1、概述
隨著數字化轉型的深入,IT基礎架構大量引入云計算、移動計算等新興技術,內外網絡物理邊界日趨模糊。傳統防護思維中,默認內網比外網安全,通過邊界部署防火墻等設備,以達到安全保障的目標。在新技術沖擊下,防御面急劇膨脹,內外部網絡邊界交錯,邊界防護節點難以有效定位。同時,攻擊者的技術手段也在日益提升,特別典型的是APT組織,他們通常不會正面進攻,而是以釣魚郵件,或者從防御薄弱的分支機構迂回等多種方式,繞過邊界防護進入企業內部。在內網可信的思維指導下,內網安全防御能力普遍不足,一旦邊界被突破,攻擊者往往能在整個企業內部自由移動,最終達到攻擊目的。
零信任架構的核心思想是“從來不信任,始終在校驗”。它默認不信任內外部任何人和行為,遵循“先認證用戶和設備,后訪問業務”的原則,以身份為中心進行訪問控制。零信任的安全監控不僅限于準入的過程,在訪問過程中也會持續進行監控,及時發現終端是否被入侵控制,用戶是否存在異常威脅行為,并實施動態訪問控制。這種將安全技術與應用、業務特性相結合,安全技術與安全運營相結合的理念,使得安全體系具備足夠的安全彈性和自適應能力,有利于應對APT等主流攻擊。
遠程辦公由于物理空間不可控,從而衍生出一系列的安全風險,具體表現在終端、鏈路以及權限三個方面。遠程辦公中訪問者身份、所使用設備、傳輸網絡均不可控,存在訪問者身份不明導致的簡單侵入竊取機密的風險;終端設備未安裝殺毒軟件,存在高危安全漏洞;終端網絡安全環境不確定,缺少傳統的網絡安全防護手段,可能接入惡意WiFi,也可能有中間人;使用傳統的VPN方式接入,終端獲取到內網虛擬IP地址后會直接與內網其他網段資源發生交互,權限無法收縮和控制,導致后端服務的額外暴露。
如今,非現場遠程辦公成為常態,在保障數據和資產安全的同時,基于零信任網絡構建行內外統一的一體化業務訪問平臺,打造一個基于零信任網絡架構體系的遠程辦公環境至關重要:在遠程辦公人員、設備和業務系統之間構建一張虛擬的基于身份的邏輯邊界;對訪問業務數據資產的各類場景進行梳理,逐步構建一個一體化的零信任動態訪問控制體系。
2、引入價值
2018年至今,中央部委、政府機關、中大型企業等均開始探索實踐零信任安全架構,零信任基于產品化、組件化、場景化等技術特點,可以提供一種輕量級、動態發展的安全策略,且隨著數字化轉型的逐步深入,零信任本身也將會愈加完善。總體來看,零信任主要表現為以下三點:
? 信任最小化:所有設備、用戶和網絡流量都應該被認證、授權和加密。
? 網絡無特權化:應當始終假設外部和內部威脅每時每刻都充斥著網絡,并且不能僅僅依靠網絡位置來建立信任關系。
? 權限動態化:訪問控制策略應該動態的基于盡量多的數據源進行計算和評估。
零信任的本質是引導安全架構從網絡中心化走向身份中心化,進而以身份為中心進行細粒度的自適應訪問控制。這里有一個非常重要的前提是身份的識別和認證,落實在技術層面是要構建一個統一的身份認證系統,需要采集包括人、設備、系統和應用等在內的各方面信息。在遠程辦公安全接入的場景,零信任架構相比于傳統方案有以下優勢和區別:
解決方案 | 方案能力 | |
端口映射 | 將WEB應用程序直接發布到互聯網環境下,訪問由應用自身控制 | 應用系統直接暴露在暴力破解、XSS等攻擊威脅下 |
VPN | 通過VPN建立隧道訪問企業內網 | 1、無細粒度訪問控制,接入后內網同網段所有資源均對用戶開放 2、多因子認證能力弱 |
虛擬桌面 | 員工通過客戶端訪問虛擬桌面,以虛擬桌面為跳板訪問應用及系統 | 1、對網絡質量要求高 2、連入虛擬桌面后,所有資源對用戶開放,基本沒有訪問控制 |
零信任 | 通過零信任構建的安全通道,利舊原有安全設備,安全訪問企業資源 | - 利舊安全投資,覆蓋全業務場景 - 提高辦公效率,兼顧身份安全 - 細粒度的權限控制 - 全面的行為回溯、動態的安全響應 |
3、需求分析
