李國(guó)睿

關(guān)鍵詞：零信任；網(wǎng)絡(luò)安全；應(yīng)用安全

1什么是零信任？

零信任（Zero Trust），從名稱(chēng)上就可以看出，零信任就是什么都不信任，實(shí)際上不是一個(gè)新鮮的概念，也不是一種具體的產(chǎn)品形態(tài)，而是一種實(shí)施網(wǎng)絡(luò)安全的指導(dǎo)思想，來(lái)幫助組織更好地進(jìn)行網(wǎng)絡(luò)安全的保護(hù)。早在2010年，零信任一詞就被正式地提出來(lái)，后來(lái)Google發(fā)表了Beyond Corp論文并將其進(jìn)行了產(chǎn)品化。在Google之后，包括Gartner，F(xiàn)orrester等咨詢廠商也開(kāi)始提及零信任的概念，零信任網(wǎng)絡(luò)的建設(shè)以及零信任網(wǎng)絡(luò)安全理念的實(shí)施逐漸深入人心。零信任的定義如下。

（1）網(wǎng)絡(luò)自始至終存在外部或內(nèi)部的威脅。

（2）網(wǎng)絡(luò)訪問(wèn)者位置不確定，網(wǎng)絡(luò)的可信程度要求高。

（3）網(wǎng)絡(luò)接入網(wǎng)絡(luò)終端必須經(jīng)過(guò)充分的（AAA）認(rèn)證。

（4）網(wǎng)絡(luò)訪問(wèn)的安全策略可以根據(jù)訪問(wèn)者身份角色自定義。

統(tǒng)一身份認(rèn)證系統(tǒng)、網(wǎng)絡(luò)接人認(rèn)證系統(tǒng)、傳統(tǒng)VPN等都可以劃分在零信任整個(gè)框架內(nèi)，那么對(duì)于校園網(wǎng)來(lái)說(shuō)，落地零信任大致分為以下4個(gè)步驟。（1）身份管理與訪問(wèn)控制，高校的身份治理一直是很重要的話題，只有定義好人和資源的信任關(guān)系，才能夠?qū)α阈湃伟踩L問(wèn)建立堅(jiān)實(shí)的基礎(chǔ)。（2）軟件定義邊界，此時(shí)可以逐步對(duì)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行更加精細(xì)的管理，利用反向代理、可信網(wǎng)關(guān)等產(chǎn)品，將部分業(yè)務(wù)的邏輯邊界軟件化，從而能夠靈活地調(diào)整策略以及信任關(guān)系。（3）動(dòng)態(tài)細(xì)粒度的授權(quán)，更加精準(zhǔn)的屬性定義、策略定義，配合動(dòng)態(tài)決策引擎、風(fēng)險(xiǎn)評(píng)估引擎，以完成按時(shí)按需授權(quán)、符合最小授權(quán)的安全原則。（4）最終的狀態(tài)，即對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行改造，包括路由策略的修改、IP網(wǎng)段樹(shù)立等，根據(jù)用戶的身份、信任授權(quán)等，精細(xì)化地控制用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限，以達(dá)到徹底的零信任狀態(tài)。

2高校零信任基本需求

上海外國(guó)語(yǔ)大學(xué)賢達(dá)經(jīng)濟(jì)人文學(xué)院系教育部于2004年批準(zhǔn)設(shè)立的上海首批全日制本科獨(dú)立學(xué)院，2021年獲得碩士學(xué)位授予單位。學(xué)校現(xiàn)有虹口、崇明2個(gè)校區(qū)，學(xué)校依托上海外國(guó)語(yǔ)大學(xué)雄厚的師資力量以及外語(yǔ)教學(xué)與科研等方面的優(yōu)勢(shì)，構(gòu)建了以語(yǔ)言、商科類(lèi)學(xué)科為核心，藝術(shù)學(xué)、教育學(xué)及法學(xué)等其他學(xué)科協(xié)調(diào)發(fā)展的學(xué)科專(zhuān)業(yè)體系，現(xiàn)有6大學(xué)科門(mén)類(lèi)23個(gè)本科專(zhuān)業(yè)，全日制本科在校生近9000人。

