信息化觀察網(wǎng)

2019年，航空工業(yè)深入貫徹落實習(xí)總書記關(guān)于網(wǎng)絡(luò)安全和信息化工作的系列重要講話精神，推動集團內(nèi)部各成員單位之間的辦公協(xié)同和數(shù)字化轉(zhuǎn)型，建設(shè)了覆蓋全集團所有成員單位的商密網(wǎng)移動辦公平臺。平臺使用阿里專有云架構(gòu)建設(shè)，企業(yè)OA、郵件、即時通、招采平臺等內(nèi)部應(yīng)用業(yè)務(wù)系統(tǒng)相繼上云，促進了跨地區(qū)、跨部門、跨層級的數(shù)據(jù)資源共享和業(yè)務(wù)協(xié)同。

但隨著移動辦公和業(yè)務(wù)系統(tǒng)的逐漸云化，商網(wǎng)（商網(wǎng)bizws：Business Website的縮寫，是由“中國商網(wǎng)”開發(fā)并運營的網(wǎng)絡(luò)交易平臺。）的業(yè)務(wù)架構(gòu)和網(wǎng)絡(luò)環(huán)境隨之發(fā)生了重大的變化，訪問主體和接入場景的多樣化、網(wǎng)絡(luò)邊界的模糊化、訪問策略的精準(zhǔn)化等都對傳統(tǒng)基于邊界防護的網(wǎng)絡(luò)安全架構(gòu)提出了新的挑戰(zhàn)。為了幫助更多企業(yè)用戶了解商網(wǎng)所面臨的網(wǎng)絡(luò)安全風(fēng)險，發(fā)布本期牛品推薦——格爾軟件：零信任解決方案。該方案以格爾軟件在航空工業(yè)商網(wǎng)上的成功實踐為切入點，詳述了零信任理念所解決的網(wǎng)絡(luò)安全難題，分享了零信任理念的實際落地經(jīng)驗，希望能夠為行業(yè)用戶提供更多啟發(fā)。

01標(biāo)簽

零信任，身份認證，數(shù)據(jù)安全，網(wǎng)關(guān)安全，持續(xù)信任

02用戶痛點

目前在商網(wǎng)移動辦公安全架構(gòu)中存在的問題主要包括：

1、個人移動辦公終端從注冊、使用到刪除的設(shè)備全生命周期難掌控，移動辦公終端中的運行環(huán)境監(jiān)控、惡意應(yīng)用安裝和數(shù)據(jù)保護難管理；

2、使用移動辦公終端的人員身份冒用和越權(quán)訪問難預(yù)防；

3、現(xiàn)有的移動終端一次性認證通過后即取得了安全系統(tǒng)的默認信任，而移動終端的運行環(huán)境是隨時可能發(fā)生變化的，第三方惡意應(yīng)用系統(tǒng)的安裝和病毒感染隨時可能造成正在訪問的敏感數(shù)據(jù)被竊取；

4、業(yè)務(wù)系統(tǒng)采用云化部署，以容器化和API化提供服務(wù)，但對API接口和服務(wù)的訪問防護仍停留在訪問認證層面，尚無對API和服務(wù)調(diào)用進行權(quán)限控制；

5、業(yè)務(wù)系統(tǒng)中存儲的敏感數(shù)據(jù)訪問尚未有明確的分級分類訪問機制，對于訪問敏感數(shù)據(jù)的應(yīng)用和用戶無從控制和審計。

03解決方案

格爾軟件的零信任解決方案以“持續(xù)信任評估”、“動態(tài)訪問控制”和“軟件定義邊界”為理念，幫助航空工業(yè)構(gòu)建了一套零信任與傳統(tǒng)安全防御互相協(xié)同的安全技術(shù)新體系。

