疫情背景下远程办公安全解决方案设计
2023-03-09程晓海严晓华黎彦玲
[程晓海 严晓华 黎彦玲]
1 引言
随着业务系统的集约化建设、云化部署,业务应用的数字化、移动化,大量企业开始开放远程办公,尤其是近年来全球受新冠疫情疫情影响,居家、隔离等防疫措施,迫使大规模/全员远程办公成为新常态。在网络安全形势日益严峻的大环境下,远程办公带来的安全风险也逐渐升级,因此,如何安全、便捷地支撑企业远程办公,成为当前亟待重点解决的问题。
2 远程办公主要现状及痛点
2.1 当前现状分析
随着信息化建设不断深入,企业的业务更加开放,访问用户更加多元化;集团型企业对业务系统采取集约化建设,访问呈现多分支;云技术发展,使业务部署更分散;移动化,近50%的业务通过移动化方式发布。技术、应用的演进,尤其是全球新冠疫情爆发后,远程办公模式迅猛发展。据DCMS 称,将近32%的英国企业正在使用VPN 来方便远程访问。
随着业务纵深发展,企业办公网络所处的环境也越来越复杂。端类型,从内网PC 为主,演变为云桌面、笔记本、手机端等移动终端;业务访问角色,从内部员工为主,演变为内外多重角色;业务系统类型,从C/S 业务为主,演变为B/S、APP、H5 等多形式业务占绝对主导地位。
2.2 问题与痛点分析
2.2.1 业务暴露面大,被攻击风险高
随着企业网络的物理安全边界越来越模糊,访问需求的复杂性越来越高,企业内部资源的暴露面呈现不断扩大趋势,这非常容易因业务系统本身的脆弱性(如漏洞、弱密码等),遭受黑客攻击。
2.2.2 接入终端缺乏管理,安全不可控
远程办公场景下,存在大量公网终端,因无法加入域控环境,企业难以集中管理,安全状况良莠不齐。当终端同时访问内网与互联网时,容易作为跳板对业务造成威胁。
2.2.3 多重认证,安全性弱、用户体验差
由于缺乏有效的管理和技术手段,账号密码被冒用、泄露风险高,爆破成本低,容易造成业务被入侵。
传统远程接入与业务系统认证相互独立、割裂,用户需多次认证才能使用业务,用户认证体验差。
2.2.4 数据易泄露,后果严重
企业信息化和大数据的快速发展,越来越多重要核心数据在业务系统集中存放,因此成为攻击目标。在远程办公场景下,这些数据更容易被攻破、泄露,给企业或社会造成损失。
2.2.5 安全监管要求越来越高
随着安全形势日趋严峻,国家和行业管理部门对企业安全的监管力度逐步加强,如公安部每年的攻防演练、工信部的安全漏洞扫描,推动企业主动做好防护和加固。
3 零信任及其主要技术
传统企业网络在构建安全体系时,主要是基于边界安全的理念,即:在企业网络的边界部署IPS、防火墙、WAF、等安全设备,用来防范来自企业网络边界之外的攻击。近年来,随着移动化、上云和软件即服务(SaaS)三大趋势,尤其疫情爆发后,远程办公规模化、常态化,传统网络边界模型已无法满足当前新要求,零信任安全策略逐渐被采纳。
3.1 零信任相关概念
零信任既不是技术也不是产品,而是一种安全理念。零信任理念强调:“Never Trust、Always Verify”。根据NIST《零信任架构标准》[1]中的定义:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。
3.2 软件定义边界(SDP)
软件定义边界SDP 是实践零信任安全理念的技术架构与方案。企业可以通过部署SDP 产品或者解决方案来实现零信任安全理念中的原则。SDP 的网络隐身技术可以很好实现Never Trust 原则。与传统TCP/IP 网络默认允许连接不同,在没有经过身份验证和授权之前,服务器对于终端用户是完全不可见的,从By Default Trust 变成Never Trust。SDP 是一种快速高效的零信任安全实践技术架构。[2]
3.3 SPA 单包授权
