文│綠盟科技 田旭達
當前,企業廣泛采用數字化辦公,但針對數字化辦公環境的安全漏洞、數據泄露、供應鏈攻擊、勒索病毒等網絡安全威脅愈發凸顯,需要更可靠的網絡安全架構來應對這些挑戰。面對業務暴露面隱藏、遠程辦公、運維管理、多數據中心訪問等場景,適時而生的零信任理念可以為企業提供更為完善的數字化辦公安全防護手段。
一、零信任的落地實踐
數字化時代辦公環境中的零信任安全建設,要充分考慮辦公場景業務痛點以及需求分析,實現對辦公環境原有網絡安全技術的持續優化和重構,消除對任何單一元素、節點或服務的隱式信任,通過來自多個數據源的實時信息對操作行為進行連續驗證,以確定訪問請求合規。
當前,零信任的落地實踐主要基于軟件定義邊界(SDP)、身份識別與訪問管理(IAM)、微隔離(MSG)等技術,在訪問主體到訪問客體之間,建立業務平面的安全訪問通道,持續提升用戶業務系統的安全訪問和控制能力,縮小攻擊暴露面,精細化身份管理和特權賬號的訪問權限控制,并實現日志審計和事件溯源,夯實用戶網絡安全保障體系基礎。
針對企業辦公場景的零信任落地方案,包含統一身份管理平臺 , 安全認證網關(SDP), 終端安全管理平臺、分析和控制平臺多個部分。
(一)安全認證網關
基于 SDP 技術的先驗證再連接,通過單包授權(SPA)、動態端口等機制實現組織網絡和應用的全面隱藏,可有效收斂組織的攻擊暴露面,通過網絡隱身、可信控制、按需最小授權提供安全的業務訪問。
(二)統一身份認證平臺
平臺以細粒度信任控制為核心,以最小化授權的零信任理念為設計原則,改變傳統 IT 體系“獨立賬號、獨立認證、獨立授權”的管理模式,為企業提供全面的統一賬戶管理、統一應用管理、統一多因子強認證(MFA)、統一授權管理、全面日志審計等五方面的能力。
(三)終端安全管理平臺
面向企業所有類型終端賦予更安全的準入策略、更精準的檢測能力,更高效的查殺能力,更細致的微隔離策略以及更快速地響應處置能力,構建一個輕量化、智能化、快速化的自適應終端安全準入、分析及防護體系。
(四)零信任分析和控制平臺
零信任分析與控制模塊的作用相當于零信任案安全系統的大腦。通過收集和匯聚風險因素,通過持續網絡安全數據,進行實時風險和信任評估,一旦系統受到外部攻擊、健康狀態出現偏離,可動態訪問控制策略,多組件深度聯動,持續保障系統運行在穩定可靠的安全狀態。
二、關鍵能力的技術實現
零信任的核心理念是除非主客體信任關系能夠持續得到驗證,否則都不信任。在經過用戶信任關系的驗證,建立訪問會話之后,還需要持續評估訪問行為的可信,確認訪問的用戶和設備始終保持在安全狀態,沒有任何異常行為。一旦訪問出現異常,能夠及時自動化地處理,比如重新認證、權限降低或者直接切斷訪問會話。
零信任安全架構主要通過單包認證授權、動態多因素認證、基于屬性的自適應認證等技術,實現從安全感知、風險決策到資源管控的安全管理閉環。
(一)單包認證授權(SPA)技術
SPA 是軟件定義邊界的核心功能,通過默認關閉服務端口,使服務實現網絡隱身,從網絡上無法連接、無法掃描。如果需要使用服務,則通過特定客戶端發送認證報文信息給服務器,服務器認證該報文后,將對該 IP 地址打開相關的服務。
SPA 使得所有的客戶端在訪問資源之前,都要通過控制器服務對其進行單包驗證和訪問控制,由網關對應用進行業務處理。本質上來說,單包認證是預認證的一種。SPA 技術主要在網絡通信層保護防火墻之后的后端服務,可以看成是通信層的訪問保護。作為網絡通信的授權認證手段,SPA 可以有效防范未信任數據包的風險。