零信任服務(wù)體系架構(gòu)分為主體區(qū)域、安全接入?yún)^(qū)、安全管理區(qū)、及客體。整個邏輯結(jié)構(gòu)展示了主體訪問到客體的動作，通過安全接入?yún)^(qū)對主體的訪問進行安全接入控制與策略管理。最終實現(xiàn)動態(tài)、持續(xù)的訪問控制與最小化授權(quán)。

圖1：零信任邏輯架構(gòu)

該項目解決方案整體由密碼基礎(chǔ)設(shè)施、可信身份管控平臺、零信任網(wǎng)關(guān)管理平臺、環(huán)境感知中心、策略控制中心等部分組成。以下為整體結(jié)構(gòu)詳解：

密碼基礎(chǔ)設(shè)施：依托商網(wǎng)現(xiàn)有的密碼基礎(chǔ)設(shè)施對其網(wǎng)絡(luò)平臺提供密碼密鑰管理服務(wù)；電子認證基礎(chǔ)設(shè)施（PKI/CA）對不同對象，如人員、設(shè)備、應(yīng)用、服務(wù)等提供基于國產(chǎn)商用密碼算法的數(shù)字證書管理服務(wù)。

可信身份管控平臺（身份管理基礎(chǔ)設(shè)施）：依托密碼支撐體系，以身份為中心，提供不同對象的規(guī)范化統(tǒng)一管理服務(wù)、多類型實體身份鑒別服務(wù)、細粒度的授權(quán)管理與鑒權(quán)控制服務(wù)、安全審計服務(wù)。

零信任網(wǎng)關(guān)管理平臺：支持多因子認證機制，結(jié)合動態(tài)上下文環(huán)境監(jiān)測，實現(xiàn)不同接入通道下為用戶提供細粒度的統(tǒng)一訪問控制機制，支持多臺分布式部署網(wǎng)關(guān)的集中管理和統(tǒng)一調(diào)度。自動編排策略并下發(fā)至各網(wǎng)關(guān)執(zhí)行點，實現(xiàn)動態(tài)訪問控制和內(nèi)部網(wǎng)絡(luò)隱藏，支持前端（客戶端到網(wǎng)關(guān)）流量加密、后端（網(wǎng)關(guān)到應(yīng)用）流量加密。

環(huán)境感知中心：負責(zé)對終端身份進行標(biāo)識，對終端環(huán)境進行感知和度量，并傳遞給策略控制中心，協(xié)助策略控制中心完成終端的環(huán)境核查。通過用戶行為分析中心和環(huán)境感知中心，建立信任評估模型和算法，實現(xiàn)基于身份的信任評估能力。

策略控制中心：負責(zé)風(fēng)險匯聚、信任評估和指令傳遞下發(fā)；根據(jù)從環(huán)境感知中心、權(quán)限管理中心、審計中心和認證中心等獲取的風(fēng)險來源，進行綜合信任評估和指令下發(fā)；指令接收及執(zhí)行的中心是認證中心，以及安全防護平臺和安全訪問平臺。

圖2：系統(tǒng)架構(gòu)

該架構(gòu)在項目中應(yīng)用有以下幾個典型場景：

1)基于數(shù)字證書的移動辦公場景

項目中超20萬用戶使用移動終端訪問商網(wǎng)移動辦公系統(tǒng)，如何保證移動終端用戶身份認證安全和重要數(shù)據(jù)完整性安全是移動辦公安全的基礎(chǔ)和重點。該實踐中通過在企業(yè)云端建設(shè)部署PKI/CA體系，為移動終端提供移動發(fā)證服務(wù)。用戶通過PKI/CA體系提供的密鑰分離、協(xié)同簽名等防護技術(shù)，可自助申請個人證書和設(shè)備證書，實現(xiàn)基于密碼技術(shù)的數(shù)字證書認證和數(shù)據(jù)完整性保護。移動終端中不會存儲完整的密鑰信息，可以防止個人移動終端丟失造成的身份冒用、數(shù)據(jù)泄密等風(fēng)險。

