陳志飛

摘要：隨著數(shù)字經(jīng)濟社會的發(fā)展和新基建的廣泛應(yīng)用，企業(yè)安全領(lǐng)域基于邊界模型建設(shè)的安全保護體系在面臨內(nèi)部威脅、數(shù)據(jù)泄漏風險加劇等方面的手段機制存在不足。本文提出了一種基于“IAM+SDP+MSG”的零信任安全系統(tǒng)，實現(xiàn)對南北向流量和東西向流量進行細粒度管理，并對該系統(tǒng)適用的應(yīng)用場景進行了分析，為企業(yè)數(shù)據(jù)安全防護能力提升提供支撐。

關(guān)鍵字：零信任；SDP；數(shù)據(jù)安全；安防

引言

數(shù)據(jù)是數(shù)字經(jīng)濟時代的重要生產(chǎn)力要素，其安全性同時也是數(shù)字經(jīng)濟發(fā)展的前提和必要的基礎(chǔ)條件。企業(yè)的網(wǎng)絡(luò)與數(shù)據(jù)安全經(jīng)過多年發(fā)展，已經(jīng)建立了基礎(chǔ)的安全保護體系，但隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)攻擊呈常態(tài)化趨勢，傳統(tǒng)的防護手段顯得力不從心。面對當前日益嚴峻的安全挑戰(zhàn)，企業(yè)需要改進保護思路，由被動向主動轉(zhuǎn)變，建立主動的縱深安全防御體系[1]。

1. 企業(yè)數(shù)據(jù)安全面臨的挑戰(zhàn)

隨著企業(yè)數(shù)字化和數(shù)據(jù)化的快速發(fā)展，企業(yè)的數(shù)據(jù)量呈幾何倍數(shù)增長。保障海量、異構(gòu)數(shù)據(jù)的安全性給企業(yè)數(shù)據(jù)安防帶來了新機遇和巨大挑戰(zhàn)[1-2]。當前企業(yè)網(wǎng)絡(luò)安全邊界日益模糊，移動互聯(lián)網(wǎng)和云計算等技術(shù)導致物理邊界和邏輯邊界變得模糊不清，傳統(tǒng)的安全架構(gòu)和防護系統(tǒng)已不適應(yīng)當前需求。此外，企業(yè)還面臨著終端數(shù)據(jù)泄露的風險，攻擊者獲取用戶終端權(quán)限后可能導致巨大的數(shù)據(jù)安全風險，而企業(yè)內(nèi)部用戶的有意或誤操作也可能導致數(shù)據(jù)泄露。同時，企業(yè)網(wǎng)絡(luò)的內(nèi)部威脅控制能力不足，傳統(tǒng)安全防護系統(tǒng)對內(nèi)網(wǎng)中的用戶和設(shè)備默認授信，容易給企業(yè)帶來很大損失[3]。面對網(wǎng)絡(luò)暴露面不斷擴大，復雜多變且日益增多的網(wǎng)絡(luò)攻擊手段，企業(yè)的數(shù)據(jù)安全防護已經(jīng)不能單純按照傳統(tǒng)的安全防護思路進行[4-5]。需要采用零信任技術(shù)，通過持續(xù)認證設(shè)備和用戶身份，實現(xiàn)細粒度的訪問控制，提升數(shù)據(jù)安全防護能力。

2. 零信任架構(gòu)及技術(shù)

