陳志飛

摘要：隨著數(shù)字經(jīng)濟(jì)社會(huì)的發(fā)展和新基建的廣泛應(yīng)用，企業(yè)安全領(lǐng)域基于邊界模型建設(shè)的安全保護(hù)體系在面臨內(nèi)部威脅、數(shù)據(jù)泄漏風(fēng)險(xiǎn)加劇等方面的手段機(jī)制存在不足。本文提出了一種基于“IAM+SDP+MSG”的零信任安全系統(tǒng)，實(shí)現(xiàn)對(duì)南北向流量和東西向流量進(jìn)行細(xì)粒度管理，并對(duì)該系統(tǒng)適用的應(yīng)用場(chǎng)景進(jìn)行了分析，為企業(yè)數(shù)據(jù)安全防護(hù)能力提升提供支撐。

關(guān)鍵字：零信任；SDP；數(shù)據(jù)安全；安防

引言

數(shù)據(jù)是數(shù)字經(jīng)濟(jì)時(shí)代的重要生產(chǎn)力要素，其安全性同時(shí)也是數(shù)字經(jīng)濟(jì)發(fā)展的前提和必要的基礎(chǔ)條件。企業(yè)的網(wǎng)絡(luò)與數(shù)據(jù)安全經(jīng)過(guò)多年發(fā)展，已經(jīng)建立了基礎(chǔ)的安全保護(hù)體系，但隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)攻擊呈常態(tài)化趨勢(shì)，傳統(tǒng)的防護(hù)手段顯得力不從心。面對(duì)當(dāng)前日益嚴(yán)峻的安全挑戰(zhàn)，企業(yè)需要改進(jìn)保護(hù)思路，由被動(dòng)向主動(dòng)轉(zhuǎn)變，建立主動(dòng)的縱深安全防御體系[1]。

1. 企業(yè)數(shù)據(jù)安全面臨的挑戰(zhàn)

隨著企業(yè)數(shù)字化和數(shù)據(jù)化的快速發(fā)展，企業(yè)的數(shù)據(jù)量呈幾何倍數(shù)增長(zhǎng)。保障海量、異構(gòu)數(shù)據(jù)的安全性給企業(yè)數(shù)據(jù)安防帶來(lái)了新機(jī)遇和巨大挑戰(zhàn)[1-2]。當(dāng)前企業(yè)網(wǎng)絡(luò)安全邊界日益模糊，移動(dòng)互聯(lián)網(wǎng)和云計(jì)算等技術(shù)導(dǎo)致物理邊界和邏輯邊界變得模糊不清，傳統(tǒng)的安全架構(gòu)和防護(hù)系統(tǒng)已不適應(yīng)當(dāng)前需求。此外，企業(yè)還面臨著終端數(shù)據(jù)泄露的風(fēng)險(xiǎn)，攻擊者獲取用戶終端權(quán)限后可能導(dǎo)致巨大的數(shù)據(jù)安全風(fēng)險(xiǎn)，而企業(yè)內(nèi)部用戶的有意或誤操作也可能導(dǎo)致數(shù)據(jù)泄露。同時(shí)，企業(yè)網(wǎng)絡(luò)的內(nèi)部威脅控制能力不足，傳統(tǒng)安全防護(hù)系統(tǒng)對(duì)內(nèi)網(wǎng)中的用戶和設(shè)備默認(rèn)授信，容易給企業(yè)帶來(lái)很大損失[3]。面對(duì)網(wǎng)絡(luò)暴露面不斷擴(kuò)大，復(fù)雜多變且日益增多的網(wǎng)絡(luò)攻擊手段，企業(yè)的數(shù)據(jù)安全防護(hù)已經(jīng)不能單純按照傳統(tǒng)的安全防護(hù)思路進(jìn)行[4-5]。需要采用零信任技術(shù)，通過(guò)持續(xù)認(rèn)證設(shè)備和用戶身份，實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制，提升數(shù)據(jù)安全防護(hù)能力。

2. 零信任架構(gòu)及技術(shù)

