文│綠盟科技 田旭達
當前,企業(yè)廣泛采用數(shù)字化辦公,但針對數(shù)字化辦公環(huán)境的安全漏洞、數(shù)據(jù)泄露、供應(yīng)鏈攻擊、勒索病毒等網(wǎng)絡(luò)安全威脅愈發(fā)凸顯,需要更可靠的網(wǎng)絡(luò)安全架構(gòu)來應(yīng)對這些挑戰(zhàn)。面對業(yè)務(wù)暴露面隱藏、遠程辦公、運維管理、多數(shù)據(jù)中心訪問等場景,適時而生的零信任理念可以為企業(yè)提供更為完善的數(shù)字化辦公安全防護手段。
一、零信任的落地實踐
數(shù)字化時代辦公環(huán)境中的零信任安全建設(shè),要充分考慮辦公場景業(yè)務(wù)痛點以及需求分析,實現(xiàn)對辦公環(huán)境原有網(wǎng)絡(luò)安全技術(shù)的持續(xù)優(yōu)化和重構(gòu),消除對任何單一元素、節(jié)點或服務(wù)的隱式信任,通過來自多個數(shù)據(jù)源的實時信息對操作行為進行連續(xù)驗證,以確定訪問請求合規(guī)。
當前,零信任的落地實踐主要基于軟件定義邊界(SDP)、身份識別與訪問管理(IAM)、微隔離(MSG)等技術(shù),在訪問主體到訪問客體之間,建立業(yè)務(wù)平面的安全訪問通道,持續(xù)提升用戶業(yè)務(wù)系統(tǒng)的安全訪問和控制能力,縮小攻擊暴露面,精細化身份管理和特權(quán)賬號的訪問權(quán)限控制,并實現(xiàn)日志審計和事件溯源,夯實用戶網(wǎng)絡(luò)安全保障體系基礎(chǔ)。
針對企業(yè)辦公場景的零信任落地方案,包含統(tǒng)一身份管理平臺 , 安全認證網(wǎng)關(guān)(SDP), 終端安全管理平臺、分析和控制平臺多個部分。
(一)安全認證網(wǎng)關(guān)
基于 SDP 技術(shù)的先驗證再連接,通過單包授權(quán)(SPA)、動態(tài)端口等機制實現(xiàn)組織網(wǎng)絡(luò)和應(yīng)用的全面隱藏,可有效收斂組織的攻擊暴露面,通過網(wǎng)絡(luò)隱身、可信控制、按需最小授權(quán)提供安全的業(yè)務(wù)訪問。
(二)統(tǒng)一身份認證平臺
平臺以細粒度信任控制為核心,以最小化授權(quán)的零信任理念為設(shè)計原則,改變傳統(tǒng) IT 體系“獨立賬號、獨立認證、獨立授權(quán)”的管理模式,為企業(yè)提供全面的統(tǒng)一賬戶管理、統(tǒng)一應(yīng)用管理、統(tǒng)一多因子強認證(MFA)、統(tǒng)一授權(quán)管理、全面日志審計等五方面的能力。
(三)終端安全管理平臺
面向企業(yè)所有類型終端賦予更安全的準入策略、更精準的檢測能力,更高效的查殺能力,更細致的微隔離策略以及更快速地響應(yīng)處置能力,構(gòu)建一個輕量化、智能化、快速化的自適應(yīng)終端安全準入、分析及防護體系。
(四)零信任分析和控制平臺
零信任分析與控制模塊的作用相當于零信任案安全系統(tǒng)的大腦。通過收集和匯聚風(fēng)險因素,通過持續(xù)網(wǎng)絡(luò)安全數(shù)據(jù),進行實時風(fēng)險和信任評估,一旦系統(tǒng)受到外部攻擊、健康狀態(tài)出現(xiàn)偏離,可動態(tài)訪問控制策略,多組件深度聯(lián)動,持續(xù)保障系統(tǒng)運行在穩(wěn)定可靠的安全狀態(tài)。
二、關(guān)鍵能力的技術(shù)實現(xiàn)