(二)動態多因素認證技術
針對不同的人員及應用,可配置不同的認證方式。人員在訪問應用時,需按照配置的認證方式進行認證,通過后才能正常訪問應用場景。零信任技術首先提出了動態多因素認證的技術,不同級別人員可按照不同級別設置認證方式。該技術對不同的認證因子設定認證強度等級,支持與外部各種認證系統進行對接。動態持續的認證方式可實時獲取業務安全策略控制服務的分析結果,對訪問過程中存在的異常行為采取強制二次認證及阻斷方式,確保安全訪問。
(三)終端可信環境檢測技術
終端可信環境檢測技術可以確保用戶使用終端的環境安全可信,從業務邏輯上可劃分為環境感知和行為審計。環境感知包括網絡連接感知、軟硬件變化感知。行為審計包括進程審計、登錄審計、服務審計、用戶密碼審計、用戶權限審計、用戶信息審計、共享審計、windows 注冊表審計等。
同時,基于異常和程序運行中的惡意行為特征,該技術可檢測發現未知風險程序。風險程序在終端環境運行過程中會表現出一些與正常程序不一樣的特征,如隱藏自身、偽裝自身、在后臺運行和聯網、服務器配置文件的訪問等,終端可信環境檢測技術可以監控和發現一些常用的黑客程序并阻止其運行。
(四)基于上下文狀態的自適應認證技術
基于屬性的自適應身份認證增加了身份認證步驟,利用多重身份認證,可以彌補由單一身份認證所引發的身份認證風險。通過獲取用戶訪問時間,所處地點等多維屬性,基于上下文狀態的自適應認證技術能夠對用戶的認證行為、時間、空間、認證所涉及業務等信息進行分析,還能夠智能地精準識別一些惡意認證動作,及時進行攔截,阻斷攻擊者的攻擊途徑,最大程度保證使用者的身份信息安全和網絡信息安全。
三、典型辦公場景應用
通過不斷挖掘各行業客戶的安全需求,綠盟科技基于 SDP、IAM、MSG 等多個維度幫助企業構建基于零信任理念的網絡安全防護體系,滿足各行業不同的辦公場景信息安全防護需求。
(一)應用暴露面隱藏
在關鍵信息基礎設施的網絡攻防演練中,組織的網絡經常被掃描出大量的業務端口,以及閑置的非必須開放的端口。這些端口可被利用探測業務系統存在的各類漏洞,進而被滲透,給攻擊者留下可乘之機,或使安全檢查不合規。
零信任架構通過網絡和應用的全面隱藏,使得無論在內網還是外網,均無法掃描到被保護的業務系統。通過 SDP 技術的落地,可以實現被訪問對象只對可信終端和授權用戶開放連接端口,以及可見和可訪問,其他請求均無法建立網絡連接,也無任何回應,掃描工具掃描不到任何端口,DDoS 攻擊、注入攻擊找不到攻擊對象,讓攻擊者找不到攻擊目標,也就無從下手。
(二)數據安全保護
數字化辦公環境日趨復雜,終端、網絡、管理等都存在敏感數據泄漏的風險,需要在整個數據生命周期對數據進行安全保護。
零信任的終極目標可以說是保護數據和應用的安全。零信任理念的訪問策略,能夠讓訪問應用和數據的行為得到最小化的授權,最大化的安全保障。將安全防護體系和零信任安全體系相結合,將數據標識嵌入到數據資產,通過管理數據標識并將其與零信任系統中的員工訪問權限綁定,這意味著在員工的整個身份生命周期內為其分配數據訪問權限,并將數據資產納入到零信任體系管控,有助于防止數據丟失,降低數據安全風險。
(三)替換遠程辦公虛擬專用網絡(VPN)