對(duì)于校園網(wǎng)來(lái)說(shuō)，傳統(tǒng)網(wǎng)絡(luò)基本上存在物理邊界，校內(nèi)自建數(shù)據(jù)中心，校內(nèi)用戶通過(guò)校園網(wǎng)訪問(wèn)各業(yè)務(wù)系統(tǒng)。而隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興IT技術(shù)的發(fā)展，校園網(wǎng)邊界已經(jīng)趨于模糊，如云教務(wù)、智慧圖書(shū)館、電子資源以及一些SaaS服務(wù)，往往不會(huì)部署在物理校園網(wǎng)中，從而導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)的物理邊界趨于模糊。從用戶的角度來(lái)看，傳統(tǒng)校園網(wǎng)的物理邊界可以使用VPN跨越后訪問(wèn)，但是當(dāng)前用戶的訪問(wèn)形態(tài)多種多樣，如由于疫情防控，居家研學(xué)時(shí)間的延長(zhǎng)，以及利用移動(dòng)門(mén)戶進(jìn)行辦公等，都對(duì)傳統(tǒng)網(wǎng)絡(luò)的連接方法提出了更多的要求。因此，在這種趨勢(shì)下，踐行一些零信任的理念就更加必要。

本校（上海外國(guó)語(yǔ)大學(xué)賢達(dá)經(jīng)濟(jì)人文學(xué)院）經(jīng)過(guò)多年的信息化建設(shè)，具備大量基于Web訪問(wèn)的業(yè)務(wù)系統(tǒng)，包括教務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、資產(chǎn)管理系統(tǒng)等。由于移動(dòng)辦公及疫情防控時(shí)教學(xué)的需要，迫切需要一套融合身份治理、訪問(wèn)控制、軟件定義邊界的一個(gè)整體化的零信任解決方案。

3零信任方案選型

經(jīng)過(guò)多方方案比較，我校選擇了“WebVPN+反向代理（基于Nginx）”組合零信任方案。WebVPN解決校外訪問(wèn)校內(nèi)的資源訪問(wèn)問(wèn)題，反代（基于Nginx）解決校內(nèi)資源發(fā)布問(wèn)題。兩套系統(tǒng)對(duì)接校園統(tǒng)一身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)校內(nèi)校外單點(diǎn)登錄，以及實(shí)現(xiàn)基于身份的各種訪問(wèn)權(quán)限控制。

3.1WebVPN簡(jiǎn)介

用戶在外網(wǎng)訪問(wèn)內(nèi)網(wǎng)各類(lèi)資源時(shí)，使用傳統(tǒng)VPN需要根據(jù)不同的用戶終端和不同的操作系統(tǒng)下載安裝不同的客戶端或插件，且VPN配置復(fù)雜煩瑣，極易出錯(cuò)，并增加了用戶在外網(wǎng)訪問(wèn)內(nèi)網(wǎng)資源的成本，給用戶帶來(lái)極大的不便。用戶在使用傳統(tǒng)VPN訪問(wèn)內(nèi)網(wǎng)資源時(shí)，訪問(wèn)流量是通過(guò)隧道從學(xué)?；蚱髽I(yè)的出口出去的，而由于傳統(tǒng)VPN的配置，用戶如果登錄VPN后再訪問(wèn)諸如百度、新浪等外網(wǎng)資源時(shí)，這些訪問(wèn)流量也會(huì)從單位出口出去，因此，用戶就擁有了一層學(xué)?；蚱髽I(yè)的用戶身份，一旦有用戶在網(wǎng)上進(jìn)行惡意活動(dòng)，就會(huì)給學(xué)?；蚱髽I(yè)帶來(lái)麻煩和安全隱患。

WebVPN是一款基于瀏覽器的遠(yuǎn)程訪問(wèn)控制系統(tǒng)，它區(qū)別于其他傳統(tǒng)的VPN，無(wú)須安裝任何瀏覽器插件或客戶端，即可實(shí)現(xiàn)內(nèi)部系統(tǒng)資源的外網(wǎng)遠(yuǎn)程訪問(wèn)。WebVPN支持通過(guò)系統(tǒng)訪問(wèn)HTTP，HTTPS，WebSocket， RTMP， HLS， RDP， VNC， Telnet， SSH等協(xié)議的資源，無(wú)須在系統(tǒng)中通過(guò)域名或別名對(duì)資源進(jìn)行預(yù)先定義或適配。用戶可以通過(guò)WebVPN中導(dǎo)航塊直接訪問(wèn)資源，支持通過(guò)WebVPN中的地址欄自定義其訪問(wèn)目標(biāo)，支持用戶通過(guò)IPv4或IPv6利用本系統(tǒng)訪問(wèn)IPv4和IPv6資源。