零信任架構(gòu)（ZTA）[6-7]是一種基于零信任理念的網(wǎng)絡(luò)安全新架構(gòu)，集合了軟件定義邊界（SDP）、統(tǒng)一身份與訪問管理（IAM）以及微隔離（MSG）這三大技術(shù)組件。SDP通過隱藏網(wǎng)絡(luò)、只允許經(jīng)過身份和設(shè)備認證的用戶進入內(nèi)網(wǎng)來保護企業(yè)應(yīng)用系統(tǒng)等資源；IAM作為新一代身份認證與資源整合產(chǎn)品，加強了安全性，支持快速有效的業(yè)務(wù)訪問，并降低了運營成本；MSG則通過細粒度控制流量訪問、將攻擊限制在有限范圍內(nèi)以及靈活部署安全策略來提供安全控制服務(wù)。隨著數(shù)字經(jīng)濟社會的發(fā)展，云、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、移動等新基建的廣泛應(yīng)用，邊界防護已經(jīng)無法滿足安全防護的需求，零信任理念逐漸被推廣和應(yīng)用。然而，在國內(nèi)市場，零信任產(chǎn)品往往只側(cè)重于某一項或兩項技術(shù)的研究和應(yīng)用，還沒有出現(xiàn)整合這三種技術(shù)架構(gòu)優(yōu)勢的產(chǎn)品。因此，本文提出了一種基于“IAM+SDP+MSG”三位一體技術(shù)架構(gòu)的零信任安全系統(tǒng)，為企業(yè)構(gòu)建安全可信的主動防御體系提供支持能力。

3. 一種基于“IAM+SDP+MSG”技術(shù)架構(gòu)的零信任安全系統(tǒng)框架

本文提出的集IAM、SDP和MSG三類技術(shù)于一體的零信任安全系統(tǒng)，包括SDP客戶端、SDP控制中心、SDP控制器、SDP行為審計中心、應(yīng)用網(wǎng)關(guān)、API微服務(wù)網(wǎng)關(guān)、IAM、微隔離等，如圖1所示。

3.1 IAM子系統(tǒng)

IAM子系統(tǒng)是為企業(yè)應(yīng)用系統(tǒng)提供標準的用戶管理服務(wù)，主要包括統(tǒng)一身份管理系統(tǒng)、統(tǒng)一認證管理系統(tǒng)、審計與查詢統(tǒng)計系統(tǒng)、移動安全與融合認證系統(tǒng)和身份與認證數(shù)據(jù)庫等。

（1）統(tǒng)一身份管理系統(tǒng)。對用戶及賬號進行管理及提供用戶自助服務(wù)，實現(xiàn)分級分權(quán)管理；支持各應(yīng)用系統(tǒng)進行用戶的自主維護，并實現(xiàn)統(tǒng)一用戶自助服務(wù)。

（2）統(tǒng)一認證管理系統(tǒng)。實現(xiàn)單點登錄功能，提供統(tǒng)一的認證服務(wù)。

（3）審計與查詢統(tǒng)計系統(tǒng)。對用戶的操作、登錄和認證等行為進行審計，同時支持審計管理員的查詢統(tǒng)計等審計管理操作。

（4）移動安全與融合認證平臺。實現(xiàn)移動端APP的統(tǒng)一認證和單點登錄，提供指紋、掃碼、動態(tài)令牌等多因素認證，同時實現(xiàn)移動端與PC的融合認證。

（5）身份與認證數(shù)據(jù)庫。存儲所有用戶信息及賬號，包括個人與組織機構(gòu)信息的存儲以及賬號的集中存儲。

（6）接口服務(wù)。包括身份管理接口、認證管理接口等，并且接口以SDK等多種方式提供。

3.2 SDP子系統(tǒng)

SDP子系統(tǒng)包括SDP客戶端、SDP控制器、SDP控制中心、SDP行為審計中心、應(yīng)用網(wǎng)關(guān)、API微服務(wù)網(wǎng)關(guān)等。

（1）SDP客戶端。作為訪問的入口，用戶通過SDP客戶端輸入自己的有效身份信息，支持對接IAM的認證登錄方式，同時實現(xiàn)對用戶終端的環(huán)境感知，并按照評價基線對環(huán)境風險進行提示和打分。

（2）SDP控制器。對接SDP客戶端的訪問，控制器調(diào)用零信任認證服務(wù)并推送認證登錄頁，同時在SDP客戶端的身份校驗通過后，返回當前用戶可訪問的應(yīng)用列表。

（3）SDP控制中心。SDP控制中心支持用戶的身份認證與授權(quán)、網(wǎng)關(guān)與應(yīng)用的接入、服務(wù)的訪問權(quán)限控制、訪問策略控制以及審計管理等功能。

（4）SDP行為審計中心。SDP行為審計中心基于業(yè)務(wù)訪問行為規(guī)范，對各類業(yè)務(wù)行為進行審計，并提供異常行為分析、發(fā)現(xiàn)、告警和響應(yīng)的能力。

