基于零信任网络安全架构的园区远程办公VPN 解决方案
2023-12-29崔书方
崔书方,陈 力,马 明
(武汉问道信息技术有限公司 湖北 武汉 430042)
0 引言
目前园区远程办公呈现全员化、常态化特点,是企业与员工的共同需求。 远程办公的前提条件之一是开放远程访问,这大幅度提高了工作效率与时间利用率,但也埋下诸多安全隐患。 零信任理念的出现在解决远程办公安全问题上提供了新思路,本文提供了一种基于零信任架构同时配合统一终端管理与软件定义边界两大技术架构的远程虚拟专用网络(virtual private network,VPN)解决方案,以期为园区远程办公保驾护航。
1 远程办公安全需求与零信任网络安全架构
近几年,远程办公越来越备受企业与员工的青睐。 远程办公的典型价值有:第一,员工能够充分利用碎片化时间;第二,工作可以不受时间与地点的限制;第三,有助于提高生产、经营与管理等各环节的工作效率;第四,有助于增加经营深度和扩宽经营范围。 从全球范围来看,园区远程办公已趋向全员化、常态化;从国内来看,金融、教育、医疗、企业与政府等各行各业均尝试开展远程办公。
远程办公是建立在开放远程访问的基础上,而开放远程访问可能会带来诸多安全风险,如用户账号密码信息被盗用;终端设备被控制后成为非法攻击跳板;下载到终端设备的数据泄露;数据在传输过程中被监听;业务开放到互联网增加被攻击的风险;缺乏权限控制导致被越权访问等。 因此,要实现安全远程办公的目标,需要建立全流程的动态安全保障。 第一步,要确保终端设备合规;第二步,要检验登录身份的合法性;第三步,利用安全套接层协议(secure sockets layer,SSL)加密技术来搭建安全可靠的数据传输通道;第四步,对业务访问权限进行严格限制;第五步,要确保下载到终端的数据信息不被泄露;第六步,对行为日志进行留存以便后续违规行为溯源[1]。
目前传统VPN 方案已经不能满足当今互联网环境的需要,存在的问题如安全性较弱、稳定性不高、效率低下及缺乏一定的扩展能力。 由此提出一种基于零信任的网络安全架构,该安全架构借鉴零信任理念,以业务安全为中心,以认证授权体系为核心,从身份安全、终端安全、应用安全等方面来实现业务发展与企业安全的有效融合。
2 零信任网络安全架构落地路径
2.1 应用分类、界定保护范围
零信任改造是一个由浅入深、由少到多的过程,面对企业众多应用,不建议也做不到一次改造完成。 因此具体实施过程中,先对全部应用按照场景与逻辑进行分类整理,在考虑实施难度与业务连续性的基础上选择部分应用来完成零信任改造。
2.2 应用安全
利用访问网关插件来隐藏与代理被保护的应用,所有对被保护应用的访问都需要经过网关以确保精细化的权限控制与每一次访问的安全。 与此同时对分类的业务进行逻辑隔离并制定对应的安全策略,从而达到可视化安全互访的目标,有效解决数据共享、业务开展与数据安全等问题,此外,应用程序编程接口(application programming interface,API)网关还有利于防范病毒和恶意软件在公司内网的扩散与传播[2]。 在同类别下多个应用之间,考虑到互相访问与调用的频繁程度,由此选用访问控制列表(access control list,ACL)进行控制,后续可根据企业的实际需求逐步改造与迁移而实现API 网关统一管理。
2.3 身份安全
零信任的基本要求是通过持续验证来确保用户身份的可信可靠,这需要利用用户管理系统统一集中管理企业用户的账号权限,用户管理系统要为员工用户提供全生命周期管理,其中包括员工入职、岗位调动及员工离职等。用户管理系统还要具备多因素认证能力,如智能卡、邮箱、密码、令牌、生物识别以及多种认证方式的组合。 零信任通过严格核实内外网络数据来高强度掌控各种数据身份,对众多访问设置重重信息关卡,以添加综合认证和增加加密权限,并始终使用零信任的管理方式在每一次登录时进行安全验证并灵活地调整动态权限与信任程度,从而建立一套动态的综合信任体系。
2.4 设备安全
