文：賀贊賢，寧向宇，張增豹，李曉亮，鄭 凱丨北京京港地鐵有限公司

京港地鐵迅速推進業(yè)務(wù)的數(shù)字化轉(zhuǎn)型，秉承“以風(fēng)險為核心，以問題為導(dǎo)向”的核心理念，以“軟件定義邊界（SDP）+身份識別與訪問管理（IAM）”為核心，通過采用“持續(xù)信任評估”“動態(tài)訪問控制”等技術(shù)手段，提出構(gòu)建以身份為邊界的零信任安全治理理念，營造安全、可信的網(wǎng)絡(luò)訪問環(huán)境，實現(xiàn)暴露面收縮、訪問權(quán)限精細化管理，達到私有程序訪問邊界的動態(tài)控制，統(tǒng)一認(rèn)證和賬號權(quán)限管理，全面提升京港地鐵信息系統(tǒng)安全管理水平。

京港地鐵數(shù)字化轉(zhuǎn)型正在快速推進，業(yè)務(wù)模式也發(fā)生了根本性變化。隨著云上業(yè)務(wù)SaaS 化、敏捷化，用戶對從互聯(lián)網(wǎng)端訪問業(yè)務(wù)系統(tǒng)的訴求逐漸迫切，訪問方式更加多樣化。在業(yè)務(wù)開放層面，業(yè)務(wù)多元化讓網(wǎng)絡(luò)邊界變得模糊，傳統(tǒng)基于邊界的安全防護手段無法滿足安全合規(guī)要求。京港地鐵迅速推進業(yè)務(wù)的數(shù)字化轉(zhuǎn)型，通過采用“持續(xù)信任評估”“動態(tài)訪問控制”等技術(shù)手段，實現(xiàn)暴露面收縮、訪問權(quán)限精細化管理，達到私有程序訪問邊界的動態(tài)控制，統(tǒng)一認(rèn)證和賬號權(quán)限管理，全面提升京港地鐵信息系統(tǒng)安全管理水平。

京港地鐵秉承“以風(fēng)險為核心，以問題為導(dǎo)向”的核心理念，以“軟件定義邊界（SDP）+身份識別與訪問管理（IAM）”為核心，利用多源信任評估、動態(tài)訪問控制、可信業(yè)務(wù)訪問等安全服務(wù)能力，結(jié)合可擴展移動認(rèn)證、單點登錄、加密通訊、可視化監(jiān)管等功能，解決了京港地鐵私有應(yīng)用程序在混合云環(huán)境下的安全訪問需求。同時也由于傳統(tǒng)網(wǎng)絡(luò)安全邊界防護手段不足，提出構(gòu)建以身份為邊界的零信任安全治理理念，營造安全、可信的網(wǎng)絡(luò)訪問環(huán)境。

一、項目實現(xiàn)的主要目標(biāo)

一是基于零信任安全構(gòu)建動態(tài)風(fēng)險監(jiān)測，打造全方位的風(fēng)險管控。建設(shè)零信任一體化身份認(rèn)證體系，實現(xiàn)了以人為中心的應(yīng)用訪問形式，提供動態(tài)訪問控制、統(tǒng)一接入門戶、單點登錄(SSO)、統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、集中應(yīng)用授權(quán)、審計與分析等功能。讓認(rèn)證更便捷、身份更安全、管理更高效，也達到了安全可控的連接用戶和資源，一方面以身份管理為核心，結(jié)合終端設(shè)備、行為分析對用戶進行動態(tài)身份認(rèn)證，驗證身份和設(shè)備合規(guī)可信后建立加密隧道；另一方面，結(jié)合用戶可訪問的資源權(quán)限，限制資源可見性，劃分執(zhí)行任務(wù)的最小特權(quán)可見資源，最終形成一次安全的資源請求，通過借助可信身份管理平臺對數(shù)字身份進行全面、動態(tài)、智能的訪問控制，實現(xiàn)企業(yè)數(shù)字資源訪問的可管可控。