遠程辦公是員工訪問企業內部應用的一種常見場景,尤其是 2020 年新冠肺炎疫情的爆發客觀上促進了各行各業對遠程辦公需求的提升。在此之前,組織的遠程辦公大多采用 VPN 的方式進行遠程訪問。但 VPN 遠程辦公存在諸多問題,例如 VPN 需要對外開放公網 IP 地址和端口,且 VPN 自身安全性堪憂,易成為攻擊的突破口;VPN 控制粒度過粗,權限過大;VPN 內外網體驗不一致,管理員難統一管理和審計。
傳統 VPN 方案暴露出的不足和隱患,作為零信任技術實現方式之一的 SDP 均可很好地解決。SDP 能夠提供比 VPN 更安全和更便捷的遠程訪問方式。SDP 通過網關隱藏和業務隱藏首先收斂了攻擊暴露面,大大降低被攻擊風險。其次,SDP 通過多重措施保障自身的安全性來避免成為攻擊突破口,避免給攻擊者留有任何可乘之機。再次,SDP采用安全傳輸層協議(TLS)雙向加密保障傳輸加密,采用短鏈接方式,并非建立 VPN 隧道,因此對網絡狀態差的環境容忍度也較高,不會出現卡頓和掉線的情況,可提供更穩定的連接方式。在遠程辦公場景中,SDP 雖然不能涵蓋所有零信任能力要求,但是卻能給企業業務訪問帶來安全性和便利性,為零信任理念在企業中的快速拓展提供了基礎。
(四)遠程運維訪問管理
在本地及遠程運維場景中,企業雖然具備一定的網絡安全體系,但完善的安全運維建設相對滯后,大多存在賬戶和權限龐雜、管理混亂、認證混亂、無法集中管理,業務訪問和跨域運維、訪問行為和運維操作無法集中審計等問題,無法滿足當前企業對本地及云平臺資源的統一化運維。
零信任架構的運維訪問管理可以統一身份運維賬號、統一入口、統一登錄。零信任體系和堡壘機之間的聯動也能對運維賬戶進行動態管理,提高運維安全性和管理效率。零信任架構的運維訪問管理能夠幫助管理人員從全局、多維度掌握全網運維情況,實現各節點運維人員和資源系統的統一維護管理。通過對系統的綜合日志分析,可以持續評估用戶和實體行為,確保訪問行為可信,針對違規訪問、非法攻擊,能夠進行安全預警、數據責任追蹤以及動態的訪問控制。
(五)多數據中心混合云場景業務統一訪問
隨著數字化辦公的興起,越來越多的企業將自身業務應用遷移到了云端,這也造成企業業務應用存在多數據中心或混合云端部署的場景。在這種場景下,用戶訪問應用需要在多云間和數據中心之間的 VPN 進行登錄和退出的手工切換,非常不便,且效率低。同時,各數據中心的 VPN 無法統一管理和審計,管理成本高。此外,如上文所說,VPN自身安全性、權限粗粒度等也存在諸多弊端。
零信任架構能夠提供更便捷的訪問方式。用戶客戶端使用私有域名解析(DNS)技術配合 SDP 控制中心的自動調度機制,可實現自動尋址應用所需的網關,無需用戶手工切換,極大提升了用戶體驗以及訪問的效率。同時,IAM 能夠為用戶提供統一的認證入口,可與已有身份識別和訪問管理系統進行身份的同步,實現一個賬號認證一次便可訪問其權限下的所有應用,讓訪問更加便捷。
四、零信任落地展望
零信任安全解決方案不是完全顛覆企業當前的安全建設成果,而是去打造一個新的零信任安全體系。這里需要充分考慮零信任方案如何去和企業自身現有的安全體系相融合,圍繞“永不信任,持續認證”的理念,將各種安全能力統一歸屬到零信任體系之下,突破傳統網絡安全的界限,構建全網信任模型,在動態威脅環境中實時保障企業業務安全,以應對數字化形勢下復雜多變的網絡威脅。
(本文刊登于《中國信息安全》雜志2022年第2期)