零信任架構(gòu)（ZTA）[6-7]是一種基于零信任理念的網(wǎng)絡(luò)安全新架構(gòu)，集合了軟件定義邊界（SDP）、統(tǒng)一身份與訪問(wèn)管理（IAM）以及微隔離（MSG）這三大技術(shù)組件。SDP通過(guò)隱藏網(wǎng)絡(luò)、只允許經(jīng)過(guò)身份和設(shè)備認(rèn)證的用戶進(jìn)入內(nèi)網(wǎng)來(lái)保護(hù)企業(yè)應(yīng)用系統(tǒng)等資源；IAM作為新一代身份認(rèn)證與資源整合產(chǎn)品，加強(qiáng)了安全性，支持快速有效的業(yè)務(wù)訪問(wèn)，并降低了運(yùn)營(yíng)成本；MSG則通過(guò)細(xì)粒度控制流量訪問(wèn)、將攻擊限制在有限范圍內(nèi)以及靈活部署安全策略來(lái)提供安全控制服務(wù)。隨著數(shù)字經(jīng)濟(jì)社會(huì)的發(fā)展，云、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、移動(dòng)等新基建的廣泛應(yīng)用，邊界防護(hù)已經(jīng)無(wú)法滿足安全防護(hù)的需求，零信任理念逐漸被推廣和應(yīng)用。然而，在國(guó)內(nèi)市場(chǎng)，零信任產(chǎn)品往往只側(cè)重于某一項(xiàng)或兩項(xiàng)技術(shù)的研究和應(yīng)用，還沒(méi)有出現(xiàn)整合這三種技術(shù)架構(gòu)優(yōu)勢(shì)的產(chǎn)品。因此，本文提出了一種基于“IAM+SDP+MSG”三位一體技術(shù)架構(gòu)的零信任安全系統(tǒng)，為企業(yè)構(gòu)建安全可信的主動(dòng)防御體系提供支持能力。

3. 一種基于“IAM+SDP+MSG”技術(shù)架構(gòu)的零信任安全系統(tǒng)框架

本文提出的集IAM、SDP和MSG三類技術(shù)于一體的零信任安全系統(tǒng)，包括SDP客戶端、SDP控制中心、SDP控制器、SDP行為審計(jì)中心、應(yīng)用網(wǎng)關(guān)、API微服務(wù)網(wǎng)關(guān)、IAM、微隔離等，如圖1所示。

3.1 IAM子系統(tǒng)

IAM子系統(tǒng)是為企業(yè)應(yīng)用系統(tǒng)提供標(biāo)準(zhǔn)的用戶管理服務(wù)，主要包括統(tǒng)一身份管理系統(tǒng)、統(tǒng)一認(rèn)證管理系統(tǒng)、審計(jì)與查詢統(tǒng)計(jì)系統(tǒng)、移動(dòng)安全與融合認(rèn)證系統(tǒng)和身份與認(rèn)證數(shù)據(jù)庫(kù)等。

（1）統(tǒng)一身份管理系統(tǒng)。對(duì)用戶及賬號(hào)進(jìn)行管理及提供用戶自助服務(wù)，實(shí)現(xiàn)分級(jí)分權(quán)管理；支持各應(yīng)用系統(tǒng)進(jìn)行用戶的自主維護(hù)，并實(shí)現(xiàn)統(tǒng)一用戶自助服務(wù)。

（2）統(tǒng)一認(rèn)證管理系統(tǒng)。實(shí)現(xiàn)單點(diǎn)登錄功能，提供統(tǒng)一的認(rèn)證服務(wù)。

（3）審計(jì)與查詢統(tǒng)計(jì)系統(tǒng)。對(duì)用戶的操作、登錄和認(rèn)證等行為進(jìn)行審計(jì)，同時(shí)支持審計(jì)管理員的查詢統(tǒng)計(jì)等審計(jì)管理操作。

（4）移動(dòng)安全與融合認(rèn)證平臺(tái)。實(shí)現(xiàn)移動(dòng)端APP的統(tǒng)一認(rèn)證和單點(diǎn)登錄，提供指紋、掃碼、動(dòng)態(tài)令牌等多因素認(rèn)證，同時(shí)實(shí)現(xiàn)移動(dòng)端與PC的融合認(rèn)證。