二是采用SSO 身份安全鑒別，實現(xiàn)應(yīng)用的便捷高效訪問。用戶通過使用SSO 技術(shù)實現(xiàn)一次性鑒別登錄，即可獲得訪問單點登錄系統(tǒng)中其他關(guān)聯(lián)系統(tǒng)和應(yīng)用軟件的權(quán)限，同時這種實現(xiàn)是不需要管理員對用戶的登錄狀態(tài)或其他信息進行修改的，這意味著在多個應(yīng)用系統(tǒng)中，用戶只需一次登錄就可以訪問所有相互信任的應(yīng)用系統(tǒng)。這種方式減少了由登錄產(chǎn)生的時間消耗，輔助了用戶管理。

三是構(gòu)建全域用戶統(tǒng)一身份管理，打造一體化身份認(rèn)證。統(tǒng)一身份安全管理系統(tǒng)以用戶ID 統(tǒng)一、全域用戶畫像建設(shè)、身份治理體系建設(shè)等為典型特征，具備身份治理共性能力與服務(wù)、支持多前臺業(yè)務(wù)及獨立服務(wù)組織或部門進行管理。其一，建設(shè)公司全面身份治理體系，該體系涵蓋內(nèi)外部全域用戶，實現(xiàn)身份集中化管理，通過平臺實現(xiàn)自動化全生命周期管理，同時建設(shè)內(nèi)部完整的、標(biāo)準(zhǔn)的、可持續(xù)的公司化管理規(guī)范體系；其二，提升信息化管理水平，建立公司員工數(shù)字身份管理標(biāo)準(zhǔn)體系，實現(xiàn)用戶及應(yīng)用系統(tǒng)的統(tǒng)一身份管控，流程自動化管理；其三，提升員工應(yīng)用體驗，通過身份安全管理平臺建設(shè)，提供應(yīng)用門戶，解決用戶多賬戶、多密碼、多處訪問等痛點，提高用戶滿意度與體驗；四是實現(xiàn)信息化增效降本，提供一套完整的持續(xù)的用戶管理規(guī)范及運營規(guī)范體系，提升信息化平臺建設(shè)質(zhì)量及增效降本。

四是保障信息資產(chǎn)安全，打造數(shù)字安全底座。

以保障信息資產(chǎn)安全為宗旨，以數(shù)字身份為基石打破應(yīng)用“孤島”，采用前沿科技，重塑數(shù)據(jù)流通、應(yīng)用訪問、業(yè)務(wù)流程等環(huán)節(jié)的規(guī)范性，防范數(shù)據(jù)流在灰色地帶游走，將每一項業(yè)務(wù)在陽光下閉環(huán)完成。為京港地鐵信息化環(huán)境提供全面風(fēng)險管控服務(wù)，對用戶登錄業(yè)務(wù)系統(tǒng)的認(rèn)證安全、鏈路安全等環(huán)境風(fēng)險自動化感知與采集，將發(fā)現(xiàn)的風(fēng)險度量化，對用戶的風(fēng)險訪問行為做到事前預(yù)警、事中監(jiān)控和事后追溯，并自適應(yīng)給業(yè)務(wù)系統(tǒng)賦予各類身份認(rèn)證的能力，真正做到對于誰來了、誰走了、做了什么一目了然。

二、技術(shù)背景

2019年底，Cybersecurity Insiders 聯(lián)合Zscaler發(fā)布的《2019 零信任安全市場普及行業(yè)報告》指出，62%的受訪者表示目前最大的應(yīng)用程序安全挑戰(zhàn)是確保對分布在數(shù)據(jù)中心和云環(huán)境中的私有應(yīng)用程序的訪問安全，對此企業(yè)所采用的安全措施主要是身份和訪問管理（72%）、數(shù)據(jù)丟失預(yù)防（51%）、BYOD/移動安全（50%）等，這些措施均與零信任相關(guān)，但上述安全管控措施目前還處于分散管控狀態(tài)，無法實現(xiàn)對風(fēng)險的實時監(jiān)測與動態(tài)調(diào)整的身份訪問的一體策略。

（一）六大關(guān)鍵技術(shù)，為安全訪問保駕護航

一是軟件定義邊界。零信任一體化身份認(rèn)證架構(gòu)的實時計算訪問控制策略的授權(quán)決策根據(jù)訪問主體的身份、權(quán)限等信息進行實時計算，形成訪問控制策略，一旦授權(quán)決策依據(jù)發(fā)生變化，將重新進行計算，必要時將即時變更授權(quán)決策。