基于零信任理念,不仅要确保身份可信,还要保证设备可信,即全部访问内网应用与数据的设备都是可控可信的设备。 为确保用户每次使用的设备都是可信的,设备管理需要为每台设备分配唯一识别码,并将该唯一硬件识别码与用户账号相关联,以此来保证用户每次使用的设备都是可控合规的设备[3]。 另外,对于不可信设备,需要进行强制身份认证,只有身份认证通过后才能允许该设备入网。 与此同时对可信设备的管理还要识别设备状态,如验证设备自身当前状态是否安全、是否通过安全基线等。
2.5 零信任安全架构搭建
上述基础工作准备就绪后,就可以着手搭建零信任架构。 零信任软件定义边界(software defined perimeter,SDP)架构有集群模式与主备模式两种常见方式,集群模式又称高可用方案,该模式将应用网关与控制中心分别进行集群化部署,同时还提供接入网关从而实现负载均衡与访问接入。 高可用方案在被保护应用之前部署安全接入网关,控制中心采用集群方式来负责全部请求,即使其中一台设备发生故障也不会影响业务的正常进行。 这种集群方式一方面可以根据企业的实际需要进行弹性拓展,另一方面能有效避免单点故障带给应用访问的影响。
2.6 应用统一门户
企业提供应用统一访问门户,不仅有助于实现公司互联网统一入口与跨设备的集中管理,可以有效隐藏原本需要对外开放的端口与应用,从而确保应用与数据安全。 当用户经统一入口登录访问,首页仅展示用户角色相应权限的应用快捷链接,同时系统支持单点登录(single sign-on,SSO)功能,从而实现安全访问区域多业务共享登录标识,不需要多次登录重复鉴权[4]。
2.7 制定零信任安全策略
零信任的基本理念是持续监测环境状态与用户行为,不断灵活调整访问策略,因此企业在实施基于零信任的远程访问VPN 解决方案时,需要制定以信任得分为核心的动态访问策略。 在该访问策略下,应用对用户每次访问时的接入环境、使用设备及用户身份进行验证并给出一定的信任级别分数,同时为应用制定安全等级分数,只有用户的综合信任级别分数高于应用的安全等级分数,用户才被允许正常访问,否则不允许本次访问或在系统限制与监控下进行访问。 用户信任与应用安全级别如表1 所示。
表1 用户信任与应用安全级别
2.8 基于用户角色与应用类别逐步迁移
零信任转型是一个过程,为了不影响公司的正常业务,提出核心应用与远程办公类应用优先、必须用零信任访问的用户优先、原来的VPN 用户、过渡白名单策略等逐步迁移办法,对核心应用与远程办公类应用,提供网关代理访问方式,在保留原有的内网直接访问与VPN 访问方式,另外添加应用网关代理访问方式;对于需要访问核心数据的部分用户,按照一定优先级顺序将其逐步迁移到零信任体系下;对原来VPN 用户,提供访问代理访问,前期强制要求通过零信任客户端访问,后期以访问控制列表或隐藏端口与应用等方式来阻止用户直接访问;过渡白名单策略是允许白名单用户用原来的方式来访问应用,等到用户全部迁移至零信任访问模式下并且没有任何问题,再对白名单进行修正。
3 基于零信任框架的园区远程办公VPN 解决方案
基于零信任框架的园区远程办公VPN 解决方案,是遵循零信任架构相关标准,同时融合统一终端管理(unified endpoint management,UEM)与SDP 两大技术架构进行设计与实现,是面向数据防泄露、安全接入等员工访问业务场景的一体化园区远程办公方案[5]。 该远程办公VPN 解决方案的形成流程,如图1 所示。
图1 园区远程办公VPN 解决方案形成流程
零信任终端有综合网关形态和标准SDP 形态:综合网关形态将网关与控制中心合二为一,通过一台设备可搞定用户认证、数据安全传输隧道建立、数据转发与策略管理等多种功能,不适用于多云环境或多数据中心部署;标准SDP 形态最高可支持百万规模,其中安全网关用于建立隧道、执行策略与转发数据,控制中心用于策略管理与用户认证,该形态支持异地部署、多云多数据中心部署。