（5）身份與認(rèn)證數(shù)據(jù)庫(kù)。存儲(chǔ)所有用戶信息及賬號(hào)，包括個(gè)人與組織機(jī)構(gòu)信息的存儲(chǔ)以及賬號(hào)的集中存儲(chǔ)。

（6）接口服務(wù)。包括身份管理接口、認(rèn)證管理接口等，并且接口以SDK等多種方式提供。

3.2 SDP子系統(tǒng)

SDP子系統(tǒng)包括SDP客戶端、SDP控制器、SDP控制中心、SDP行為審計(jì)中心、應(yīng)用網(wǎng)關(guān)、API微服務(wù)網(wǎng)關(guān)等。

（1）SDP客戶端。作為訪問(wèn)的入口，用戶通過(guò)SDP客戶端輸入自己的有效身份信息，支持對(duì)接IAM的認(rèn)證登錄方式，同時(shí)實(shí)現(xiàn)對(duì)用戶終端的環(huán)境感知，并按照評(píng)價(jià)基線對(duì)環(huán)境風(fēng)險(xiǎn)進(jìn)行提示和打分。

（2）SDP控制器。對(duì)接SDP客戶端的訪問(wèn)，控制器調(diào)用零信任認(rèn)證服務(wù)并推送認(rèn)證登錄頁(yè)，同時(shí)在SDP客戶端的身份校驗(yàn)通過(guò)后，返回當(dāng)前用戶可訪問(wèn)的應(yīng)用列表。

（3）SDP控制中心。SDP控制中心支持用戶的身份認(rèn)證與授權(quán)、網(wǎng)關(guān)與應(yīng)用的接入、服務(wù)的訪問(wèn)權(quán)限控制、訪問(wèn)策略控制以及審計(jì)管理等功能。

（4）SDP行為審計(jì)中心。SDP行為審計(jì)中心基于業(yè)務(wù)訪問(wèn)行為規(guī)范，對(duì)各類業(yè)務(wù)行為進(jìn)行審計(jì)，并提供異常行為分析、發(fā)現(xiàn)、告警和響應(yīng)的能力。

（5）應(yīng)用網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)負(fù)責(zé)網(wǎng)絡(luò)隱藏，為后端應(yīng)用資源提供安全防護(hù)，動(dòng)態(tài)調(diào)整用戶授權(quán)策略，縮小網(wǎng)絡(luò)暴露面。

（6）API微服務(wù)網(wǎng)關(guān)。提供統(tǒng)一的API調(diào)用入口，對(duì)API訪問(wèn)實(shí)現(xiàn)細(xì)粒度強(qiáng)制訪問(wèn)控制。

3.3 MSG子系統(tǒng)

MSG子系統(tǒng)面向業(yè)務(wù)應(yīng)用，實(shí)現(xiàn)東西向流量精細(xì)化隔離和訪問(wèn)控制，由工作負(fù)載端和管理平臺(tái)組成。

（1）工作負(fù)載端。工作負(fù)載負(fù)責(zé)進(jìn)行必要信息采集，包括系統(tǒng)信息、端口信息、網(wǎng)絡(luò)地址信息、訪問(wèn)流量信息，同時(shí)執(zhí)行管理平臺(tái)下發(fā)的隔離策略。

（2）管理平臺(tái)。管理平臺(tái)接收來(lái)自工作負(fù)載端的上報(bào)信息，進(jìn)行業(yè)務(wù)流量分析，調(diào)整防護(hù)策略。

3.4 基于“IAM+SDP+MSG”技術(shù)架構(gòu)的零信任安全防護(hù)系統(tǒng)特點(diǎn)

三位一體零信任安全系統(tǒng)是基于零信任理念的，通過(guò)不同的組件能力的結(jié)合，實(shí)現(xiàn)用戶對(duì)應(yīng)用系統(tǒng)的安全訪問(wèn)，并提升整個(gè)安全體系的防護(hù)能力，具備網(wǎng)絡(luò)隱身、身份認(rèn)證、最小授權(quán)、風(fēng)險(xiǎn)感知、持續(xù)評(píng)估、動(dòng)態(tài)策略、服務(wù)隔離和全面審計(jì)等特點(diǎn)。