二是基于多源數(shù)據(jù)進行信任等級持續(xù)評估。零信任一體化身份認(rèn)證架構(gòu)中訪問主體的信任等級是根據(jù)實時多源數(shù)據(jù)（如身份、權(quán)限、訪問日志等）計算得出，人工智能技術(shù)提高了信任評估策略的計算效率，實現(xiàn)零信任架構(gòu)在安全性、可靠性、可用性及成本方面的綜合平衡。

三是將身份作為訪問控制的基礎(chǔ)（IAM）。零信任一體化身份認(rèn)證架構(gòu)對網(wǎng)絡(luò)、設(shè)備、應(yīng)用、用戶等所有對象賦予數(shù)字身份，基于身份來構(gòu)建訪問控制體系。

四是將單點登錄（SSO）融合身份訪問控制。憑借一套憑證信息即一次認(rèn)證，即可通過PC、Pad、手機等各類終端安全訪問所有有權(quán)訪問的應(yīng)用。

五是最小權(quán)限原則。零信任一體化身份認(rèn)證架構(gòu)中強調(diào)資源按需分配使用，授予的是執(zhí)行任務(wù)所需的最小特權(quán)，并限制資源的可見性。

六是資源受控安全訪問。零信任一體化身份認(rèn)證架構(gòu)對所有業(yè)務(wù)場景及資源的每一個訪問請求都進行強制身份識別和授權(quán)判定，符合安全策略才予以放行，實現(xiàn)會話級別的細粒度訪問控制，同時所有的訪問連接均須加密。

（二）四大技術(shù)優(yōu)勢，助力企業(yè)數(shù)字化進程

一是采用持續(xù)信任評估結(jié)果，聯(lián)動各類組件實現(xiàn)增強認(rèn)證、智能降權(quán)、聯(lián)動阻斷等多種手段，實現(xiàn)風(fēng)險的動態(tài)處置。二是實現(xiàn)用戶無縫融合企業(yè)現(xiàn)有安全環(huán)境，通過零信任安全身份架構(gòu)體系，打通全用戶訪問場景。三是通過國密認(rèn)證實現(xiàn)可信鑒別和安全加密通訊。四是通過身份統(tǒng)一管理，實現(xiàn)資源訪問的持續(xù)認(rèn)證和動態(tài)訪問控制。

基于零信任一體化身份認(rèn)證架構(gòu)可以很好兼容云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等各類新興應(yīng)用場景，支持遠程辦公、多云環(huán)境、多分支機構(gòu)、跨企業(yè)協(xié)同等復(fù)雜網(wǎng)絡(luò)架構(gòu)。如適用于遠程辦公的零信任安全架構(gòu)，不再區(qū)分內(nèi)外網(wǎng)，在人員、設(shè)備及業(yè)務(wù)之間構(gòu)建虛擬的、基于身份的邏輯邊界，實現(xiàn)一體化的動態(tài)訪問控制體系，不僅可以減少攻擊暴露面，增強對企業(yè)應(yīng)用和數(shù)據(jù)的保護，還可通過現(xiàn)有工具的集成大幅降低零信任潛在建設(shè)成本。

零信任一體化身份認(rèn)證架構(gòu)的本質(zhì)是以身份為中心進行動態(tài)訪問控制。零信任對訪問主體與訪問客體之間的數(shù)據(jù)訪問和認(rèn)證驗證進行處理，其將一般的訪問行為分解，一是作用于網(wǎng)絡(luò)通信控制的控制平面，二是作用于應(yīng)用程序通信的數(shù)據(jù)平面。訪問主體通過控制平面發(fā)起訪問請求，經(jīng)由信任評估引擎、訪問控制引擎實施身份認(rèn)證及授權(quán)，獲得數(shù)據(jù)平面系統(tǒng)動態(tài)許可后，訪問代理接受來自主體的數(shù)據(jù)，從而建立一次可信的安全訪問鏈接。過程中，信任評估引擎將持續(xù)進行信任評估工作，訪問控制引擎對評估數(shù)據(jù)進行零信任策略決策運算，來判斷訪問控制策略是否需要作出改變，若作出改變時，系統(tǒng)將及時通過訪問代理動態(tài)調(diào)整用戶身份的訪問權(quán)限，從而有效實現(xiàn)對資源的保護。

