选自《交易技术前沿》第47期

基于零信任安全模型的移动互联网安全接入探索

刘宏、阎一鸣、黄施宇、马晓鹏

国金证券 邮箱:huang_sy@gjzq.com.cn

一、引言

随着科技金融的高速发展,公司的网络基础构架、业务也在日新月异的更新。公司内部不同区域的访问,对外提供多种业务服务如邮件、OA、CRM等互联网服务,以传统安全技术(防火墙、IPS和VPN)构建的公司网络边界,无法阻挡不断向公司内部渗透的威胁,公司已无法识别访问这类应用的用户是否为可信任用户。同时随着新冠疫情的发展,远程办公、远程接入已经成为常态化工作,新场景叠加的安全风险日益突出,在这种情形下,公司急需一套新的远程接入架构实现快速访问接入的同时,又能保证访问者的可信和安全。

(一)典型应用场景及安全风险

1、远程办公场景

远程办公场景主要指:随着我司信息化的发展,尤其是疫情以来,越来越多员工通过移动笔记本电脑、或者家用PC开展移动办公,比如:在家通过互联网进行OA办公、流程审批、公文处理、通告查询、业务处理等,虽然远程办公大大提高员工办公效率,但是同样带来诸多安全风险,如下:

由于远程办公的应用必须依赖互联网环境,而办公的业务系统全部部署在我司本地数据中心,终端的接入必须依赖这些业务系统暴露在外的IP/端口,并且会随着业务系统的数量和复杂程度成倍增加,势必对网络接入侧的安全和管理造成极大风险,很容易被不法分子通过端口扫描等攻击手段造成“破坏”。

同样,对于上述业务的载体PC/笔记本,由于设备大多是个人设备,运行和存储在个人设备的文件数据难以得到有效保障,很容易将核心的文件、数据通过复制、下载、转发、打印等方式泄漏至本地或被不法分子远程窃取。

2、远程运维场景

远程运维主场景要指: IT运维人员通过笔记本、台式机在公司网络之外进行应急维护时通过VPN、堡垒机、VDI登录三套系统,完成对后台服务的运维工作,在业务和运维量少的情况下,问题还不是很突出,随着业务和信息系统的建设增加,问题越发突出,主要表现为:

用户操作体验较差,SSLVPN方式,本身存在对资源的占用,业务处理强度高、并发大的情况下,运维效率就会降低,操作过程有延时、系统响应慢,且登录过程繁琐,且无法监控远程移动终端的系统环境状态和真实用户身份。

另外,通过SSLVPN方式接入系统,会在互联网侧暴露TCP端口,不仅业务系统的安全性存在安全隐患,VPN设备自身的安全性也不能得到有效保障,因为其自身就会存在TCP端口的暴露问题。

(二)建设必要性

1、业务必要性

随着互联网以及信息化建设和发展,传统的IT业务业务重心发生了由内向外的转移,为了提高办公做业的效率、用户的体验,基于互联网的远程办公、运维、移动办公就变得必不可少了,尤其疫情以来,大家也习惯了在家通过自己的移动终端进行办公,而不论是内部办公,远程做业都变成了一种必不可少的一环。

2、安全必要性

基于上述,远程做业同样给安全带来了极大的挑战。

首先,业务的开展需在互联网的环境下通过终端载体来完成,此时,需在互联网侧暴露有端口才能保障业务的正常进行。而随着业务的增加,暴露的端口也会增加,这极大的增加了系统的安全隐患,势必遇到,如:端口扫描、DDoS攻击、重放攻击、暴力破解等攻击手段。

其次,终端环境的碎片化,对证券业务系统的数据防护也带来了更大的挑战,如:远程办公产生的敏感文件、暴露的管理数据等很容易以复制、分享、打印、提权PC操作系统等方式将这些内容泄漏出来。

3、合规要求

对于远程办公的互联网暴露面的收敛,以及终端数据防泄漏问题,不论是从安全合规管理、互联网资产暴露面收敛、还是应对未来的攻防演练角度来讲,都应不断提高自身安全属性,提高安全管理能力。

二、方案设计

(一)方案设计目标

本方案意在实现:

  • 信息系统在互联网侧做到零端口暴露;

  • 作为业务载体的PC终端,实现轻量级的数据隔离和DLP防护;

  • 安全能力的加强不需要对现在业务系统改造、即可实现安全策略的细粒度管控;