用戶使用WebVPN系統(tǒng)工作節(jié)點(diǎn)服務(wù)器代理訪問(wèn)公共資源或內(nèi)部資源，在代理服務(wù)器上開(kāi)啟認(rèn)證訪問(wèn)策略，用戶需經(jīng)過(guò)認(rèn)證才能訪問(wèn)內(nèi)部資源。

3.2Nginx反向代理簡(jiǎn)介

Nginx作為Web服務(wù)器核心功能就是反向代理，用于管理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。反向代理系統(tǒng)的核心功能有：Web類(lèi)資源的統(tǒng)一發(fā)布與管理，實(shí)現(xiàn)IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)過(guò)渡方案，HTTPS代理訪問(wèn)。用戶只需在內(nèi)網(wǎng)中部署Nginx服務(wù)器（代理服務(wù)器），代理服務(wù)器上各線路網(wǎng)卡設(shè)置公網(wǎng)IP，內(nèi)網(wǎng)網(wǎng)卡設(shè)置內(nèi)網(wǎng)IP，所需發(fā)布的Web資源均設(shè)置內(nèi)網(wǎng)IP與Nginx服務(wù)器通信即可，支持HTTP，HTTPS，WebSocket， RDP， VNC， Telnet， SSH， RTMP， HLS等協(xié)議，有效節(jié)省公網(wǎng)IP，實(shí)現(xiàn)對(duì)Web資源的統(tǒng)一發(fā)布和管理。針對(duì)HTTPS類(lèi)型資源系統(tǒng)提供證書(shū)管理功能，支持系統(tǒng)內(nèi)自建證書(shū)，并支持合并多條證書(shū)鏈生成完整證書(shū)。同時(shí)，系統(tǒng)可基于會(huì)話和負(fù)載均衡調(diào)度資源服務(wù)器，以提升用戶訪問(wèn)體驗(yàn)[1-2]。

使用反向代理技術(shù)可以支持IPv4與IPv6資源的相互轉(zhuǎn)換，將IPv4/IPv6資源轉(zhuǎn)為IPv6/IPv4為用戶提供服務(wù)。使用反向代理軟件是老業(yè)務(wù)系統(tǒng)支持IPv6訪問(wèn)的最簡(jiǎn)單方案。用戶通過(guò)IPv6地址發(fā)出訪問(wèn)請(qǐng)求，直接通過(guò)Nginx反向代理軟件轉(zhuǎn)發(fā)給指定的不支持IPv6地址的服務(wù)器，網(wǎng)站對(duì)Nginx發(fā)過(guò)來(lái)的HTTP請(qǐng)求做出回應(yīng)，回應(yīng)數(shù)據(jù)到達(dá)Nginx代理服務(wù)器后，經(jīng)過(guò)Nginx軟件轉(zhuǎn)換并進(jìn)行IPv6請(qǐng)求回復(fù)。其實(shí)現(xiàn)了代理功能，同時(shí)滿足IPv6網(wǎng)絡(luò)用戶訪問(wèn)IPv4業(yè)務(wù)系統(tǒng)的需求，實(shí)現(xiàn)了二者的無(wú)感鏈接。如圖1所示。

3.3組合方案的特點(diǎn)

“WebVPN+反向代理”（基于Nginx）組合方案不同于傳統(tǒng)的VPN和Nginx方案，基于零信任的理念擴(kuò)展成為6A，提供了更多的功能以及業(yè)務(wù)。從Account（賬號(hào)即主體）、Application（應(yīng)用即客體）、Authentication（認(rèn)證）、Authorization（授權(quán)）、Access Control（訪問(wèn)控制）、Auditing（審計(jì)）六個(gè)方面來(lái)提供零信任安全防護(hù)措施。從維度上，通過(guò)一快一慢的方式組合完成業(yè)務(wù)的安全保障?？斓姆矫媸强爝B接、快判斷，在存在惡意風(fēng)險(xiǎn)時(shí)快速做出處理，通過(guò)SSL加密，協(xié)議隔離、可信令牌授權(quán)、隱藏業(yè)務(wù)拓?fù)湟约盎诮巧木W(wǎng)絡(luò)路由來(lái)保障數(shù)據(jù)傳輸?shù)陌踩?，并通過(guò)對(duì)用戶的身份統(tǒng)一管理、設(shè)置細(xì)粒度的訪問(wèn)控制、對(duì)數(shù)據(jù)進(jìn)行可靠備份、多因素認(rèn)證等方式來(lái)保障用戶的安全性。慢的方面是慢審計(jì)、深審計(jì)，事后對(duì)安全事件進(jìn)行更加細(xì)致的審計(jì)分析可以對(duì)潛在的風(fēng)險(xiǎn)進(jìn)行排查和清零，通過(guò)全量的訪問(wèn)日志、完整的操作錄屏、傳輸文件，以及密碼合規(guī)性進(jìn)行審計(jì)，以找出對(duì)安全事件進(jìn)行精細(xì)溯源，并通過(guò)對(duì)日志數(shù)據(jù)的風(fēng)險(xiǎn)賬號(hào)分析、登錄行為分析、惡意訪問(wèn)分析、訪問(wèn)終端分析，可以對(duì)潛在的風(fēng)險(xiǎn)進(jìn)行排查以及清零[3]。