隨著用戶的信息化程度、移動化程度不斷提高,用戶的內部業務系統逐步成為組織核心資產。能夠讓員工在職場內(公司辦公場所)、職場外(酒店、咖啡廳、在家等)隨時隨地處理內部業務系統的信息變得越來越普遍和重要。職場內,以防止企業內部威脅為主;職場外,當員工因疫情或其他等原因需在家臨時辦公,或者長期出差在外,以及外部伙伴因業務合作需要訪問企業內部系統,需要確保遠程辦公訪問過程的安全,以減少企業內部系統被從職場外部入侵的風險,如何在保障遠程辦公安全的同時兼顧效率,是遠程辦公安全接入場景方案的核心要點。
從遠程辦公的業務訪問需求上來看,主要有以下業務場景:
普通辦公:主要需求是訪問公司的OA、審批系統、知識管理系統,以及公司的郵件、即時通訊、視頻會議系統等;
開發測試:主要需求是訪問公司的測試環境、代碼倉庫、持續集成系統等;
遠程運維:主要需求是能遠程登陸運維管理平臺、遠程服務器登陸維護等。
從接入的終端類型來看,用戶會使用包括Windows、MacOS、Android、iOS等在內的PC或移動終端接入并訪問業務。同時,在用戶身份的管理方面,企業內部可能會存在如HR系統、OA系統、LDAP系統等身份目錄,需要為遠程接入訪問的用戶建立起一個統一的身份體系。
綜上,本次零信任身份安全解決方案需要兼容包括Windows、MacOS、Android、iOS等操作系統,提供面向普通辦公、開發測試、遠程運維場景的遠程訪問能力,并通過與用戶現網已有的各類身份目錄對接,為遠程接入用戶建立統一的身份體系,以為遠程辦公安全接入場景提供有效的零信任安全接入防護。
4、整體建設思路
針對以上背景及需求,本次零信任解決方案針對遠程辦公應用場景,不再采用持續強化邊界的思維,不再通過網絡區域劃分的概念區分職場內外網,而是針對核心業務和數據資產,在它們與人員、設備之間構建一張虛擬的、基于身份的邏輯邊界,針對各種業務場景構建一體化的零信任動態訪問控制體系。主要包括以下技術價值點:
最大程度上縮小攻擊暴露面
零信任解決方案采用白名單的模型,在用戶、終端通過認證之前,應用資源對用戶是隱身的;即便在用戶通過訪問身份認證和應用授權后,用戶也僅僅獲得該授權應用的訪問權,并未開放網絡使用權,從根本上降低了資產的暴露面、減少應用系統由于0day漏洞等而被攻擊到的概率。
降低安全管理成本、保護安全投資
零信任解決方案終結了安全防護手段各自為政的現狀,解決方案的部署并不意味著完全新建一套安全防護體系,而是以解決方案為核心,與現網中已有的安全工具集成,提升一體化安全管理能力及響應能力,提升原有安全投資的能效產出,同時以信任模型、動態響應能力等減少威脅響應過程中的人力投入成本。
增強對應用系統的保護
零信任解決方案有效整合與應用系統相關的傳輸加密、精細化訪問控制、應用水印等能力,保護應用資源在網絡中的傳輸和調用。
在落地的技術架構上,解決方案構建了端到端的網絡安全體系,包括端點、身份、訪問管理、行為分析等能力,總體邏輯架構如下圖所示:
圖1. 零信任安全體系邏輯架構圖
零信任安全體系核心邏輯組件分為控制平面與數據平面,控制平面的零信任身份服務中心(控制臺)承擔對用戶身份、終端身份、用戶權限等的統一管理,并提供零信任體系內的可信認證及訪問控制決策能力;零信任身份服務中心與零信任應用代理系統對接,提供統一的訪問控制策略下發,并通過零信任應用代理系統對應用的訪問請求進行控制,附加應用水印、應用流量管控等措施。
零信任安全體系具備與外部基礎設施,包括UEBA引擎、LDAP服務器、第三方終端安全管理系統、企業HR系統等靈活對接的能力,可以向外部基礎設施靈活采集用戶身份、權限、終端身份、終端安全狀態、用戶行為風險等信息,并輸出用戶訪問日志,形成零信任體系內的安全閉環聯動能力。
詳細產品技術解決方案,請咨詢愛瑞古德!
![微信客服 微信客服 掃碼咨詢](javascript:Site.hoverQrCode("//31172307.s21i.faiusr.com/2/ABUIABACGAAgutOkpAYonNfGkAQwsgg4sgg.jpg",this,{"tips":"請使用微信掃一掃"});){kind=link}