零信任的核心理念是除非主客體信任關(guān)系能夠持續(xù)得到驗證,否則都不信任。在經(jīng)過用戶信任關(guān)系的驗證,建立訪問會話之后,還需要持續(xù)評估訪問行為的可信,確認訪問的用戶和設(shè)備始終保持在安全狀態(tài),沒有任何異常行為。一旦訪問出現(xiàn)異常,能夠及時自動化地處理,比如重新認證、權(quán)限降低或者直接切斷訪問會話。
零信任安全架構(gòu)主要通過單包認證授權(quán)、動態(tài)多因素認證、基于屬性的自適應(yīng)認證等技術(shù),實現(xiàn)從安全感知、風(fēng)險決策到資源管控的安全管理閉環(huán)。
(一)單包認證授權(quán)(SPA)技術(shù)
SPA 是軟件定義邊界的核心功能,通過默認關(guān)閉服務(wù)端口,使服務(wù)實現(xiàn)網(wǎng)絡(luò)隱身,從網(wǎng)絡(luò)上無法連接、無法掃描。如果需要使用服務(wù),則通過特定客戶端發(fā)送認證報文信息給服務(wù)器,服務(wù)器認證該報文后,將對該 IP 地址打開相關(guān)的服務(wù)。
SPA 使得所有的客戶端在訪問資源之前,都要通過控制器服務(wù)對其進行單包驗證和訪問控制,由網(wǎng)關(guān)對應(yīng)用進行業(yè)務(wù)處理。本質(zhì)上來說,單包認證是預(yù)認證的一種。SPA 技術(shù)主要在網(wǎng)絡(luò)通信層保護防火墻之后的后端服務(wù),可以看成是通信層的訪問保護。作為網(wǎng)絡(luò)通信的授權(quán)認證手段,SPA 可以有效防范未信任數(shù)據(jù)包的風(fēng)險。
(二)動態(tài)多因素認證技術(shù)
針對不同的人員及應(yīng)用,可配置不同的認證方式。人員在訪問應(yīng)用時,需按照配置的認證方式進行認證,通過后才能正常訪問應(yīng)用場景。零信任技術(shù)首先提出了動態(tài)多因素認證的技術(shù),不同級別人員可按照不同級別設(shè)置認證方式。該技術(shù)對不同的認證因子設(shè)定認證強度等級,支持與外部各種認證系統(tǒng)進行對接。動態(tài)持續(xù)的認證方式可實時獲取業(yè)務(wù)安全策略控制服務(wù)的分析結(jié)果,對訪問過程中存在的異常行為采取強制二次認證及阻斷方式,確保安全訪問。
(三)終端可信環(huán)境檢測技術(shù)
終端可信環(huán)境檢測技術(shù)可以確保用戶使用終端的環(huán)境安全可信,從業(yè)務(wù)邏輯上可劃分為環(huán)境感知和行為審計。環(huán)境感知包括網(wǎng)絡(luò)連接感知、軟硬件變化感知。行為審計包括進程審計、登錄審計、服務(wù)審計、用戶密碼審計、用戶權(quán)限審計、用戶信息審計、共享審計、windows 注冊表審計等。
同時,基于異常和程序運行中的惡意行為特征,該技術(shù)可檢測發(fā)現(xiàn)未知風(fēng)險程序。風(fēng)險程序在終端環(huán)境運行過程中會表現(xiàn)出一些與正常程序不一樣的特征,如隱藏自身、偽裝自身、在后臺運行和聯(lián)網(wǎng)、服務(wù)器配置文件的訪問等,終端可信環(huán)境檢測技術(shù)可以監(jiān)控和發(fā)現(xiàn)一些常用的黑客程序并阻止其運行。
(四)基于上下文狀態(tài)的自適應(yīng)認證技術(shù)
基于屬性的自適應(yīng)身份認證增加了身份認證步驟,利用多重身份認證,可以彌補由單一身份認證所引發(fā)的身份認證風(fēng)險。通過獲取用戶訪問時間,所處地點等多維屬性,基于上下文狀態(tài)的自適應(yīng)認證技術(shù)能夠?qū)τ脩舻恼J證行為、時間、空間、認證所涉及業(yè)務(wù)等信息進行分析,還能夠智能地精準識別一些惡意認證動作,及時進行攔截,阻斷攻擊者的攻擊途徑,最大程度保證使用者的身份信息安全和網(wǎng)絡(luò)信息安全。