4. 零信任安全系統(tǒng)在企業(yè)數(shù)據(jù)安防的應(yīng)用場(chǎng)景分析及典型應(yīng)用案例

基于“IAM+SDP+MSG”技術(shù)架構(gòu)的三位一體零信任安全防護(hù)系統(tǒng)，支持企業(yè)側(cè)的多種數(shù)據(jù)安全防護(hù)場(chǎng)景，如企業(yè)網(wǎng)訪問(wèn)業(yè)務(wù)場(chǎng)景、云桌面訪問(wèn)業(yè)務(wù)場(chǎng)景、遠(yuǎn)程運(yùn)維場(chǎng)景等。

4.1 應(yīng)用場(chǎng)景分析

4.1.1 企業(yè)網(wǎng)訪問(wèn)業(yè)務(wù)系統(tǒng)場(chǎng)景

在企業(yè)網(wǎng)絡(luò)訪問(wèn)業(yè)務(wù)場(chǎng)景中，可以通過(guò)整合IAM、SDP和MSG技術(shù)，實(shí)現(xiàn)對(duì)用戶、應(yīng)用身份的統(tǒng)一管理和認(rèn)證，統(tǒng)一收斂各類業(yè)務(wù)訪問(wèn)入口，以及橫向隔離不同業(yè)務(wù)之間的安全控制。通過(guò)收斂業(yè)務(wù)應(yīng)用的訪問(wèn)入口，非授權(quán)人員和風(fēng)險(xiǎn)人員將被有效阻擋在業(yè)務(wù)應(yīng)用之外，而合法授權(quán)用戶則可以享有與本地用戶相同的訪問(wèn)體驗(yàn)。同時(shí)，通過(guò)細(xì)粒度的訪問(wèn)控制，可以確保數(shù)據(jù)訪問(wèn)的可信性和合規(guī)性。

4.1.2 云桌面訪問(wèn)業(yè)務(wù)系統(tǒng)場(chǎng)景

零信任安全系統(tǒng)適用于企業(yè)業(yè)務(wù)部署在公有云和私有云環(huán)境的場(chǎng)景。該系統(tǒng)通過(guò)整合IAM、SDP和MSG技術(shù)，實(shí)現(xiàn)對(duì)用戶、應(yīng)用身份的統(tǒng)一管理和認(rèn)證，在云上統(tǒng)一收斂各業(yè)務(wù)訪問(wèn)入口，并在云上實(shí)現(xiàn)業(yè)務(wù)間的橫向隔離。通過(guò)安裝帶有SDP客戶端且經(jīng)過(guò)安全基線檢查的客戶端，才能發(fā)起SPA敲門請(qǐng)求，并只有合法的用戶才能正常訪問(wèn)業(yè)務(wù)系統(tǒng)。同時(shí)，通過(guò)控制平面和數(shù)據(jù)平面的分離，該系統(tǒng)支持多云/多數(shù)據(jù)中心的統(tǒng)一接入，統(tǒng)一身份認(rèn)證、授權(quán)鑒權(quán)和資源訪問(wèn)控制，提供一致的用戶訪問(wèn)權(quán)限等功能。

4.1.3 遠(yuǎn)程運(yùn)維場(chǎng)景

零信任系統(tǒng)在遠(yuǎn)程運(yùn)維場(chǎng)景中同樣適用?？梢酝ㄟ^(guò)限制不同類型的遠(yuǎn)程運(yùn)維人員僅能訪問(wèn)其需要進(jìn)行運(yùn)維的系統(tǒng)來(lái)實(shí)現(xiàn)安全控制。具體流程包括：在遠(yuǎn)程運(yùn)維開始前，零信任安全系統(tǒng)會(huì)對(duì)運(yùn)維人員的身份和運(yùn)維終端進(jìn)行合法性校驗(yàn)；在遠(yuǎn)程運(yùn)維服務(wù)過(guò)程中，持續(xù)評(píng)估引擎會(huì)對(duì)運(yùn)維終端進(jìn)行持續(xù)信任評(píng)估，并記錄接入、訪問(wèn)、操作和退出等行為；在遠(yuǎn)程運(yùn)維結(jié)束后，零信任安全系統(tǒng)提供全面的審計(jì)功能，為管理員提供豐富的審計(jì)數(shù)據(jù)。

