)全員化、常態(tài)化特點(diǎn)，是企業(yè)與員工的共同需求。 遠(yuǎn)程辦公的前提條件之一是開放遠(yuǎn)程訪問，這大幅度提高了工作效率與時間利用率，但也埋下諸多安全隱患。 零信任理念的出現(xiàn)在解決遠(yuǎn)程辦公安全問題上提供了新思路，本文提供了一種基于零信任架構(gòu)同時配合統(tǒng)一終端管理與軟件定義邊界兩大技術(shù)架構(gòu)的遠(yuǎn)程虛擬專用網(wǎng)絡(luò)（virtual private network，VPN）解決方案，以期為園區(qū)遠(yuǎn)程辦公保駕護(hù)航。

1 遠(yuǎn)程辦公安全需求與零信任網(wǎng)絡(luò)安全架構(gòu)

近幾年，遠(yuǎn)程辦公越來越備受企業(yè)與員工的青睞。 遠(yuǎn)程辦公的典型價值有：第一，員工能夠充分利用碎片化時間；第二，工作可以不受時間與地點(diǎn)的限制；第三，有助于提高生產(chǎn)、經(jīng)營與管理等各環(huán)節(jié)的工作效率；第四，有助于增加經(jīng)營深度和擴(kuò)寬經(jīng)營范圍。 從全球范圍來看，園區(qū)遠(yuǎn)程辦公已趨向全員化、常態(tài)化；從國內(nèi)來看，金融、教育、醫(yī)療、企業(yè)與政府等各行各業(yè)均嘗試開展遠(yuǎn)程辦公。

遠(yuǎn)程辦公是建立在開放遠(yuǎn)程訪問的基礎(chǔ)上，而開放遠(yuǎn)程訪問可能會帶來諸多安全風(fēng)險，如用戶賬號密碼信息被盜用；終端設(shè)備被控制后成為非法攻擊跳板；下載到終端設(shè)備的數(shù)據(jù)泄露；數(shù)據(jù)在傳輸過程中被監(jiān)聽；業(yè)務(wù)開放到互聯(lián)網(wǎng)增加被攻擊的風(fēng)險；缺乏權(quán)限控制導(dǎo)致被越權(quán)訪問等。 因此，要實(shí)現(xiàn)安全遠(yuǎn)程辦公的目標(biāo)，需要建立全流程的動態(tài)安全保障。 第一步，要確保終端設(shè)備合規(guī)；第二步，要檢驗(yàn)登錄身份的合法性；第三步，利用安全套接層協(xié)議（secure sockets layer，SSL）加密技術(shù)來搭建安全可靠的數(shù)據(jù)傳輸通道；第四步，對業(yè)務(wù)訪問權(quán)限進(jìn)行嚴(yán)格限制；第五步，要確保下載到終端的數(shù)據(jù)信息不被泄露；第六步，對行為日志進(jìn)行留存以便后續(xù)違規(guī)行為溯源［1］。

目前傳統(tǒng)VPN 方案已經(jīng)不能滿足當(dāng)今互聯(lián)網(wǎng)環(huán)境的需要，存在的問題如安全性較弱、穩(wěn)定性不高、效率低下及缺乏一定的擴(kuò)展能力。 由此提出一種基于零信任的網(wǎng)絡(luò)安全架構(gòu)，該安全架構(gòu)借鑒零信任理念，以業(yè)務(wù)安全為中心，以認(rèn)證授權(quán)體系為核心，從身份安全、終端安全、應(yīng)用安全等方面來實(shí)現(xiàn)業(yè)務(wù)發(fā)展與企業(yè)安全的有效融合。

2 零信任網(wǎng)絡(luò)安全架構(gòu)落地路徑

2.1 應(yīng)用分類、界定保護(hù)范圍

零信任改造是一個由淺入深、由少到多的過程，面對企業(yè)眾多應(yīng)用，不建議也做不到一次改造完成。 因此具體實(shí)施過程中，先對全部應(yīng)用按照場景與邏輯進(jìn)行分類整理，在考慮實(shí)施難度與業(yè)務(wù)連續(xù)性的基礎(chǔ)上選擇部分應(yīng)用來完成零信任改造。