三、技術(shù)規(guī)劃方案

京港地鐵構(gòu)建基于零信任架構(gòu)打造一體化身份認(rèn)證治理體系主要采用兩大零信任落地技術(shù)能力，分別是軟件定義邊界（SDP）、身份與訪問管理（IAM）。

軟件定義邊界技術(shù)是通過軟件的方式，在“移動+云”的背景下構(gòu)建起加密通道，利用基于身份的訪問控制及完備的權(quán)限認(rèn)證機制提供有效的隱身保護。SDP 是由云安全聯(lián)盟（CSA）開發(fā)的一個安全框架，其體系結(jié)構(gòu)主要包括SDP 客戶端、SDP 控制器及 SDP網(wǎng)關(guān)這三個組件，其中客戶端主要負責(zé)驗證用戶身份，將訪問請求轉(zhuǎn)發(fā)給網(wǎng)關(guān)，控制器負責(zé)身份認(rèn)證及配置策略，管控全過程，網(wǎng)關(guān)主要保護業(yè)務(wù)系統(tǒng)，防護各類網(wǎng)絡(luò)攻擊，只允許來自合法客戶端的流量通過。SDP 可將所有應(yīng)用程序隱藏，訪問者不知應(yīng)用的具體位置，同時所有訪問流量均通過加密方式傳輸，并在訪問端與被訪問端之間點對點傳輸，其具備的持續(xù)認(rèn)證、細粒度的上下文訪問控制、信令分離等防御理念可有效解決企業(yè)業(yè)務(wù)拓展中的安全問題，成為零信任理念的最佳踐行之一。

全面身份化是零信任架構(gòu)的基石，零信任所需的IAM 技術(shù)通過圍繞身份、權(quán)限、環(huán)境等信息進行有效管控與治理，從而保證正確的身份在正確的訪問環(huán)境下，基于正當(dāng)理由訪問正確的資源。隨著數(shù)字化轉(zhuǎn)型的不斷深入，業(yè)務(wù)的云化、終端的激增均使得企業(yè)IT 環(huán)境變得更加復(fù)雜，傳統(tǒng)靜態(tài)且封閉的身份與訪問管理機制已不能適應(yīng)這種變化，因此零信任中的IAM 將更加敏捷、靈活且智能，需要適應(yīng)各種新興的業(yè)務(wù)場景，能夠采用動態(tài)的策略實現(xiàn)自主完善，可以不斷調(diào)整以滿足實際的安全需求。

（一）整體架構(gòu)設(shè)計

零信任控制系統(tǒng)是整個平臺的大腦，并與其他組件對接，可信接入網(wǎng)關(guān)和控制系統(tǒng)兩部實現(xiàn)控制面和數(shù)據(jù)面的分離?；诹阈湃渭軜?gòu)打造的一體化身份認(rèn)證治理平臺的整體架構(gòu)（圖1）?？刂葡到y(tǒng)負責(zé)授權(quán)、策略管理與下發(fā)，是整體的調(diào)度與管理中心，對接入的身份、終端、環(huán)境、行為進行信任評估，基于策略引擎配置的策略結(jié)果，決定允許或拒絕會話并讓可信網(wǎng)關(guān)進行放通或阻斷?？尚沤尤刖W(wǎng)關(guān)支持HTTPS 代理訪問和SSL 隧道代理訪問?？刂葡到y(tǒng)和可信接入網(wǎng)關(guān)均受SPA 單包授權(quán)技術(shù)對設(shè)備本身的服務(wù)進行隱身保護。

圖1 基于零信任架構(gòu)打造的一體化身份認(rèn)證治理平臺的整體架構(gòu)