4.2 典型應(yīng)用案例

本文提出的基于“IAM+SDP+MSG”三位一體技術(shù)架構(gòu)的零信任安全系統(tǒng)已在某企業(yè)成功落地實(shí)踐驗(yàn)證。系統(tǒng)能夠?yàn)槠髽I(yè)提供細(xì)粒度訪問(wèn)控制能力，解決應(yīng)用層跨部門數(shù)據(jù)安全交換需求；對(duì)不同部門、運(yùn)維人員的身份進(jìn)行持續(xù)評(píng)估動(dòng)態(tài)授權(quán)；收縮業(yè)務(wù)暴露面，提升業(yè)務(wù)訪問(wèn)和運(yùn)維訪問(wèn)安全；為企業(yè)構(gòu)建身份安全、終端安全、鏈路安全、服務(wù)安全的全方位、立體化安全防護(hù)體系。每月攔截有效攻擊達(dá)10萬(wàn)次以上，并實(shí)現(xiàn)相關(guān)攻擊IP的自動(dòng)阻斷功能。

結(jié)語(yǔ)

隨著數(shù)字中國(guó)戰(zhàn)略的推進(jìn)和國(guó)家對(duì)數(shù)據(jù)安全的重視程度提升，企業(yè)將面臨越來(lái)越大的數(shù)據(jù)安全合規(guī)監(jiān)管壓力。零信任技術(shù)作為傳統(tǒng)防護(hù)技術(shù)和系統(tǒng)的有益補(bǔ)充，特別是集成了“IAM+SDP+MSG”三類技術(shù)的零信任安全系統(tǒng)，在提升企業(yè)數(shù)據(jù)安全方面發(fā)揮了顯著作用。它可以建立更精細(xì)的訪問(wèn)控制，禁止橫向越權(quán)訪問(wèn)，確保各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全，實(shí)現(xiàn) API 級(jí)別的訪問(wèn)控制，保障內(nèi)部訪問(wèn)的安全性；在數(shù)據(jù)流動(dòng)過(guò)程中，還能進(jìn)行實(shí)時(shí)檢查和控制，隱藏企業(yè)網(wǎng)絡(luò)，減少互聯(lián)網(wǎng)暴露面，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)等。

參考文獻(xiàn)：

[1]李驕陽(yáng)，沈澤.“數(shù)字經(jīng)濟(jì)”來(lái)臨，安防領(lǐng)域信息安全發(fā)展現(xiàn)狀與挑戰(zhàn)[J].中國(guó)安防，2021，（6）：58-62.

[2]田由輝.基于零信任架構(gòu)的網(wǎng)絡(luò)安全防護(hù)思路[J].信息技術(shù)與信息化，2020，（5）：154-157.

[3]宋憲榮，張猛.網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)問(wèn)題研究[J].網(wǎng)絡(luò)空間安全，2018，9（3）：69-77.

[4]Rose S，Borchert O，Mitchell S，et al.Zero Trust Architecture[M].Gaithersburg：National Institute of Standards and Technology，2020.

[5]陳長(zhǎng)松.零信任架構(gòu)下的數(shù)據(jù)安全縱深防御體系研究[J].信息網(wǎng)絡(luò)安全，2021（S1）：105-108.

[6]安全牛.“零信任”安全架構(gòu)將成為網(wǎng)絡(luò)安全流行框架之一[EB/OL].（2018-1-22）[2020-7-15].https：//www.aqniu.com／learn/31075.html.

[7]程春蕊，劉萬(wàn)軍.高內(nèi)聚低耦合軟件架構(gòu)的構(gòu)建[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2009，18（7）： 19-22.

作者簡(jiǎn)介：陳志飛，本科，中級(jí)工程師，研究方向：大數(shù)據(jù)、網(wǎng)絡(luò)安全、數(shù)據(jù)安全。