2.2 應(yīng)用安全

利用訪問網(wǎng)關(guān)插件來隱藏與代理被保護(hù)的應(yīng)用，所有對被保護(hù)應(yīng)用的訪問都需要經(jīng)過網(wǎng)關(guān)以確保精細(xì)化的權(quán)限控制與每一次訪問的安全。 與此同時對分類的業(yè)務(wù)進(jìn)行邏輯隔離并制定對應(yīng)的安全策略，從而達(dá)到可視化安全互訪的目標(biāo)，有效解決數(shù)據(jù)共享、業(yè)務(wù)開展與數(shù)據(jù)安全等問題，此外，應(yīng)用程序編程接口（application programming interface，API）網(wǎng)關(guān)還有利于防范病毒和惡意軟件在公司內(nèi)網(wǎng)的擴(kuò)散與傳播［2］。 在同類別下多個應(yīng)用之間，考慮到互相訪問與調(diào)用的頻繁程度，由此選用訪問控制列表（access control list，ACL）進(jìn)行控制，后續(xù)可根據(jù)企業(yè)的實(shí)際需求逐步改造與遷移而實(shí)現(xiàn)API 網(wǎng)關(guān)統(tǒng)一管理。

2.3 身份安全

零信任的基本要求是通過持續(xù)驗(yàn)證來確保用戶身份的可信可靠，這需要利用用戶管理系統(tǒng)統(tǒng)一集中管理企業(yè)用戶的賬號權(quán)限，用戶管理系統(tǒng)要為員工用戶提供全生命周期管理，其中包括員工入職、崗位調(diào)動及員工離職等。用戶管理系統(tǒng)還要具備多因素認(rèn)證能力，如智能卡、郵箱、密碼、令牌、生物識別以及多種認(rèn)證方式的組合。 零信任通過嚴(yán)格核實(shí)內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)來高強(qiáng)度掌控各種數(shù)據(jù)身份，對眾多訪問設(shè)置重重信息關(guān)卡，以添加綜合認(rèn)證和增加加密權(quán)限，并始終使用零信任的管理方式在每一次登錄時進(jìn)行安全驗(yàn)證并靈活地調(diào)整動態(tài)權(quán)限與信任程度，從而建立一套動態(tài)的綜合信任體系。

2.4 設(shè)備安全

基于零信任理念，不僅要確保身份可信，還要保證設(shè)備可信，即全部訪問內(nèi)網(wǎng)應(yīng)用與數(shù)據(jù)的設(shè)備都是可控可信的設(shè)備。 為確保用戶每次使用的設(shè)備都是可信的，設(shè)備管理需要為每臺設(shè)備分配唯一識別碼，并將該唯一硬件識別碼與用戶賬號相關(guān)聯(lián)，以此來保證用戶每次使用的設(shè)備都是可控合規(guī)的設(shè)備［3］。 另外，對于不可信設(shè)備，需要進(jìn)行強(qiáng)制身份認(rèn)證，只有身份認(rèn)證通過后才能允許該設(shè)備入網(wǎng)。 與此同時對可信設(shè)備的管理還要識別設(shè)備狀態(tài)，如驗(yàn)證設(shè)備自身當(dāng)前狀態(tài)是否安全、是否通過安全基線等。

2.5 零信任安全架構(gòu)搭建

上述基礎(chǔ)工作準(zhǔn)備就緒后，就可以著手搭建零信任架構(gòu)。 零信任軟件定義邊界（software defined perimeter，SDP）架構(gòu)有集群模式與主備模式兩種常見方式，集群模式又稱高可用方案，該模式將應(yīng)用網(wǎng)關(guān)與控制中心分別進(jìn)行集群化部署，同時還提供接入網(wǎng)關(guān)從而實(shí)現(xiàn)負(fù)載均衡與訪問接入。 高可用方案在被保護(hù)應(yīng)用之前部署安全接入網(wǎng)關(guān)，控制中心采用集群方式來負(fù)責(zé)全部請求，即使其中一臺設(shè)備發(fā)生故障也不會影響業(yè)務(wù)的正常進(jìn)行。 這種集群方式一方面可以根據(jù)企業(yè)的實(shí)際需要進(jìn)行彈性拓展，另一方面能有效避免單點(diǎn)故障帶給應(yīng)用訪問的影響。

