網(wǎng)絡(luò)安全等級保護(hù)下的零信任SDP 評估方法

◆寧華 榮曉燕 劉海峰 史宜會(huì) 李媛

（1.中國信息通信研究院 北京 100191；2.北京信息安全測評中心 北京 100101；3.北京2022 年冬奧會(huì)和冬殘奧會(huì)組織委員會(huì) 北京 102022）

1 網(wǎng)絡(luò)安全等級保護(hù)概述

等級保護(hù)是我國網(wǎng)絡(luò)安全基本政策，根據(jù)等保對象在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對國家安全、社會(huì)秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度等因素，對保護(hù)對象劃分等級，按照對應(yīng)要求進(jìn)行細(xì)粒度管理。等級保護(hù)制度在國際上廣泛采用，美國國防部90 年代公布的橘皮書帶動(dòng)了網(wǎng)絡(luò)安全評估；歐洲公布了歐洲白皮書，首次提出信息安全的保密性、完整性、可用性；1996 年美國政府制定了通用安全評估準(zhǔn)則（CC）。

我國充分借鑒國際成熟等級保護(hù)管理理念，建立信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)制度，依據(jù)國家標(biāo)準(zhǔn)《GB/T 22239—2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（下簡稱“等保2.0”）開展測評[5-7]。我國網(wǎng)絡(luò)安全等級一共分為五級，安全要求逐級增強(qiáng)。其中三級適用于重要信息系統(tǒng)，遭到破壞后對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，對國家安全造成損害，屬于“監(jiān)管級別”，由國家網(wǎng)絡(luò)安全監(jiān)管部門進(jìn)行監(jiān)督檢查。依據(jù)等保2.0，保護(hù)對象的安全技術(shù)要求涵蓋安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心5個(gè)層面諸多控制點(diǎn)，控制點(diǎn)數(shù)量見表1。

表1 安全技術(shù)要求控制點(diǎn)數(shù)量

2 零信任架構(gòu)概況

針對網(wǎng)絡(luò)邊界日益復(fù)雜的問題，著名研究機(jī)構(gòu) Forrester 公司2010 年提出了零信任思路。零信任安全針對傳統(tǒng)邊界安全架構(gòu)思想進(jìn)行了重新評估，審視，對安全架構(gòu)思路給出了新的建議。其核心思想是默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。諸如 IP 地址、主機(jī)、地理位置、所處網(wǎng)絡(luò)等均不能作為可信的憑證。零信任對訪問控制進(jìn)行了范式上的顛覆，引導(dǎo)安全體系架構(gòu)從“網(wǎng)絡(luò)中心化”走向“身份中心化”，以身份為中心進(jìn)行訪問控制，零信任架構(gòu)作為一種去邊界化的安全思路，越來越受到行業(yè)重視[1-5]。國際上許多重要信息化服務(wù)提供商選擇應(yīng)用零信任技術(shù)構(gòu)建網(wǎng)絡(luò)安全。研究零信任技術(shù)與等保2.0 合規(guī)比對，對于落實(shí)我國等級保護(hù)政策、夯實(shí)重要信息系統(tǒng)網(wǎng)絡(luò)安全非常有必要性。

2.1 零信任架構(gòu)模型

根據(jù)NIST 標(biāo)準(zhǔn)零信任模型[8]，見圖1，訪問控制分為策略決策點(diǎn)（PDP）和相應(yīng)的策略執(zhí)行點(diǎn)（PEP），用戶或計(jì)算機(jī)在訪問企業(yè)資源時(shí)，需要通過PDP 和PEP 授予訪問權(quán)限。零信任架構(gòu)下，資源訪問控制策略不再僅基于網(wǎng)絡(luò)位置，而是基于風(fēng)險(xiǎn)，并通過建設(shè)相關(guān)系統(tǒng)確保策略得到正確和一致性的執(zhí)行。零信任包括SDP（軟件定義邊界）、微隔離和增強(qiáng)身份認(rèn)證三種技術(shù)方案。