(二)方案设计原则

1、满足安全性和用户体验

方案的设计必须在满足安全性的同时,满足用户的实用体验,做到操作简易、运维方便、安全策略灵活管理;

参考美国国家标准与技术研究院NIST特别出版物SP800-207《零信任架构》对方案、产品进行落地;

接入网关服务应严格按照SDP三组件:SDP客户端、SDP控制器、SDP网关进行架构设计。

2、满足高兼容性和易扩展性

方案应充分考虑系统安全持续稳定运行原则,与现有业务系统、业务软件等兼容。并且具有高度可扩充性,能随IT系统和业务的增长而增长。

(三)方案整体架构

零信任安全网关由SDP接入网关、SDP控制器和终端沙盒组成,全面落实解决移动办公业务应用安全、互联网暴露面的保护和数据资产安全的保护问题。

开放可扩展接口,在统一平台上提供支持 SDP 接入管理、资源访问控制和应用管理等功能,将分散的移动安全管理整合在一起,极大降低管理复杂度和成本、提升用户的IT管理效率。

主要包括:SDP接入用户管理、认证授权、资源配置、访问策略、统一安全接入和轻度数据保护等管理。帮助公司实现不同业务、不同安全等级的细粒度安全管理需求。

图:国金证券零信任方案架构

解决方案可以实现安全接入、应用管理以及扩展的移动端安全服务能力,实现从数据到网络的全面保护,平台架构可实现如下:

  • 集约化

集约化建设移动安全管控平台,针对不同部门、不同应用、不同场景,统一规划一套安全管控平台,降低公司安全投入成本,统一安全标准;

  • 微服务架构

平台软件基于微服务架构,可根据实际业务情况灵活拆分部署。通过虚拟化应用实现性能的横向扩容;

  • 基于零信任模型

SDP 安全网关基于零信任模型实现,以基于身份的细粒度访问代替广泛的网络接入公司统一身份认证平台,为用户提供安全可靠的访问业务系统方案,同时对于授信用户实现企业微信扫码一站式登录提升员工访问的体验;

  • 灵活部署

平台可以虚拟化或服务器硬件形式部署在本地数据中心,与用户具体业务应用场景相结合,平台客户端与平台身份认证绑定,实现安全接入、应用管理、设备管理以及扩展移动端安全服务能力。

1、SDP安全网关

(1)可信认证

根据“零信任”的安全理念,SDP安全网关控制中心对包括用户、设备、网络、时间、位置等多因素的身份信息进行验证,确认身份的可信度和可靠性。在默认不可信的前提下,只有全部身份信息符合安全要求,才能够认证通过,客户端才能够与安全网关建立加密的隧道连接,由安全网关代理可访问的服务。针对异地登录、新设备登录的等风险行为,系统将追加二次验证,防止账号信息泄露而导致的内网入侵。

(2)最小化授权

当员工行为或环境发生变化时,SDP网关会持续监视上下文,基于位置、时间、安全状态和一些自定义属性实施访问控制管理。通过用户身份、终端类型、设备属性、接入方式、接入位置、接入时间来感知用户的访问上下文行为,并动态调整用户信任级别。

(3)服务隐藏

SDP安全网关必须通过授权的SDP客户端使用专有的协议才能进行连接,默认“拒绝一切”请求,仅在接收到合法的认证数据包的情况下,对员工身份进行认证。认证通过后,接入终端和网关之间建立协议的加密隧道。专有协议和加密隧道协议技术实现对外关闭所有的TCP端口,保证了潜在的网络攻击者嗅探不到SDP安全网关的端口,无法对网关进行扫描,预防网络攻击行为,有效地减少互联网暴露面。

(4)动态信任评估

SDP安全网关通过统一身份认证服务来确保每个员工访问的合法性,一旦身份验证通过,并能证明自己设备的完整性,赋予对应权限访问资源。SDP进行持续的自适应风险与信任评估,信任度和风险级别会随着时间和空间发生变化,根据安全等级的要求、网络环境等因素,达到信任和风险的平衡。

SDP安全网关架构中,所有员工的请求都必须通过公司的资产设备或满足公司安全基线要求的设备发起,员工的身份需要鉴定确认是否合法,并且通过遵循控制端下发的安全策略才能访问隐藏在安全网关后面的特定的内部资源。同时将员工的登录IP来源与公司威胁情报相结合,对于高风险的来源IP直接拒绝其登录并提示相关信息,从而实现零信任的动态评估。

