零信任架構(gòu)及其在企業(yè)移動辦公系統(tǒng)中的輕量級應(yīng)用研究

王 朋

(中國中車股份有限公司科技質(zhì)量與信息化中心 北京 100036)

1 企業(yè)移動辦公面臨的安全風(fēng)險(xiǎn)

企業(yè)的移動辦公系統(tǒng)必須借助于移動互聯(lián)網(wǎng)系統(tǒng)，傳統(tǒng)的發(fā)布模式是企業(yè)部署一臺或多臺固定對外(固定域名和固定IP地址)的反向代理服務(wù)器地址，移動客戶端通過代理服務(wù)器登錄到移動辦公服務(wù)集群進(jìn)行各種業(yè)務(wù)工作流程流轉(zhuǎn)。這些固定對外的域名或地址往往成為靶點(diǎn)，成為黑客攻擊的入口。動車組車載信息無線傳輸系統(tǒng)是一種典型的移動應(yīng)用，主要由無線傳輸裝置(車載設(shè)備)、數(shù)據(jù)中心、動車運(yùn)用所數(shù)據(jù)工作站和用戶訪問終端組成。車載設(shè)備通過公網(wǎng)將實(shí)時數(shù)據(jù)傳輸?shù)綌?shù)據(jù)中心，數(shù)據(jù)中心采用具有固定IP地址的服務(wù)器集群來接收這些數(shù)據(jù)[1]，為了對抗日益增強(qiáng)的網(wǎng)絡(luò)測繪和網(wǎng)絡(luò)攻擊，傳統(tǒng)的做法是在鏈路上串接或旁路大量的攻擊防范設(shè)備，以實(shí)時監(jiān)測網(wǎng)絡(luò)流量以及各種基于規(guī)則的訪問控制或入侵防御設(shè)備，這樣的做法不僅成本高，而且往往因?yàn)榉N種已知或未知的基于對漏洞的攻擊，造成防御系統(tǒng)被突破，進(jìn)而殃及企業(yè)內(nèi)網(wǎng)核心資產(chǎn)。本文從零信任概念入手，通過輕量級的部署實(shí)施方案，達(dá)到移動辦公系統(tǒng)的超高的安全性。通過改變傳統(tǒng)移動辦公系統(tǒng)的發(fā)布模式，讓移動辦公對外的反向代理服務(wù)器不需要固定的域名或IP地址，讓黑客找不到攻擊的目標(biāo)(服務(wù)隱身)，從而以極低成本提高企業(yè)移動辦公系統(tǒng)的安全性。

2 零信任介紹

2.1 零信任核心思想

零信任是一種網(wǎng)絡(luò)安全模型，它將安全防御從基于網(wǎng)絡(luò)的靜態(tài)環(huán)境遷移到關(guān)注用戶、資產(chǎn)和資源上。零信任體系結(jié)構(gòu)是一種基于零信任原則的企業(yè)網(wǎng)絡(luò)安全體系架構(gòu)，能夠防止數(shù)據(jù)泄露和限制內(nèi)部橫向移動。它不會僅基于資產(chǎn)或用戶帳戶的物理、網(wǎng)絡(luò)位置或基于資產(chǎn)所有權(quán)(企業(yè)或個人擁有)而授予隱性信任，而是要求所有訪問發(fā)起在建立與企業(yè)各種信息資源的會話之前都需要執(zhí)行離散的實(shí)時認(rèn)證和會話授權(quán)。它同樣適用于企業(yè)遠(yuǎn)程用戶、自帶設(shè)備(BYOD)和不位于企業(yè)網(wǎng)絡(luò)邊界內(nèi)的基于云的資產(chǎn)。零信任側(cè)重于保護(hù)資源(資產(chǎn)、服務(wù)、工作流、網(wǎng)絡(luò)帳戶等)，而不是某個網(wǎng)段或網(wǎng)絡(luò)。

2.2 零信任原則

零信任體系結(jié)構(gòu)的設(shè)計(jì)和部署遵循以下零信任基本原則[1]： (1)所有數(shù)據(jù)源和計(jì)算服務(wù)都被視為資源。(2)無論網(wǎng)絡(luò)位置如何，所有通信都應(yīng)該是安全的。(3)按照訪問會話對企業(yè)資源進(jìn)行分別授權(quán)。(4)由動態(tài)策略(身份信息、應(yīng)用/服務(wù)和被請求資產(chǎn)、環(huán)境屬性)確定訪問是否被授權(quán)。(5)監(jiān)控并實(shí)時計(jì)算所有自有及相關(guān)資產(chǎn)的完整性及安全狀況。(6)在允許訪問之前，所有資源身份驗(yàn)證和授權(quán)都是動態(tài)且嚴(yán)格強(qiáng)制執(zhí)行的。(7)應(yīng)盡可能收集信息資產(chǎn)、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)通信的當(dāng)前狀態(tài)，并利用這些信息不斷改善其安全狀況。