SPA 单包授权是SDP(软件定义边界)的核心功能,在允许访问控制器、网关等相关系统组件所在的网络之前先检查设备或用户身份,实现零信任“先认证再连接”的安全模型。SPA 单包授权的目的是允许服务被防火墙隐藏起来,防火墙默认丢弃所有未经验证的TCP 和UDP 数据包,不响应那些连接请求,不为潜在的攻击者提供任何关于该端口是否正被监听的信息,进而实现“网络隐身”。在认证和授权后,用户被允许访问该服务。[2]
4 基于零信任的远程办公安全解决方案
4.1 方案主要目标
基于零信任安全理念,组合网络安全、终端安全、数据安全、身份识别等多种技术,构建新型零信任安全架构。即:将设备信任和用户信任作为架构的基础,通过对访问过程的持续评估,确认访问行为的可信度,并对访问行为进行自适应的访问控制。该架构用于取代逐渐不适应当前安全要求的传统安全架构。
4.2 典型安全方案设计
本设计方案以零信任为原则,重点解决远程办公的“三项安全痛点”:访问控制安全、链路安全和终端安全。将企业网络内部和外部的任何设备、访问者、和业务系统均视为不信任,体系化的设计新型的访问控制,构建新的信任基础。[3]
首先对现网业务系统进行综合评估,根据业务模型和场景,确定方案的主要功能需求;根据交互量和并发数确定建设规模和能力。本文的场景确定为:企业有一个总部(构建私有云服务)和一个物理上分开的分支机构,并拥有企业自己的内网。主要功能确定为:网络隐身、最小授权和高效访问共三项,系统性能满足4000 用户并发的需求。企业实际运用中,具体设备选型可结合解决方案厂家的产品实际,选择具有集群功能、可平滑升级迭代的产品,并考虑架构能够适配安全技术与措施不断演进发展。
4.2.1 方案架构设计
方案整体架构基于零信任理念的SDP 架构实现(如图1 所示),核心零信任产品组件由控制中心、代理网关、客户端、分析中心四大部分组成。[4]
图1 架构设计图
控制中心:它是调度与管理的中心,负责认证、授权、策略下发与管理。通过给网关发送控制指命,控制建立连接和切断用户与应用之间的通信连接。[3]
代理网关:它位于客户端和应用资源之间,负责建立、监视终端用户与应用资源间的连接,并负责在必要时切断这种连接。上述功能的实现,是通过它与控制中心之间的信息通信,接收控制中心所发出的指令和策略来实现的[3][4]。
客户端:系统在客户端应具备在PC 和移动端两类,并且移动端APP 和PC 客户端均可支持SSL 隧道的访问。开启SPA 服务隐身后,只有授权过的客户端才能连接控制中心和代理网关,才能进行认证、授权、和代理访问。[5]
分析中心:负责日志采集、存储及分析。日志接收存储引擎和安全分析引擎,通过分析,识别系统安全风险,以风险告警形式提示管理员,支持可视化处理。
4.2.2 部署方案设计
购置2 台零信任网关,分别部署在企业所属网络的出口节点和私有云节点,实现内外部网络隔离,并实现对所有访问请求的记录,如:访问资源的URL 路径、源IP 地址和目标IP 地址,同时还可以实现对日志审计的支持。[5]
购置1 台零信任控制中心,部署在零信任网关前,实现对系统的管理、控制和日常维护。如图2 所示。
图2 部署方案设计示意图
主要功能效果:
(1)网络和业务隐身:SPA 单包授权技术与应用访问代理配合,实现网关自身和应用资源的双重隐藏,让企业“网络隐身”。
(2)可信终端管理:①终端身份认证,用户和设备双重认证;② 可信环境感知,终端安全基线检测;③动态授权控制,终端威胁异常,禁止访问。
(3)统一入口,集中导航,高效访问。支持
静态密码、动态口令、生物识别等多维身份认证方式,实现单点登录,提升用户认证的安全性和体验性。
表1 性能指标需求表
4.3 主要功能设计
4.3.1 网关和业务隐身功能
支持基于SPA 单包授权技术的隐身功能,服务器仅允许授权用户使用可信客户端访问被保护业务,否则,不可见,也不能连接(如图3 所示)。避免攻击者对服务器进行漏洞扫描、爆破等恶意攻击。
图3 网络/业务隐身示意图