2.6 應(yīng)用統(tǒng)一門戶

企業(yè)提供應(yīng)用統(tǒng)一訪問門戶，不僅有助于實(shí)現(xiàn)公司互聯(lián)網(wǎng)統(tǒng)一入口與跨設(shè)備的集中管理，可以有效隱藏原本需要對外開放的端口與應(yīng)用，從而確保應(yīng)用與數(shù)據(jù)安全。 當(dāng)用戶經(jīng)統(tǒng)一入口登錄訪問，首頁僅展示用戶角色相應(yīng)權(quán)限的應(yīng)用快捷鏈接，同時系統(tǒng)支持單點(diǎn)登錄（single sign-on，SSO）功能，從而實(shí)現(xiàn)安全訪問區(qū)域多業(yè)務(wù)共享登錄標(biāo)識，不需要多次登錄重復(fù)鑒權(quán)［4］。

2.7 制定零信任安全策略

零信任的基本理念是持續(xù)監(jiān)測環(huán)境狀態(tài)與用戶行為，不斷靈活調(diào)整訪問策略，因此企業(yè)在實(shí)施基于零信任的遠(yuǎn)程訪問VPN 解決方案時，需要制定以信任得分為核心的動態(tài)訪問策略。 在該訪問策略下，應(yīng)用對用戶每次訪問時的接入環(huán)境、使用設(shè)備及用戶身份進(jìn)行驗(yàn)證并給出一定的信任級別分?jǐn)?shù)，同時為應(yīng)用制定安全等級分?jǐn)?shù)，只有用戶的綜合信任級別分?jǐn)?shù)高于應(yīng)用的安全等級分?jǐn)?shù)，用戶才被允許正常訪問，否則不允許本次訪問或在系統(tǒng)限制與監(jiān)控下進(jìn)行訪問。 用戶信任與應(yīng)用安全級別如表1 所示。

表1 用戶信任與應(yīng)用安全級別

2.8 基于用戶角色與應(yīng)用類別逐步遷移

零信任轉(zhuǎn)型是一個過程，為了不影響公司的正常業(yè)務(wù)，提出核心應(yīng)用與遠(yuǎn)程辦公類應(yīng)用優(yōu)先、必須用零信任訪問的用戶優(yōu)先、原來的VPN 用戶、過渡白名單策略等逐步遷移辦法，對核心應(yīng)用與遠(yuǎn)程辦公類應(yīng)用，提供網(wǎng)關(guān)代理訪問方式，在保留原有的內(nèi)網(wǎng)直接訪問與VPN 訪問方式，另外添加應(yīng)用網(wǎng)關(guān)代理訪問方式；對于需要訪問核心數(shù)據(jù)的部分用戶，按照一定優(yōu)先級順序?qū)⑵渲鸩竭w移到零信任體系下；對原來VPN 用戶，提供訪問代理訪問，前期強(qiáng)制要求通過零信任客戶端訪問，后期以訪問控制列表或隱藏端口與應(yīng)用等方式來阻止用戶直接訪問；過渡白名單策略是允許白名單用戶用原來的方式來訪問應(yīng)用，等到用戶全部遷移至零信任訪問模式下并且沒有任何問題，再對白名單進(jìn)行修正。

3 基于零信任框架的園區(qū)遠(yuǎn)程辦公VPN 解決方案

基于零信任框架的園區(qū)遠(yuǎn)程辦公VPN 解決方案，是遵循零信任架構(gòu)相關(guān)標(biāo)準(zhǔn)，同時融合統(tǒng)一終端管理（unified endpoint management，UEM）與SDP 兩大技術(shù)架構(gòu)進(jìn)行設(shè)計(jì)與實(shí)現(xiàn)，是面向數(shù)據(jù)防泄露、安全接入等員工訪問業(yè)務(wù)場景的一體化園區(qū)遠(yuǎn)程辦公方案［5］。 該遠(yuǎn)程辦公VPN 解決方案的形成流程，如圖1 所示。

圖1 園區(qū)遠(yuǎn)程辦公VPN 解決方案形成流程

零信任終端有綜合網(wǎng)關(guān)形態(tài)和標(biāo)準(zhǔn)SDP 形態(tài)：綜合網(wǎng)關(guān)形態(tài)將網(wǎng)關(guān)與控制中心合二為一，通過一臺設(shè)備可搞定用戶認(rèn)證、數(shù)據(jù)安全傳輸隧道建立、數(shù)據(jù)轉(zhuǎn)發(fā)與策略管理等多種功能，不適用于多云環(huán)境或多數(shù)據(jù)中心部署；標(biāo)準(zhǔn)SDP 形態(tài)最高可支持百萬規(guī)模，其中安全網(wǎng)關(guān)用于建立隧道、執(zhí)行策略與轉(zhuǎn)發(fā)數(shù)據(jù)，控制中心用于策略管理與用戶認(rèn)證，該形態(tài)支持異地部署、多云多數(shù)據(jù)中心部署。