2.3 零信任體系結(jié)構(gòu)的邏輯組件

實(shí)施零信任需要很多邏輯組件，這些組件是基于現(xiàn)場的定制服務(wù)或基于云的服務(wù)，組件的理想組成和關(guān)系如圖1所示，圖中把策略定義點(diǎn)(PDP)分成了2個邏輯組件：策略引擎和策略管理員，零信任邏輯組件使用單獨(dú)的控制平臺進(jìn)行通信，業(yè)務(wù)應(yīng)用數(shù)據(jù)通過數(shù)據(jù)平面來進(jìn)行通信。

圖1 零信任邏輯構(gòu)成

(1)策略引擎(PE)：對是否賦予主體訪問資源的權(quán)限有最終決定權(quán)，它使用一定的安全策略作為對信任算法的輸入，從而決定是否授予某主體對資源的訪問權(quán)限。PE和策略管理員組件是成對出現(xiàn)的，PE做出授予或否決的決定并進(jìn)行日志記錄，策略管理員組件負(fù)責(zé)執(zhí)行。

(2)策略管理員(PA)：負(fù)責(zé)建立或者關(guān)閉訪問發(fā)起方和被訪問方之間的通信路徑(通過與之關(guān)聯(lián)的PEP組件執(zhí)行)，它依據(jù)PE的輸入來決定允許或拒絕一個會話。如果一個會話被授權(quán)，請求被認(rèn)證，PA會配置PEP使訪問會話開始，如果會話被拒絕或者之前的授權(quán)被收回，PA向PEP發(fā)送信號關(guān)閉連接。一些實(shí)現(xiàn)方式把PE和PA當(dāng)作獨(dú)立的服務(wù)看待，上圖當(dāng)作2個獨(dú)立的邏輯組件。當(dāng)創(chuàng)建通訊路徑時，PA和PEP通過控制平面進(jìn)行交互。

(3)策略執(zhí)行點(diǎn)(PEP)：PEP與PA通訊以轉(zhuǎn)發(fā)訪問請求并接收來自PA的策略更新。在零信任架構(gòu)里，它是一個單獨(dú)的邏輯組件，但也可以拆分成客戶端側(cè)的agent軟件和資源側(cè)的代理網(wǎng)關(guān)組件或者單獨(dú)的一個類似門戶入口組件，作為通訊路徑上的訪問代理網(wǎng)關(guān)。PEP的后方就是企業(yè)要保護(hù)的資源區(qū)域。

除了上述核心組件之外，企業(yè)實(shí)施零信任架構(gòu)還需要若干外部資源(非企業(yè)控制或產(chǎn)生的)，具體包括：

(1)持續(xù)診斷和緩解系統(tǒng)(CDM)：持續(xù)收集企業(yè)信息資產(chǎn)的當(dāng)前狀態(tài)并保持配置和軟件的更新，CDM系統(tǒng)為PE提供諸如操作系統(tǒng)是否打了合適的補(bǔ)丁、企業(yè)授權(quán)使用軟件組件的完整性、非授權(quán)軟件的狀態(tài)以及這些資產(chǎn)是否包含已知的漏洞。CDM系統(tǒng)還負(fù)責(zé)在企業(yè)基礎(chǔ)設(shè)施上識別不屬于企業(yè)的設(shè)備強(qiáng)制執(zhí)行安全策略。

(2)行業(yè)合規(guī)系統(tǒng)：建設(shè)零信任體系過程中，應(yīng)確保企業(yè)的信息系統(tǒng)始終符合行業(yè)合規(guī)性的管理要求。

(3)威脅情報(bào)源：可能是來自于內(nèi)部或外部新發(fā)現(xiàn)的攻擊特征或漏洞，這些還包括新發(fā)現(xiàn)的軟件缺陷、新識別的惡意軟件、被報(bào)道的對其他資產(chǎn)的攻擊，策略引擎綜合這些輸入來決定是否允許主體對企業(yè)資源的訪問。

(4)網(wǎng)絡(luò)和系統(tǒng)日志：實(shí)時的網(wǎng)絡(luò)流量信息、操作系統(tǒng)日志、安全設(shè)備報(bào)警事件等，為企業(yè)信息安全態(tài)勢提供實(shí)時或近實(shí)時的回饋。