2)基于終端環(huán)境感知的持續(xù)信任評估場景

為了實現(xiàn)對終端的持續(xù)信任評估，在可信終端設(shè)備安裝的環(huán)境感知模塊，使零信任平臺可持續(xù)感知終端設(shè)備的物理位置、基礎(chǔ)環(huán)境、系統(tǒng)環(huán)境、應(yīng)用環(huán)境等多維度的安全環(huán)境，并根據(jù)終端環(huán)境變化和安全策略配置，評估終端設(shè)備的可信任程度，根據(jù)信任程度對終端執(zhí)行二次認證、升級認證及阻斷連接等訪問控制行為。

3)縱深防御場景

在多層防御的場景中，每個執(zhí)行點都要通過動態(tài)鑒權(quán)授予用戶訪問權(quán)限。該項目實踐中綜合考慮了終端環(huán)境、用戶行為、身份強度等多種因素進行動態(tài)計算，為訪問控制引擎提供動態(tài)的授權(quán)因子。權(quán)限系統(tǒng)根據(jù)動態(tài)的授權(quán)因子，對外部授權(quán)請求進行實時授權(quán)處理，基于授權(quán)庫的多維屬性和授權(quán)信息引擎提供的實時信息反饋進行授權(quán)判斷。

04用戶反饋

采用領(lǐng)先的零信任安全架構(gòu)解決集團數(shù)據(jù)訪問的安全性問題，為集團樹立行業(yè)安全標(biāo)桿，重構(gòu)信息安全邊界，從根源上解決數(shù)據(jù)訪問的安全性問題。在建設(shè)完成之后，可以實現(xiàn)如下的安全能力：

1)具備終端環(huán)境風(fēng)險感知能力

辦公終端安裝終端環(huán)境感知Agent（Windows版本、VMware云桌面版本），通過終端環(huán)境感知Agent對員工的辦公終端提供覆蓋基礎(chǔ)安全、系統(tǒng)安全、應(yīng)用合規(guī)、健康狀況的四大類感知，一旦檢測到安全風(fēng)險，立即上報至智能身份分析系統(tǒng)。

2)具備多維度身份安全分析能力

通過構(gòu)建智能身份分析引擎，結(jié)合各類系統(tǒng)的登錄日志、訪問日志、態(tài)勢感知平臺的異常事件、終端環(huán)境感知中心報送的環(huán)境風(fēng)險等信息，提供信任評估能力。依據(jù)建立的行為基線，對所有用戶的訪問請求進行綜合分析、持續(xù)評估。

3)具備動態(tài)訪問控制能力

通過構(gòu)建安全認證網(wǎng)關(guān)作為數(shù)據(jù)層面業(yè)務(wù)訪問的統(tǒng)一入口、動態(tài)訪問控制策略的執(zhí)行點；構(gòu)建零信任網(wǎng)關(guān)控制臺作為控制層面的訪問控制策略決策點；通過環(huán)境感知Agent對用戶的終端進行全方位多維度感知，確保用戶的終端環(huán)境安全及安全風(fēng)險感知上報；構(gòu)建智能身份分析系統(tǒng)的用戶行為進行多維度分析，進行信任評估并上報至零信任網(wǎng)關(guān)控制臺進行決策,實現(xiàn)動態(tài)訪問控制的整體邏輯，具備動態(tài)訪問控制能力。

4)具備全鏈路的訪問安全加密授權(quán)能力

所有的訪問請求都會被加密，采用TLS傳輸加密技術(shù)，可通過傳輸數(shù)據(jù)的雙向認證防止中間人攻擊。所有的訪問請求都需要認證，每個訪問請求都需要攜帶token進行身份的認證，認證通過后在下一次訪問仍然會重新認證，避免了原有的一次認證就可以訪問所有資源帶來的安全風(fēng)險，達到持續(xù)認證持續(xù)授權(quán)，實現(xiàn)訪問的最小化原則。