园区远程办公VPN 解决方案实现全方位远程访问安全保障,具体如下:在确保终端安全方面,通过检查多维度终端环境来有效保障终端设备合规,主要包括终端环境检查、应用进程检查以及其他方面的检查等,其中,终端环境检查用于检查补丁、媒体存取控制地址(media access control address,MAC)、防火墙、进程以及杀毒软件等;应用进程检查用于检查浏览器名称、应用进程与版本等;其他方面的检查包括对网络区域、时间、密码强度等的检查。在用户身份认证方面,综合使用多种身份认证方式来验证登录身份合法,如账号密码、短信验证码、钉钉认证、动态令牌、证书认证、企业微信认证、电子钥匙及身份识别与访问管理/第四代访问管理(identity and access management/4th generation access management,IAM/4A)认证等。 在权限控制方面,联合使用静态权限授权与按需收缩权限两种方式来实现精细化权限控制。 在访问数据限制方面,通过网络隔离、防打印、防拷贝、防录屏截屏及文件加密等多种方式来有效保障数据不被泄露,为远程办公提供一个安全可靠的工作空间。 在行为追踪方面,利用访问行为审计,准确及时记录谁什么时间在哪个终端,使用哪种认证方式访问哪些业务场景并进行了什么操作等[6]。
4 方案实施与调试
根据用户行为的访问路径,完全控制其中的关键访问路径,在用户访问过程中利用应用保护、数据防泄露、多因素认证、录屏审计及终端零信任等多种保护手段来持续性评估与审计风险,以此建立可控可靠的远程访问安全网络体系架构,从而实现整个远程访问过程的安全可控,基于零信任架构的VPN 解决方案的实施纲要共分为访问、设计、验证、现代化与规模化等五个部分[7]。
其中具体的实施步骤为:第一,专门准备一台高性能服务器,安装相应客户端工具,利用零信任虚拟化技术实现用户远程访问与使用,只要经过相应零信任客户端获得虚拟化应用服务权限,用户无需插拔加密狗即可远程访问并使用内网资源;第二,对于用户与任意一台公网设备,需要知道自己的账号密码及VPN 地址,该VPN 解决方案中,使用双因素认证动态与静态口令相结合的方式来解决弱口令问题,采用相关协议进行连接并于VPN 网关外部署防火墙,同时仅对外开放两个特定端口;第三,VPN 登录成功后,为公网设备用户分配虚拟的IP 地址用于访问虚拟应用服务器;第四,对于服务器的两个私有协议,需要在公网设备上安装相应的零信任客户端,然后经过双因素认证和授权后方能顺利访问虚拟应用发布的相对应客户端程序;第五,虚拟应用服务器与客户端之间采用私有协议进行通信,数据通过相应国密算法进行加密;第六,同时对虚拟应用服务器进行系统安全加固操作,如清除数据缓存、安装相应杀毒软件、配置用户行为图形审计、用户数据逻辑隔离以及关闭其他无关应用等;第七,当用户远程访问内外业务系统时需要验证用户身份等,同时增设防火墙技术以有效保障远程访问的安全、可靠与可控[8]。
5 基于零信任远程办公VPN 解决方案的应用
基于零信任架构的园区远程办公VPN 解决方案的应用与应用效果如下。
例如某一销售人员小李在出差过程中远程访问内网订单系统与办公自动化系统(office automation system,OA)的具体流程是:第一步,小李通过电脑远程访问OA 系统,此时系统检测到没有认证的访问请求,要求完成身份认证;第二步,系统检测到小李所用电脑非公司电脑且未安装公司杀毒软件,此时需要进行二次身份认证或安装相应杀毒软件后才能顺利进行后续访问;第三步,身份认证或安装相应杀毒软件后,小李可以顺利访问公司OA 系统;第四步,小李打开订单系统并查看某一笔订单详情,此时系统弹窗提示该行为涉及敏感核心数据仅限于安全工作空间内访问;第五步,小李在工作台找到订单应用,从安全工作空间打开订单系统并正常查看浏览订单数据。
再如,某一公司部门经理张总在高铁上远程访问内网业务系统的具体流程是:第一步,张总在高铁上使用电脑进行远程办公,双击客户端进入到登录页面,在该页面填写正确的账号密码或选择扫码认证,当系统完成身份认证后,即可正常访问内网业务系统;第二步,开启单点登录,访问OA 时无需重复填写账号密码信息;第三步,高铁上网络不稳定的情况下只需要在网络恢复时刷新下网页即可继续浏览,无需登录重连;第四步,张总可以在终端自助管理中设置自己的电脑为信任终端,再次使用自己电脑访问内网业务系统就可以省去登录过程从而快速访问。
6 结语
综上所述,将零信任网络安全框架引入到园区远程办公VPN 解决方案中,为园区远程办公提供了有效可行的解决方案,综合考虑远程办公中的人员身份、设备、流程、访问与环境等多维因素,为公司业务发展提供可控、可靠、可信、便捷的服务与安全环境,有利于降低企业内部各业务访问的风险。