(5)數(shù)據(jù)訪問控制策略：策略規(guī)則集可以提前內(nèi)置，也可由策略引擎動態(tài)生成。

(6)公鑰基礎(chǔ)設(shè)施(PKI)：負(fù)責(zé)證書的簽發(fā)、吊銷等證書管理任務(wù)。

(7)統(tǒng)一身份管理系統(tǒng)：該系統(tǒng)通常使用其他系統(tǒng)(如PKI)用于與企業(yè)用戶帳戶關(guān)聯(lián)。

(8)安全信息和事件管理(SIEM)系統(tǒng)：收集全量安全事件信息，可作為事件分析和網(wǎng)絡(luò)攻擊預(yù)警的基礎(chǔ)材料[1]。

2.4 零信任算法輸入

實(shí)現(xiàn)零信任部署，策略引擎(PE)是核心部件[2]，可以視其信任算法為其部件內(nèi)部的思考過程(見圖2)。

圖2 信任算法輸入

3 輕量級零信任解決方案

從上文可以看出，企業(yè)要實(shí)施完全的零信任機(jī)構(gòu)部署，需要改造的信息組件非常復(fù)雜，而且對業(yè)務(wù)系統(tǒng)的改造也很大，因此在企業(yè)內(nèi)一步到位的實(shí)施難度非常大，應(yīng)該采用分步走策略，基于傳統(tǒng)的邊界防護(hù)中的某些系統(tǒng)逐步遷移到基于零信任理念的防護(hù)架構(gòu)。本文介紹一種零信任架構(gòu)的輕量級解決方案，用來保護(hù)企業(yè)移動辦公系統(tǒng)。具體思路為把圖1零信任核心邏輯組件的訪問主體及對訪問主體的安全評估，通過一個客戶端軟件來實(shí)現(xiàn)，把圖1零信任核心邏輯組件中的策略引擎PE、策略管理員PA的功能通過一個控制器軟件來實(shí)現(xiàn)，把圖1零信任核心邏輯組件中策略執(zhí)行點(diǎn)PEP通過一個擴(kuò)展器軟件來實(shí)現(xiàn)，具體的應(yīng)用部署架構(gòu)如圖3所示。

圖3 輕量級零信任系統(tǒng)架構(gòu)部署圖

定制客戶端軟件主要負(fù)責(zé)收集客戶端端點(diǎn)的安全狀態(tài)，計(jì)算綜合安全評分，根據(jù)控制器的策略規(guī)則是否允許接入企業(yè)網(wǎng)絡(luò)，定制客戶端軟件還負(fù)責(zé)根據(jù)客戶端硬件特征生成唯一的公私鑰對，并根據(jù)公私鑰對生成對應(yīng)的唯一的保留IPV6地址，進(jìn)入輕量級零信任系統(tǒng)的端點(diǎn)(含訪問端、被訪問端、控制器、擴(kuò)展器)全部采用保留的IPV6地址進(jìn)行雙重加密通信。

定制控制器軟件主要負(fù)責(zé)軟件定義網(wǎng)絡(luò)(SDN)和軟件定義邊界(SDP)的虛擬交換機(jī)引擎、標(biāo)簽路由、密鑰管理、GOSSIP協(xié)議執(zhí)行、策略執(zhí)行、域名管理、虛擬網(wǎng)卡、拓?fù)涔芾怼⒂脩艄芾淼热蝿?wù)，并負(fù)責(zé)管理定制擴(kuò)展器節(jié)點(diǎn)的定義與接入。

定制擴(kuò)展器軟件主要負(fù)責(zé)定制客戶端的接入，客戶端采用單包認(rèn)證機(jī)制(SPA)通過擴(kuò)展器接入零信任網(wǎng)絡(luò)系統(tǒng)，保證接入安全，并防止身份抵賴和DDoS攻擊。擴(kuò)展器軟件同時具備GOSSIP協(xié)議執(zhí)行、數(shù)據(jù)轉(zhuǎn)發(fā)執(zhí)行、標(biāo)簽路由、虛擬網(wǎng)卡、網(wǎng)關(guān)管理、離岸管理、策略執(zhí)行等功能。