三、典型辦公場景應(yīng)用
通過不斷挖掘各行業(yè)客戶的安全需求,綠盟科技基于 SDP、IAM、MSG 等多個維度幫助企業(yè)構(gòu)建基于零信任理念的網(wǎng)絡(luò)安全防護體系,滿足各行業(yè)不同的辦公場景信息安全防護需求。
(一)應(yīng)用暴露面隱藏
在關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻防演練中,組織的網(wǎng)絡(luò)經(jīng)常被掃描出大量的業(yè)務(wù)端口,以及閑置的非必須開放的端口。這些端口可被利用探測業(yè)務(wù)系統(tǒng)存在的各類漏洞,進而被滲透,給攻擊者留下可乘之機,或使安全檢查不合規(guī)。
零信任架構(gòu)通過網(wǎng)絡(luò)和應(yīng)用的全面隱藏,使得無論在內(nèi)網(wǎng)還是外網(wǎng),均無法掃描到被保護的業(yè)務(wù)系統(tǒng)。通過 SDP 技術(shù)的落地,可以實現(xiàn)被訪問對象只對可信終端和授權(quán)用戶開放連接端口,以及可見和可訪問,其他請求均無法建立網(wǎng)絡(luò)連接,也無任何回應(yīng),掃描工具掃描不到任何端口,DDoS 攻擊、注入攻擊找不到攻擊對象,讓攻擊者找不到攻擊目標,也就無從下手。
(二)數(shù)據(jù)安全保護
數(shù)字化辦公環(huán)境日趨復(fù)雜,終端、網(wǎng)絡(luò)、管理等都存在敏感數(shù)據(jù)泄漏的風(fēng)險,需要在整個數(shù)據(jù)生命周期對數(shù)據(jù)進行安全保護。
零信任的終極目標可以說是保護數(shù)據(jù)和應(yīng)用的安全。零信任理念的訪問策略,能夠讓訪問應(yīng)用和數(shù)據(jù)的行為得到最小化的授權(quán),最大化的安全保障。將安全防護體系和零信任安全體系相結(jié)合,將數(shù)據(jù)標識嵌入到數(shù)據(jù)資產(chǎn),通過管理數(shù)據(jù)標識并將其與零信任系統(tǒng)中的員工訪問權(quán)限綁定,這意味著在員工的整個身份生命周期內(nèi)為其分配數(shù)據(jù)訪問權(quán)限,并將數(shù)據(jù)資產(chǎn)納入到零信任體系管控,有助于防止數(shù)據(jù)丟失,降低數(shù)據(jù)安全風(fēng)險。
(三)替換遠程辦公虛擬專用網(wǎng)絡(luò)(VPN)
遠程辦公是員工訪問企業(yè)內(nèi)部應(yīng)用的一種常見場景,尤其是 2020 年新冠肺炎疫情的爆發(fā)客觀上促進了各行各業(yè)對遠程辦公需求的提升。在此之前,組織的遠程辦公大多采用 VPN 的方式進行遠程訪問。但 VPN 遠程辦公存在諸多問題,例如 VPN 需要對外開放公網(wǎng) IP 地址和端口,且 VPN 自身安全性堪憂,易成為攻擊的突破口;VPN 控制粒度過粗,權(quán)限過大;VPN 內(nèi)外網(wǎng)體驗不一致,管理員難統(tǒng)一管理和審計。