（5）應(yīng)用網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)負責網(wǎng)絡(luò)隱藏，為后端應(yīng)用資源提供安全防護，動態(tài)調(diào)整用戶授權(quán)策略，縮小網(wǎng)絡(luò)暴露面。

（6）API微服務(wù)網(wǎng)關(guān)。提供統(tǒng)一的API調(diào)用入口，對API訪問實現(xiàn)細粒度強制訪問控制。

3.3 MSG子系統(tǒng)

MSG子系統(tǒng)面向業(yè)務(wù)應(yīng)用，實現(xiàn)東西向流量精細化隔離和訪問控制，由工作負載端和管理平臺組成。

（1）工作負載端。工作負載負責進行必要信息采集，包括系統(tǒng)信息、端口信息、網(wǎng)絡(luò)地址信息、訪問流量信息，同時執(zhí)行管理平臺下發(fā)的隔離策略。

（2）管理平臺。管理平臺接收來自工作負載端的上報信息，進行業(yè)務(wù)流量分析，調(diào)整防護策略。

3.4 基于“IAM+SDP+MSG”技術(shù)架構(gòu)的零信任安全防護系統(tǒng)特點

三位一體零信任安全系統(tǒng)是基于零信任理念的，通過不同的組件能力的結(jié)合，實現(xiàn)用戶對應(yīng)用系統(tǒng)的安全訪問，并提升整個安全體系的防護能力，具備網(wǎng)絡(luò)隱身、身份認證、最小授權(quán)、風險感知、持續(xù)評估、動態(tài)策略、服務(wù)隔離和全面審計等特點。

4. 零信任安全系統(tǒng)在企業(yè)數(shù)據(jù)安防的應(yīng)用場景分析及典型應(yīng)用案例

基于“IAM+SDP+MSG”技術(shù)架構(gòu)的三位一體零信任安全防護系統(tǒng)，支持企業(yè)側(cè)的多種數(shù)據(jù)安全防護場景，如企業(yè)網(wǎng)訪問業(yè)務(wù)場景、云桌面訪問業(yè)務(wù)場景、遠程運維場景等。

4.1 應(yīng)用場景分析

4.1.1 企業(yè)網(wǎng)訪問業(yè)務(wù)系統(tǒng)場景

在企業(yè)網(wǎng)絡(luò)訪問業(yè)務(wù)場景中，可以通過整合IAM、SDP和MSG技術(shù)，實現(xiàn)對用戶、應(yīng)用身份的統(tǒng)一管理和認證，統(tǒng)一收斂各類業(yè)務(wù)訪問入口，以及橫向隔離不同業(yè)務(wù)之間的安全控制。通過收斂業(yè)務(wù)應(yīng)用的訪問入口，非授權(quán)人員和風險人員將被有效阻擋在業(yè)務(wù)應(yīng)用之外，而合法授權(quán)用戶則可以享有與本地用戶相同的訪問體驗。同時，通過細粒度的訪問控制，可以確保數(shù)據(jù)訪問的可信性和合規(guī)性。

4.1.2 云桌面訪問業(yè)務(wù)系統(tǒng)場景

零信任安全系統(tǒng)適用于企業(yè)業(yè)務(wù)部署在公有云和私有云環(huán)境的場景。該系統(tǒng)通過整合IAM、SDP和MSG技術(shù)，實現(xiàn)對用戶、應(yīng)用身份的統(tǒng)一管理和認證，在云上統(tǒng)一收斂各業(yè)務(wù)訪問入口，并在云上實現(xiàn)業(yè)務(wù)間的橫向隔離。通過安裝帶有SDP客戶端且經(jīng)過安全基線檢查的客戶端，才能發(fā)起SPA敲門請求，并只有合法的用戶才能正常訪問業(yè)務(wù)系統(tǒng)。同時，通過控制平面和數(shù)據(jù)平面的分離，該系統(tǒng)支持多云/多數(shù)據(jù)中心的統(tǒng)一接入，統(tǒng)一身份認證、授權(quán)鑒權(quán)和資源訪問控制，提供一致的用戶訪問權(quán)限等功能。