用户通过在安全的网络环境登录获取TOTP 种子,或者通过管理员分发“SPA企业专属客户端”获取TOTP种子。当用户需在不安全网络环境登录系统时,就可以通过种子计算出动态令牌加入https请求中,服务器校验令牌合法性,如不合法,就不响应该请求。
网关隐身:采用控制面和业务面分离,先验证才连接。默认不开放任何TCP 端口,SPA 敲门验证通过后,才开放端口,实现网络隐身。
应用隐身:只允许验证通过的设备和用户连接,否则应用不可见,不可连接,实现应用隐身。
4.3.2 最小授权访问
动态按需最小授权,基于可信的用户身份、访问终端、上下文信息、流量内容等多维信息,按照更精细的颗粒度实施风险度量,并根据度量结果进行授权,以此达到进行动态访问控制的效果,确保只有可信的用户、终端设备,才能实现对应用的可见、可连接和可访问[6]。
在用户和资源之间,综合身份、设备、行为等维度的风险信息,通过智能分析和动态访问控制,进行持续风险和信任等级评估[7],在业务系统全场景实现放行、阻断、自适应认证、权限收敛等自适应处置。人机绑定,确保用户和设备双重可信,防止账号窃取/仿冒攻击。
4.3.3 高效访问
统一入口:与已有4A 快速对接,一个账号打通所有应用,统一账号登录。与4A 实现单点登录,4A 与应用实现单点登录。登出一键注销,用户应用会话统一管理,无感登出,统一注销。
集中导航:应用集中展示,根据用户权限,自动展现用户应用列表,隐藏无权限的应用,可与现有门户快速集成、复用。
智能自动选路:多数据中心场景,控制器告知终端应用对应网关地址,实现自动选路;网关集群场景,负载均衡自动选路[8,9]。
图4 高效访问
4.3.4 数据更安全
通过基于SPA 单包授权技术,实现网关、业务隐身,并通过最小授权实现终端可信,大大降低了资源的可见性,实现对业务和服务的有效防护,防止被攻击或成为攻击目标。保障数据更安全的存储、传输和使用。
4.3.5 契合安全监管要求
基于零信任的远程办公安全解决方案,相较于传统案,符合当前的技术演进方向,并显现了更强的安全效果,契合国家和行业管理部门对企业安全的监管的要求。不仅可以在公安部的攻防演练、工信部的安全漏洞扫描中取得良好效果,更可以在实际应用中实现有效的防护。
4.4 方案成效
4.4.1 有效支撑疫情下企业远程办公
零信任作为备受认可的技术趋势,其在远程办公场景下的安全防护效果有目共睹。随着全球疫情爆发并长期持续,远程办公成为企业运转的常态,在此背景下,越来越多的政府、企业在落地应用该技术,据中国信通院调查显示,政府机关、信息技术服务业、金融业、制造业作为排头兵,零信任应用占比靠前,总占比达53%。
4.4.2 最小化暴露面,保障业务安全
暴露面全面收缩,通过“先认证,再接入”将业务收缩到内网,实现客户端准入前,端口暴露数量为0。网络、应用资源的双重隐身[10],可以有效阻止攻击者/黑客对企业的网络、业务资源的扫描、探测和攻击。
4.4.3 身份可信,终端持续安全
对终端实现集中管控,保证访问业务的终端符合一定的安全基线;通过对终端环境及用户行为持续安全监测,通过中断访问或进行增强认证,有效保障终端安全。通过以身份为基础的动态访问控制和最小授权原则,构建端到端的逻辑边界,解决了传统边界防护内网被横向击穿隐患。
4.4.4 集中导航,认证体验好
实现零信任与业务的单点登录;结合动态访问控制策略,配置双因素认证方式,满足等保合规、安全接入要求。减少密码被窃取、爆破等安全风险,支持用户内外网一致访问体验。系统试点应用6 个月,用户满意度提升5.6 个百分点。
5 结论
本文主要研究设计零信任解决方案,解决当前疫情下多数企业开放远程办公的安全问题。通过部署零信任安全网关和控制中心,实现网络隐身、最小授权、高效访问,通过实际网络应用,方案达到了保障远程办公安全的目标。本方案高效、便捷,可适用于中等规模企业开放远程办公场景的安全保障需求,具有借鉴和推广意义。