身份認(rèn)證中心IAM 作為零信任身份管理與認(rèn)證組件，提供統(tǒng)一賬號管理、統(tǒng)一身份認(rèn)證與單點登錄能力，實現(xiàn)賬號生命周期管理，并且用戶只需認(rèn)證一次就可以訪問他所需要訪問的業(yè)務(wù)系統(tǒng)，提供賬號密碼、企業(yè)微信、證書、短信、令牌等多種認(rèn)證方式，并實現(xiàn)自適應(yīng)身份認(rèn)證。

（二）技術(shù)架構(gòu)設(shè)計

終端側(cè)適配筆記本與移動終端，內(nèi)網(wǎng)部署可信接入網(wǎng)關(guān)與零信任控制中心以及身份認(rèn)證中心IAM，可信接入網(wǎng)關(guān)負責(zé)與終端建立安全隧道，進行流量的代理轉(zhuǎn)發(fā)。零信任控制中心則與IAM平臺對接，實現(xiàn)接入用戶的身份校驗，訪問權(quán)限的控制以及策略的下發(fā)。

（三）業(yè)務(wù)架構(gòu)設(shè)計

選取較為常用的人員遠程辦公場景的架構(gòu)方案設(shè)計，用戶終端下載安裝零信任客戶端，客戶端創(chuàng)建虛擬網(wǎng)卡和本地路由表，并通過本地路由表或私有DNS 將訪問流量引流至虛擬網(wǎng)卡。同時，客戶端與代理網(wǎng)關(guān)構(gòu)建加密隧道，實現(xiàn)數(shù)據(jù)包代理轉(zhuǎn)發(fā)，從而實現(xiàn)有端場景下的業(yè)務(wù)安全訪問。

一是實現(xiàn)用戶可信。零信任控制中心與IAM 平臺對接，對用戶進行身份可信認(rèn)證，通過多種認(rèn)證方式、多因子身份認(rèn)證以及動態(tài)調(diào)整認(rèn)證強度的方式，保證用戶身份可信的同時也保證了使用體驗。

二是實現(xiàn)終端可信。零信任控制中心收集用戶終端信息，生成終端硬件特征碼（設(shè)備指紋），并設(shè)置用戶授信終端，從而實現(xiàn)用戶的授信終端認(rèn)證及授信終端免二次認(rèn)證等能力。另外，客戶端對系統(tǒng)環(huán)境及軟件環(huán)境進行動態(tài)檢測，實時發(fā)現(xiàn)終端環(huán)境風(fēng)險，并及時阻斷。

三是實現(xiàn)進程可信。用戶在使用任意進程訪問應(yīng)用時，零信任客戶端采集進程的信息及指紋，并形成進程訪問報表，根據(jù)進程的使用情況、簽名信息，給出處置建議給管理員，以此實現(xiàn)應(yīng)用進程識別。另外，管理員根據(jù)采集到的進程信息及零信任控制中心給出的處置建議，將進程標(biāo)記為可信/不可信，并通過動態(tài) ACL 規(guī)則允許或阻止訪問。

四是實現(xiàn)數(shù)據(jù)可信。通過終端側(cè)零信任沙箱構(gòu)建安全工作空間，實現(xiàn)一臺終端同時兼并個人空間及安全工作空間，并在工作空間提供數(shù)據(jù)隔離、網(wǎng)絡(luò)隔離、文件加密、外設(shè)管控及屏幕水印/審計能力。

五是實現(xiàn)權(quán)限可信。通過向用戶個人、角色、群組、組織架構(gòu)授權(quán)應(yīng)用權(quán)限的方式，實現(xiàn)權(quán)限精細化控制，并在系統(tǒng)環(huán)境發(fā)生變化且觸發(fā)ACL 策略規(guī)則時，動態(tài)收縮用戶權(quán)限，實現(xiàn)權(quán)限可信。

六是實現(xiàn)連接可信。終端客戶端與代理網(wǎng)關(guān)在構(gòu)建連接隧道傳輸業(yè)務(wù)數(shù)據(jù)時，實現(xiàn)隧道SSL 加密。同時，因為安裝零信任客戶端，客戶端提供SPA 單包授權(quán)網(wǎng)絡(luò)隱身能力，在接收到合法的SPA 敲門數(shù)據(jù)包前，服務(wù)端不響應(yīng)來自客戶端的任何連接請求。