4.1.3 遠程運維場景

零信任系統(tǒng)在遠程運維場景中同樣適用?？梢酝ㄟ^限制不同類型的遠程運維人員僅能訪問其需要進行運維的系統(tǒng)來實現(xiàn)安全控制。具體流程包括：在遠程運維開始前，零信任安全系統(tǒng)會對運維人員的身份和運維終端進行合法性校驗；在遠程運維服務(wù)過程中，持續(xù)評估引擎會對運維終端進行持續(xù)信任評估，并記錄接入、訪問、操作和退出等行為；在遠程運維結(jié)束后，零信任安全系統(tǒng)提供全面的審計功能，為管理員提供豐富的審計數(shù)據(jù)。

4.2 典型應(yīng)用案例

本文提出的基于“IAM+SDP+MSG”三位一體技術(shù)架構(gòu)的零信任安全系統(tǒng)已在某企業(yè)成功落地實踐驗證。系統(tǒng)能夠為企業(yè)提供細粒度訪問控制能力，解決應(yīng)用層跨部門數(shù)據(jù)安全交換需求；對不同部門、運維人員的身份進行持續(xù)評估動態(tài)授權(quán)；收縮業(yè)務(wù)暴露面，提升業(yè)務(wù)訪問和運維訪問安全；為企業(yè)構(gòu)建身份安全、終端安全、鏈路安全、服務(wù)安全的全方位、立體化安全防護體系。每月攔截有效攻擊達10萬次以上，并實現(xiàn)相關(guān)攻擊IP的自動阻斷功能。

結(jié)語

隨著數(shù)字中國戰(zhàn)略的推進和國家對數(shù)據(jù)安全的重視程度提升，企業(yè)將面臨越來越大的數(shù)據(jù)安全合規(guī)監(jiān)管壓力。零信任技術(shù)作為傳統(tǒng)防護技術(shù)和系統(tǒng)的有益補充，特別是集成了“IAM+SDP+MSG”三類技術(shù)的零信任安全系統(tǒng)，在提升企業(yè)數(shù)據(jù)安全方面發(fā)揮了顯著作用。它可以建立更精細的訪問控制，禁止橫向越權(quán)訪問，確保各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全，實現(xiàn) API 級別的訪問控制，保障內(nèi)部訪問的安全性；在數(shù)據(jù)流動過程中，還能進行實時檢查和控制，隱藏企業(yè)網(wǎng)絡(luò)，減少互聯(lián)網(wǎng)暴露面，降低數(shù)據(jù)泄露風險等。

參考文獻：

[1]李驕陽，沈澤.“數(shù)字經(jīng)濟”來臨，安防領(lǐng)域信息安全發(fā)展現(xiàn)狀與挑戰(zhàn)[J].中國安防，2021，（6）：58-62.

[2]田由輝.基于零信任架構(gòu)的網(wǎng)絡(luò)安全防護思路[J].信息技術(shù)與信息化，2020，（5）：154-157.

[3]宋憲榮，張猛.網(wǎng)絡(luò)可信身份認證技術(shù)問題研究[J].網(wǎng)絡(luò)空間安全，2018，9（3）：69-77.

[4]Rose S，Borchert O，Mitchell S，et al.Zero Trust Architecture[M].Gaithersburg：National Institute of Standards and Technology，2020.

[5]陳長松.零信任架構(gòu)下的數(shù)據(jù)安全縱深防御體系研究[J].信息網(wǎng)絡(luò)安全，2021（S1）：105-108.

[6]安全牛.“零信任”安全架構(gòu)將成為網(wǎng)絡(luò)安全流行框架之一[EB/OL].（2018-1-22）[2020-7-15].https：//www.aqniu.com／learn/31075.html.

[7]程春蕊，劉萬軍.高內(nèi)聚低耦合軟件架構(gòu)的構(gòu)建[J].計算機系統(tǒng)應(yīng)用，2009，18（7）： 19-22.

作者簡介：陳志飛，本科，中級工程師，研究方向：大數(shù)據(jù)、網(wǎng)絡(luò)安全、數(shù)據(jù)安全。