4“WebVPN+反代”（基于Nginx）組合方案的優(yōu)勢(shì)

通過(guò)部署實(shí)施“WebVPN+反代”（基于Nginx）組合零信任安全方案，不僅可以做到安全方面的保障，在易用性方面也會(huì)大幅提升用戶的使用感受，其在部署后，和原有用戶的操作邏輯完全一致，不會(huì)增加額外的復(fù)雜操作，從而使用戶可以無(wú)感知地進(jìn)行安全訪問(wèn)。對(duì)管理員來(lái)說(shuō)，所有用戶流量都可以進(jìn)行信任評(píng)估。該方案不僅支持PC端對(duì)接統(tǒng)一身份認(rèn)證系統(tǒng)的無(wú)感知訪問(wèn)，還支持既有統(tǒng)一身份認(rèn)證，同時(shí)在使用企業(yè)微信等移動(dòng)門(mén)戶的無(wú)感知訪問(wèn)時(shí)，可以直接在企業(yè)微信的工作臺(tái)上，點(diǎn)擊具體業(yè)務(wù)系統(tǒng)，便可以直接進(jìn)入業(yè)務(wù)系統(tǒng)，同時(shí)整個(gè)業(yè)務(wù)數(shù)據(jù)的流通都需要經(jīng)過(guò)安全系統(tǒng)進(jìn)行信任評(píng)估，以及應(yīng)用授權(quán)后，才會(huì)對(duì)用戶的訪問(wèn)進(jìn)行放行。對(duì)于用戶來(lái)說(shuō)，在訪問(wèn)某個(gè)業(yè)務(wù)系統(tǒng)時(shí)，系統(tǒng)進(jìn)行零信任的評(píng)估，若沒(méi)有進(jìn)行認(rèn)證授權(quán)，則會(huì)通過(guò)資源訪問(wèn)控制系統(tǒng)發(fā)起單點(diǎn)認(rèn)證，單點(diǎn)認(rèn)證由統(tǒng)一身份認(rèn)證系統(tǒng)處理賬號(hào)和三方系統(tǒng)（如企業(yè)微信）數(shù)據(jù)互通后，由三方系統(tǒng)進(jìn)行用戶身份認(rèn)證，認(rèn)證完成后，通過(guò)資源訪問(wèn)控制系統(tǒng)來(lái)放行該用戶資源的可信訪問(wèn)。同時(shí)，因?yàn)樵撚脩羰峭ㄟ^(guò)統(tǒng)～身份認(rèn)證的，在訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)，可以做到一次認(rèn)證并能夠進(jìn)行持續(xù)訪問(wèn)，由此表明用戶的實(shí)際訪問(wèn)效果和原有方式是一致的，實(shí)現(xiàn)了用戶無(wú)感知訪問(wèn)效果。

5結(jié)束語(yǔ)

通過(guò)部署實(shí)施“WebVPN+反代”（基于Nginx）組合零信任安全方案，既解決了本校師生訪問(wèn)校內(nèi)資源的權(quán)限便捷安全問(wèn)題，又解決了本校資源互聯(lián)網(wǎng)發(fā)布控制問(wèn)題，同時(shí)解決了校內(nèi)資源IPV6發(fā)布、HTTPS等基礎(chǔ)問(wèn)題，該組合方案對(duì)于高校Web資源的發(fā)布、管理、訪問(wèn)、安全都能基本兼顧，具有一定的實(shí)際意義。