本應(yīng)用方案的地址、路由、加密以及兼容性決定了其優(yōu)勢。客戶端地址由隨機(jī)數(shù)生成公私鑰對決定，對公鑰進(jìn)行散列運(yùn)算，產(chǎn)生與公鑰對應(yīng)的不可抵賴的IPV6地址，采用去中心化網(wǎng)絡(luò)管理的方式,網(wǎng)內(nèi)的地址是無須統(tǒng)一分配機(jī)構(gòu)來管理，每個網(wǎng)內(nèi)用戶通過隨機(jī)數(shù)產(chǎn)生公私鑰對,通過散列算法得出唯一的IPV6地址,由于IPV6地址的空間域足夠大,理論上來說,這些地址重復(fù)的概率極??；路由基于DHT的路由查找算法，以DHT路由算法為基礎(chǔ),加入一些改進(jìn)來提高尋址性能和縮小流量規(guī)模,使得接入到網(wǎng)內(nèi)的任意兩個地址,都可以互相尋找到對方,并進(jìn)行直接通訊，路由信息在節(jié)點(diǎn)間以信任方式進(jìn)行鏈接擴(kuò)散，采用分布式存儲節(jié)點(diǎn)和鏈接關(guān)系(DHT)進(jìn)行路由查找。采用高強(qiáng)度逐層加密，非對稱采用橢圓曲線算法，強(qiáng)度大于RSA3096；對稱加密算法，強(qiáng)度：AES256 (也可根據(jù)國家密碼辦要求改為國密算法),在密鑰交換上因?yàn)镮PV6地址和密鑰的散列關(guān)系,因此天然對抗各種中間人攻擊算法，每個路由節(jié)點(diǎn)逐層加密，逐層加密的原理類似于洋蔥(TOR)網(wǎng)絡(luò)。網(wǎng)內(nèi)以無特征的加密UDP協(xié)議為載體,提供基于6-4的隧道模式建立整個網(wǎng)絡(luò)，天然免疫各種DPI和協(xié)議分析工具。

4 企業(yè)移動辦公系統(tǒng)遷移改造

采用本輕量級零信任系統(tǒng)保護(hù)移動辦公系統(tǒng)，只需對現(xiàn)有的企業(yè)移動辦公系統(tǒng)做少量配置改動，在企業(yè)對外的移動辦公系統(tǒng)web服務(wù)器上安裝定制的客戶端軟件，去掉公網(wǎng)地址映射，做到網(wǎng)絡(luò)隱身。在企業(yè)內(nèi)網(wǎng)部署定制控制器軟件系統(tǒng)，負(fù)責(zé)管理整個移動辦公系統(tǒng)的資源和用戶接入，在企業(yè)網(wǎng)絡(luò)邊界部署定制擴(kuò)展器軟件負(fù)責(zé)各個客戶端的安全接入，擴(kuò)展器全部隱藏對外服務(wù)，并且擴(kuò)展器與移動辦公web服務(wù)器沒有任何邏輯映射關(guān)系，天然抵抗各種網(wǎng)絡(luò)測繪和大數(shù)據(jù)關(guān)聯(lián)分析。

采用輕量級零信任系統(tǒng)后，移動辦公的各類應(yīng)用服務(wù)器接入互聯(lián)網(wǎng)，不再需要對外提供公開的IPV4地址或域名，這種架構(gòu)設(shè)計(jì)使黑客找不到攻擊目標(biāo)，把傳統(tǒng)的網(wǎng)絡(luò)服務(wù)面臨的不可數(shù)的未知威脅銳減到可數(shù)的已知威脅。系統(tǒng)地址生成原理使得網(wǎng)內(nèi)的地址身份不可抵賴，所有傳統(tǒng)網(wǎng)絡(luò)的中間人攻擊手法均失效，所有網(wǎng)絡(luò)竊聽的攻擊手法均失效，不僅可以保護(hù)通訊安全，也可保護(hù)身份安全。方案打破了內(nèi)外有別的概念，從不信任每個個體安全的角度出發(fā)，重構(gòu)網(wǎng)絡(luò)安全整體策略，使得網(wǎng)絡(luò)中實(shí)體無分內(nèi)外，一律采用強(qiáng)安全通訊，傳統(tǒng)的內(nèi)網(wǎng)滲透手段完全失效。同時也可提升布網(wǎng)的便捷性，用軟件定義網(wǎng)絡(luò)的方式，對訪問區(qū)域進(jìn)行動態(tài)組合。由于去中心化網(wǎng)絡(luò)的特點(diǎn)，整體網(wǎng)絡(luò)不需要進(jìn)行地址規(guī)劃，采用地址生成登記的方式即可對全網(wǎng)進(jìn)行管理，并且整體網(wǎng)絡(luò)規(guī)?？梢愿鶕?jù)業(yè)務(wù)及用戶增長不斷擴(kuò)充。