圖1 零信任模型

2.2 SDP 技術(shù)實(shí)現(xiàn)

SDP（軟件定義邊界）架構(gòu)是由國際云安全聯(lián)盟CSA 在2014年提出的第一個(gè)落地的零信任技術(shù)方案[9]。SDP 架構(gòu)主要包括三大組件：SDP控制器（SDP Controller）、SDP連接發(fā)起主機(jī)（IH，Initial host）、SDP 連接接受主機(jī)（AH，Accept host），見圖2。SDP 控制器確定哪些IH、AH 主機(jī)可以相互通信，可以與外部認(rèn)證服務(wù)進(jìn)行信息交互，例如認(rèn)證系統(tǒng)、地理位置、身份服務(wù)器等。SDP 連接發(fā)起主機(jī)IH 和接受主機(jī)AH 會(huì)直接連接到SDP 控制器，通過控制器與安全控制信道的交互來管理。

圖2 SDP 架構(gòu)

2.3 SDP 應(yīng)用通信

企業(yè)SDP 典型應(yīng)用方案及數(shù)據(jù)通信見圖3，SDP 由客戶端（Client）、管控平臺（也稱控制器，Controller）、應(yīng)用網(wǎng)關(guān)（Gateway）三個(gè)主要組件組成。管控平臺和應(yīng)用網(wǎng)關(guān)可采用云平臺和私有化部署，應(yīng)用網(wǎng)關(guān)部署在客戶端與企業(yè)本地信息系統(tǒng)或云部署信息系統(tǒng)之間。按照SDP 的設(shè)計(jì)原則，SPD 實(shí)施隱藏服務(wù)器地址和端口，掃描不被發(fā)現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)隱身。用戶只有應(yīng)用層訪問權(quán)限，無網(wǎng)絡(luò)級訪問。在連接服務(wù)器之前，先驗(yàn)證用戶和設(shè)備合法性，后連接。用戶只能看到被授權(quán)應(yīng)用，實(shí)現(xiàn)最小權(quán)限。

圖3 典型SDP 應(yīng)用通信

3 網(wǎng)絡(luò)安全評估

以等保三級控制點(diǎn)為例，基于SDP 的單包授權(quán)功能，從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計(jì)算環(huán)境三個(gè)層次，對對SDP 典型應(yīng)用實(shí)施安全測評。同樣對二級、四級相關(guān)控制點(diǎn)要求測評，給出SDP等保2.0 等級網(wǎng)絡(luò)安全防控能力綜合評估情況。

3.1 單包權(quán)功能

SDP 應(yīng)用PA 技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)隱身，如圖4 實(shí)驗(yàn)，分別利用普通終端WIN10進(jìn)行Nmap掃描和通過單包認(rèn)證后掃描應(yīng)用服務(wù)比對發(fā)現(xiàn)，通過Nmap 無法發(fā)現(xiàn)掃描器，通過單包認(rèn)證掃描后可以查看應(yīng)用服務(wù)。

圖4 SDP 單包授權(quán)功能測評

3.2 安全通信網(wǎng)絡(luò)測評

SDP 典型應(yīng)用部署在客戶端和企業(yè)資源之間，在原有網(wǎng)絡(luò)層安全控制之上，增加了應(yīng)用層控制，提供了應(yīng)用層的邊界防護(hù)，應(yīng)用網(wǎng)關(guān)起到應(yīng)用層技術(shù)隔離作用。由于網(wǎng)絡(luò)架構(gòu)、權(quán)限集中等變化，需要考慮SDP 應(yīng)用下的網(wǎng)絡(luò)層和應(yīng)用層單點(diǎn)故障風(fēng)險(xiǎn)，應(yīng)用集群部署等方式。恰當(dāng)?shù)腟DP 部署，利用SDP 的 PDP 和PEP 控制特定的用戶和終端對應(yīng)的特定的應(yīng)用，提高訪問可靠，滿足等保2.0控制點(diǎn)要求。表2 列舉了零信任系統(tǒng)符合的安全通信的測評標(biāo)準(zhǔn)和結(jié)果，測評類別包括①網(wǎng)絡(luò)架構(gòu) ②通信傳輸。

表2 安全通信網(wǎng)絡(luò)測評

3.3 安全區(qū)域邊界測評

SDP 典型用于南北向流量安全控制，在客戶端和企業(yè)資源之間通過應(yīng)用網(wǎng)關(guān)建立邏輯區(qū)域邊界?；谄洹跋闰?yàn)證后連接”的原則，能實(shí)現(xiàn)在邏輯邊界上非法內(nèi)聯(lián)和外聯(lián)阻止，以及細(xì)粒度訪問控制，并基于其動(dòng)態(tài)管理策略的特性，能實(shí)現(xiàn)安全審計(jì)和入侵防范。表3 列舉了零信任系統(tǒng)符合的安全區(qū)域邊界的測評標(biāo)準(zhǔn)和結(jié)果，測評類別包括①邊界防護(hù) ②訪問控制③入侵防范④安全審計(jì)。