園區(qū)遠(yuǎn)程辦公VPN 解決方案實(shí)現(xiàn)全方位遠(yuǎn)程訪問安全保障，具體如下：在確保終端安全方面，通過檢查多維度終端環(huán)境來有效保障終端設(shè)備合規(guī)，主要包括終端環(huán)境檢查、應(yīng)用進(jìn)程檢查以及其他方面的檢查等，其中，終端環(huán)境檢查用于檢查補(bǔ)丁、媒體存取控制地址（media access control address，MAC）、防火墻、進(jìn)程以及殺毒軟件等；應(yīng)用進(jìn)程檢查用于檢查瀏覽器名稱、應(yīng)用進(jìn)程與版本等；其他方面的檢查包括對網(wǎng)絡(luò)區(qū)域、時間、密碼強(qiáng)度等的檢查。在用戶身份認(rèn)證方面，綜合使用多種身份認(rèn)證方式來驗(yàn)證登錄身份合法，如賬號密碼、短信驗(yàn)證碼、釘釘認(rèn)證、動態(tài)令牌、證書認(rèn)證、企業(yè)微信認(rèn)證、電子鑰匙及身份識別與訪問管理／第四代訪問管理（identity and access management／4th generation access management，IAM／4A）認(rèn)證等。 在權(quán)限控制方面，聯(lián)合使用靜態(tài)權(quán)限授權(quán)與按需收縮權(quán)限兩種方式來實(shí)現(xiàn)精細(xì)化權(quán)限控制。 在訪問數(shù)據(jù)限制方面，通過網(wǎng)絡(luò)隔離、防打印、防拷貝、防錄屏截屏及文件加密等多種方式來有效保障數(shù)據(jù)不被泄露，為遠(yuǎn)程辦公提供一個安全可靠的工作空間。 在行為追蹤方面，利用訪問行為審計(jì)，準(zhǔn)確及時記錄誰什么時間在哪個終端，使用哪種認(rèn)證方式訪問哪些業(yè)務(wù)場景并進(jìn)行了什么操作等［6］。

4 方案實(shí)施與調(diào)試

根據(jù)用戶行為的訪問路徑，完全控制其中的關(guān)鍵訪問路徑，在用戶訪問過程中利用應(yīng)用保護(hù)、數(shù)據(jù)防泄露、多因素認(rèn)證、錄屏審計(jì)及終端零信任等多種保護(hù)手段來持續(xù)性評估與審計(jì)風(fēng)險，以此建立可控可靠的遠(yuǎn)程訪問安全網(wǎng)絡(luò)體系架構(gòu)，從而實(shí)現(xiàn)整個遠(yuǎn)程訪問過程的安全可控，基于零信任架構(gòu)的VPN 解決方案的實(shí)施綱要共分為訪問、設(shè)計(jì)、驗(yàn)證、現(xiàn)代化與規(guī)?；任鍌€部分［7］。