四、項目實施場景及建設(shè)成效

當(dāng)用戶通過企業(yè)微信統(tǒng)一入口訪問內(nèi)網(wǎng)應(yīng)用時會調(diào)用SSO 系統(tǒng)認(rèn)證，系統(tǒng)發(fā)現(xiàn)訪問來源是SDP 網(wǎng)關(guān)時，則由SSO 和SDP 進行OAuth2 對接，從而使得各業(yè)務(wù)系統(tǒng)(如OA、郵件等)能實現(xiàn)登錄。用戶通過使用動態(tài)風(fēng)險控制、統(tǒng)一接入門戶、單點登錄(SSO)、統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、集中應(yīng)用授權(quán)、審計與分析等能力訪問企業(yè)應(yīng)用的兩種場景如下：

場景一互聯(lián)網(wǎng)訪問郵箱系統(tǒng)：用戶訪問郵箱系統(tǒng)，被攔截到郵箱認(rèn)證服務(wù)。待郵箱認(rèn)證服務(wù)重定向到IAM 認(rèn)證登錄頁面，用戶通過密碼、短信等多種認(rèn)證方式進行認(rèn)證。認(rèn)證完成后返回郵箱認(rèn)證服務(wù)，由郵箱認(rèn)證服務(wù)根據(jù)人員信息判斷應(yīng)重定向至云端郵箱系統(tǒng)或是本地郵箱系統(tǒng)。

場景二互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)應(yīng)用：用戶訪問內(nèi)網(wǎng)應(yīng)用，被攔截到SDP 網(wǎng)關(guān)。SDP 網(wǎng)關(guān)重定向至IAM認(rèn)證服務(wù)進行認(rèn)證，用戶通過密碼、短信等多種認(rèn)證方式進行認(rèn)證。 認(rèn)證完成后返回SDP 網(wǎng)關(guān)，由網(wǎng)關(guān)將訪問請求轉(zhuǎn)發(fā)至內(nèi)網(wǎng)應(yīng)用。

項目建設(shè)成效如下：

一是提高了系統(tǒng)服務(wù)水平和效率。通過零信任架構(gòu)身份認(rèn)證服務(wù)，對各種應(yīng)用信息進行整合和利用，用戶可以實現(xiàn)內(nèi)外網(wǎng)一次登錄即可訪問所有應(yīng)用，極大地提高了工作效率。二是縮小企業(yè)業(yè)務(wù)資源暴露面。將原本暴露在互聯(lián)網(wǎng)上的內(nèi)部業(yè)務(wù)系統(tǒng)資源有效收縮至企業(yè)內(nèi)網(wǎng)環(huán)境。三是實現(xiàn)了部門共享應(yīng)用信息資源，提升服務(wù)水平。通過統(tǒng)一身份安全管理系統(tǒng)，可以對各部門的應(yīng)用統(tǒng)一管理，并實現(xiàn)統(tǒng)一入口，提高各級各部門的協(xié)同工作效率。通過平臺的統(tǒng)一和整合，實現(xiàn)信息、知識、人才以及管理理念、管理制度、管理方法等各種資源的共享，提高資源的利用效率。四是建立用戶訪問管理等規(guī)范。通過建立用戶統(tǒng)一標(biāo)識命名、用戶身份及訪問管理等規(guī)范，進一步提高公司信息系統(tǒng)建設(shè)與管理的規(guī)范性。五是實現(xiàn)大規(guī)模遠程安全辦公。采用大規(guī)模遠程辦公場景的實踐，實現(xiàn)企業(yè)員工在任何地點可以安全動態(tài)地遠程訪問混合云及公有云上的OA、財務(wù)、人力、郵箱、工程等業(yè)務(wù)系統(tǒng)的使用場景。

京港地鐵打造零信任架構(gòu)一體化身份認(rèn)證的優(yōu)點在于“持續(xù)驗證，永不信任”的安全體系，主要應(yīng)用領(lǐng)域集中在安全訪問混合云和公有云環(huán)境中的私有應(yīng)用程序，項目場景應(yīng)用效果較好，具備一定的可推廣性。