表3 安全區(qū)域邊界測評

3.4 安全計(jì)算環(huán)境測評

SDP 基于“先驗(yàn)證后連接”的原則，對應(yīng)用系統(tǒng)用戶能實(shí)現(xiàn)在邏輯邊界上非法內(nèi)聯(lián)和外聯(lián)阻止，以及細(xì)粒度訪問控制，并基于其動(dòng)態(tài)管理策略的特性，能實(shí)現(xiàn)安全審計(jì)和入侵防范。表4 列舉了零信任系統(tǒng)符合的安全計(jì)算環(huán)境的測評標(biāo)準(zhǔn)和結(jié)果，測評類別包括①身份鑒別 ②訪問控制③安全審計(jì)④入侵防范⑤數(shù)據(jù)完整性⑥數(shù)據(jù)保密性。

表4 安全計(jì)算環(huán)境測評

3.5 安全管理中心測評

SDP 安全控制南北向流量，在客戶端和企業(yè)資源之間通過應(yīng)用網(wǎng)關(guān)建立邏輯區(qū)域邊界，基于其動(dòng)態(tài)管理策略的特性，實(shí)現(xiàn)終端和應(yīng)用之間集中管控。表5 列舉了零信任系統(tǒng)符合的安全管理中心的測評標(biāo)準(zhǔn)和結(jié)果，測評類別包括①集中管控。

表5 安全管理中心測評

3.6 SDP 綜合評估

依據(jù)同樣模式，按照等保2.0 第二級和第三級控制點(diǎn)要求，對SDP 應(yīng)用進(jìn)行測評，得到等?？刂泣c(diǎn)測評情況，見表6。應(yīng)用SDP零信任技術(shù)的系統(tǒng)，從等保合規(guī)角度，需要應(yīng)用其他技術(shù)加強(qiáng)惡意代碼防范，加強(qiáng)數(shù)據(jù)保護(hù)以及安全管理功能，協(xié)同其他技術(shù)系統(tǒng)，共同構(gòu)建合規(guī)安全。這與NIST 的零信任框架安全吻合，在NIST 定義的零信任框架中，除了在執(zhí)行PEP/PEP 的零信任核心之外，也需要包括多個(gè)能夠提供輸入和策略規(guī)則的數(shù)據(jù)源。數(shù)據(jù)源包括本地?cái)?shù)據(jù)源和外部數(shù)據(jù)源，包括來自安全信息與事件管理（SIEM）、威脅情報(bào)系統(tǒng)、企業(yè)風(fēng)險(xiǎn)持續(xù)診斷系統(tǒng)等。

表6 SDP 應(yīng)用等?？刂泣c(diǎn)測評符合情況

4 總結(jié)與展望

我國等保2.0 充分體現(xiàn)了“一個(gè)中心三重防御”的思想，一個(gè)中心指“安全管理中心”，三重防御指“安全計(jì)算環(huán)境，安全區(qū)域邊界，安全網(wǎng)絡(luò)通信”。軟件定義邊界（SDP）本質(zhì)是一套訪問控制的策略體系，核心思想是構(gòu)建以身份為中心，對網(wǎng)絡(luò)傳輸進(jìn)行的動(dòng)態(tài)訪問控制。它強(qiáng)調(diào)建立包括用戶，設(shè)備，應(yīng)用，系統(tǒng)等實(shí)體的統(tǒng)一身份標(biāo)識，并基于最小化授權(quán)原則構(gòu)筑訪問。隨著傳統(tǒng)邊界防護(hù)的脆弱，網(wǎng)絡(luò)安全技術(shù)自身適應(yīng)進(jìn)化的一個(gè)過程，應(yīng)用零信任SDP 技術(shù)，在邊界防護(hù)、入侵防范、通信傳輸、身份鑒別、數(shù)據(jù)保密等方面，可以幫助組織收窄業(yè)務(wù)系統(tǒng)暴露面，保障業(yè)務(wù)系統(tǒng)的邊界安全，很好的強(qiáng)化和落實(shí)整個(gè)信息系統(tǒng)中安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境的內(nèi)容，更加有效的解決等級保護(hù)的要求，構(gòu)建全新的安全架構(gòu)基石，夯實(shí)等級保護(hù)2.0 技術(shù)要求落實(shí)。