傳統(tǒng) VPN 方案暴露出的不足和隱患,作為零信任技術(shù)實現(xiàn)方式之一的 SDP 均可很好地解決。SDP 能夠提供比 VPN 更安全和更便捷的遠程訪問方式。SDP 通過網(wǎng)關(guān)隱藏和業(yè)務(wù)隱藏首先收斂了攻擊暴露面,大大降低被攻擊風(fēng)險。其次,SDP 通過多重措施保障自身的安全性來避免成為攻擊突破口,避免給攻擊者留有任何可乘之機。再次,SDP采用安全傳輸層協(xié)議(TLS)雙向加密保障傳輸加密,采用短鏈接方式,并非建立 VPN 隧道,因此對網(wǎng)絡(luò)狀態(tài)差的環(huán)境容忍度也較高,不會出現(xiàn)卡頓和掉線的情況,可提供更穩(wěn)定的連接方式。在遠程辦公場景中,SDP 雖然不能涵蓋所有零信任能力要求,但是卻能給企業(yè)業(yè)務(wù)訪問帶來安全性和便利性,為零信任理念在企業(yè)中的快速拓展提供了基礎(chǔ)。
(四)遠程運維訪問管理
在本地及遠程運維場景中,企業(yè)雖然具備一定的網(wǎng)絡(luò)安全體系,但完善的安全運維建設(shè)相對滯后,大多存在賬戶和權(quán)限龐雜、管理混亂、認證混亂、無法集中管理,業(yè)務(wù)訪問和跨域運維、訪問行為和運維操作無法集中審計等問題,無法滿足當前企業(yè)對本地及云平臺資源的統(tǒng)一化運維。
零信任架構(gòu)的運維訪問管理可以統(tǒng)一身份運維賬號、統(tǒng)一入口、統(tǒng)一登錄。零信任體系和堡壘機之間的聯(lián)動也能對運維賬戶進行動態(tài)管理,提高運維安全性和管理效率。零信任架構(gòu)的運維訪問管理能夠幫助管理人員從全局、多維度掌握全網(wǎng)運維情況,實現(xiàn)各節(jié)點運維人員和資源系統(tǒng)的統(tǒng)一維護管理。通過對系統(tǒng)的綜合日志分析,可以持續(xù)評估用戶和實體行為,確保訪問行為可信,針對違規(guī)訪問、非法攻擊,能夠進行安全預(yù)警、數(shù)據(jù)責(zé)任追蹤以及動態(tài)的訪問控制。
(五)多數(shù)據(jù)中心混合云場景業(yè)務(wù)統(tǒng)一訪問
隨著數(shù)字化辦公的興起,越來越多的企業(yè)將自身業(yè)務(wù)應(yīng)用遷移到了云端,這也造成企業(yè)業(yè)務(wù)應(yīng)用存在多數(shù)據(jù)中心或混合云端部署的場景。在這種場景下,用戶訪問應(yīng)用需要在多云間和數(shù)據(jù)中心之間的 VPN 進行登錄和退出的手工切換,非常不便,且效率低。同時,各數(shù)據(jù)中心的 VPN 無法統(tǒng)一管理和審計,管理成本高。此外,如上文所說,VPN自身安全性、權(quán)限粗粒度等也存在諸多弊端。
零信任架構(gòu)能夠提供更便捷的訪問方式。用戶客戶端使用私有域名解析(DNS)技術(shù)配合 SDP 控制中心的自動調(diào)度機制,可實現(xiàn)自動尋址應(yīng)用所需的網(wǎng)關(guān),無需用戶手工切換,極大提升了用戶體驗以及訪問的效率。同時,IAM 能夠為用戶提供統(tǒng)一的認證入口,可與已有身份識別和訪問管理系統(tǒng)進行身份的同步,實現(xiàn)一個賬號認證一次便可訪問其權(quán)限下的所有應(yīng)用,讓訪問更加便捷。
四、零信任落地展望
零信任安全解決方案不是完全顛覆企業(yè)當前的安全建設(shè)成果,而是去打造一個新的零信任安全體系。這里需要充分考慮零信任方案如何去和企業(yè)自身現(xiàn)有的安全體系相融合,圍繞“永不信任,持續(xù)認證”的理念,將各種安全能力統(tǒng)一歸屬到零信任體系之下,突破傳統(tǒng)網(wǎng)絡(luò)安全的界限,構(gòu)建全網(wǎng)信任模型,在動態(tài)威脅環(huán)境中實時保障企業(yè)業(yè)務(wù)安全,以應(yīng)對數(shù)字化形勢下復(fù)雜多變的網(wǎng)絡(luò)威脅。
(本文刊登于《中國信息安全》雜志2022年第2期)