其中具體的實(shí)施步驟為：第一，專門準(zhǔn)備一臺高性能服務(wù)器，安裝相應(yīng)客戶端工具，利用零信任虛擬化技術(shù)實(shí)現(xiàn)用戶遠(yuǎn)程訪問與使用，只要經(jīng)過相應(yīng)零信任客戶端獲得虛擬化應(yīng)用服務(wù)權(quán)限，用戶無需插拔加密狗即可遠(yuǎn)程訪問并使用內(nèi)網(wǎng)資源；第二，對于用戶與任意一臺公網(wǎng)設(shè)備，需要知道自己的賬號密碼及VPN 地址，該VPN 解決方案中，使用雙因素認(rèn)證動態(tài)與靜態(tài)口令相結(jié)合的方式來解決弱口令問題，采用相關(guān)協(xié)議進(jìn)行連接并于VPN 網(wǎng)關(guān)外部署防火墻，同時僅對外開放兩個特定端口；第三，VPN 登錄成功后，為公網(wǎng)設(shè)備用戶分配虛擬的IP 地址用于訪問虛擬應(yīng)用服務(wù)器；第四，對于服務(wù)器的兩個私有協(xié)議，需要在公網(wǎng)設(shè)備上安裝相應(yīng)的零信任客戶端，然后經(jīng)過雙因素認(rèn)證和授權(quán)后方能順利訪問虛擬應(yīng)用發(fā)布的相對應(yīng)客戶端程序；第五，虛擬應(yīng)用服務(wù)器與客戶端之間采用私有協(xié)議進(jìn)行通信，數(shù)據(jù)通過相應(yīng)國密算法進(jìn)行加密；第六，同時對虛擬應(yīng)用服務(wù)器進(jìn)行系統(tǒng)安全加固操作，如清除數(shù)據(jù)緩存、安裝相應(yīng)殺毒軟件、配置用戶行為圖形審計(jì)、用戶數(shù)據(jù)邏輯隔離以及關(guān)閉其他無關(guān)應(yīng)用等；第七，當(dāng)用戶遠(yuǎn)程訪問內(nèi)外業(yè)務(wù)系統(tǒng)時需要驗(yàn)證用戶身份等，同時增設(shè)防火墻技術(shù)以有效保障遠(yuǎn)程訪問的安全、可靠與可控［8］。

5 基于零信任遠(yuǎn)程辦公VPN 解決方案的應(yīng)用

基于零信任架構(gòu)的園區(qū)遠(yuǎn)程辦公VPN 解決方案的應(yīng)用與應(yīng)用效果如下。

例如某一銷售人員小李在出差過程中遠(yuǎn)程訪問內(nèi)網(wǎng)訂單系統(tǒng)與辦公自動化系統(tǒng)（office automation system，OA）的具體流程是：第一步，小李通過電腦遠(yuǎn)程訪問OA 系統(tǒng)，此時系統(tǒng)檢測到?jīng)]有認(rèn)證的訪問請求，要求完成身份認(rèn)證；第二步，系統(tǒng)檢測到小李所用電腦非公司電腦且未安裝公司殺毒軟件，此時需要進(jìn)行二次身份認(rèn)證或安裝相應(yīng)殺毒軟件后才能順利進(jìn)行后續(xù)訪問；第三步，身份認(rèn)證或安裝相應(yīng)殺毒軟件后，小李可以順利訪問公司OA 系統(tǒng)；第四步，小李打開訂單系統(tǒng)并查看某一筆訂單詳情，此時系統(tǒng)彈窗提示該行為涉及敏感核心數(shù)據(jù)僅限于安全工作空間內(nèi)訪問；第五步，小李在工作臺找到訂單應(yīng)用，從安全工作空間打開訂單系統(tǒng)并正常查看瀏覽訂單數(shù)據(jù)。

再如，某一公司部門經(jīng)理張總在高鐵上遠(yuǎn)程訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的具體流程是：第一步，張總在高鐵上使用電腦進(jìn)行遠(yuǎn)程辦公，雙擊客戶端進(jìn)入到登錄頁面，在該頁面填寫正確的賬號密碼或選擇掃碼認(rèn)證，當(dāng)系統(tǒng)完成身份認(rèn)證后，即可正常訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)；第二步，開啟單點(diǎn)登錄，訪問OA 時無需重復(fù)填寫賬號密碼信息；第三步，高鐵上網(wǎng)絡(luò)不穩(wěn)定的情況下只需要在網(wǎng)絡(luò)恢復(fù)時刷新下網(wǎng)頁即可繼續(xù)瀏覽，無需登錄重連；第四步，張總可以在終端自助管理中設(shè)置自己的電腦為信任終端，再次使用自己電腦訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)就可以省去登錄過程從而快速訪問。

6 結(jié)語

綜上所述，將零信任網(wǎng)絡(luò)安全框架引入到園區(qū)遠(yuǎn)程辦公VPN 解決方案中，為園區(qū)遠(yuǎn)程辦公提供了有效可行的解決方案，綜合考慮遠(yuǎn)程辦公中的人員身份、設(shè)備、流程、訪問與環(huán)境等多維因素，為公司業(yè)務(wù)發(fā)展提供可控、可靠、可信、便捷的服務(wù)與安全環(huán)境，有利于降低企業(yè)內(nèi)部各業(yè)務(wù)訪問的風(fēng)險。