(5)安全可视化

SDP安全网关实现对员工访问业务全程的流量可视化,将安全策略的执行效果直观表达出来,通过可视化技术将在线设备数量、设备状态、流量走向及安全策略链进行展示,统一直观地展示系统中的流量细节和攻击防御行为。帮助运维团队看清、看全全网的各个节点的情况及访问路径等信息,提升管理员工作效率。

2、终端安全沙箱

(1)数据隔离

对于访问敏感数据的应用系统时,通过沙箱及网络拦截技术,实现敏感数据不落宿主机,从而实现数据隔离。当沙箱内的应用启动,完成沙箱化的过程中,该应用的一切文件操作行为,都会被沙箱管理驱动和重定向引擎所接管,重定向至这个不可见空间,保证了不可见空间数据与个人可见空间数据的隔离以及数据安全性。

(2)数据加密

文件在沙箱内落地后,如何防止被泄露,加密是有效的手段。

终端沙箱针对磁盘使用了透明加解密技术,支持AES等多种加密算法,防止沙箱逃逸导致数据泄露。

(3)网络拦截

网络控制功能是沙箱的重要功能,终端沙箱实现了低级别应用系统可在沙箱外访问,具备敏感数据的应用必须在沙箱内访问,从而满足绝大部分员工的日常使用的行为习惯。

(4)水印保护

根据敏感数据保护的需求,按需给沙箱应用窗口建立对应的透明窗口并添加水印,并且附着到应用窗口上显示到屏幕上。通过添加水印的方式保护沙箱内应用窗口数据安全防止泄露。

(5)截图监控

相对于文件和网络等方式,通过截图造成的可能信息泄露虽然较弱,但仍然希望对其进行一定的控制和审计。

通过挂钩实现截图功能的等关键API,结合发起应用程序的其他特征,有效地判断截图行为。在截图数据返回给截图应用的时候,根据需要,可以将应用窗口涂黑或添加水印等操作并主动上报服务端进行审计,并将结果推送到安全监控中心,实现数据外泄风险提示。

(6)打印控制

Windows的打印系统包含了应用程序、打印脱机程序和打印驱动。

策略控制模块挂钩了GDI的相关函数,根据已配置的打印策略和内容,在打印输出的设备上下文(DeviceContext)上,添加额外的审计信息,这些信息和应用软件的打印内容一起输出到打印脱机程序,由后者调用本地或者网络的打印提供者完成打印。

通过添加打印水印或拦截打印操作的方式将纸质文件流转数据外泄的风险降低至最小。

三、部署架构示意

SDP 接入网关根据实际需求接入到不同的机房网络中对外提供安全访问,其中 SDP控制器以双机方式部署,对外提访问控制等策略下发。由于考虑到控制器是零信任的核心,后续将以同城双机异地灾备方式部署。

根据各组件运行的特性,下面分别说明各组件在高可用方式的运行和切换工作机制。

零信任控制器:控制器的主要作用是认证鉴权,SDP 安全网关是基于 SDP 单包认证,不存在会话、数据同步。控制器是主备方式运行,通过负载均衡实现热备,缺省情况下主机提供服务,在主机出现异常时,切换到备机运行。同时考虑单个机房故障导致无法认证,将在成都部署异地灾备零信任控制器,当上海机房出现故障时将及时切换到成都机房保证认证鉴权持续性。

接入网关:接入网关主要是为员工访问各个机房业务建立加密隧道,提供数据安全传输,以主主方式运行。网关在主主方式运行过程中,采用轮询方式进行负载均衡,确保网关的高可用和稳定。网关在负载均衡模式下,服务器IP 地址对应的端口根据负载对应的轮询服务器与客户端建立加密隧道。

四、项目价值

零端口暴露:通过零信任平台的建设可将现有业务系统暴露在外的TCP端口全部收敛,做到零端口暴露,实现安全防护;

零开发集成:平台安全策略及安全管理能力无需业务系统开发集成,降低改造成本、加快推进效率;

轻量级数据保护:通过采用轻量级终端沙箱方案,实现终端设备内部数据和个人数据的隔离,同时有效防止内部数据的外泄。

零信任做为新型网络安全的概念,将资源和权限控制等多种技术相结合实现细粒度的访问控制,有效防范远程接入的内外部安全威胁,现阶段公司零信任平台建设后,除解决远程办公、远程运维场景外,会陆续将远程开发、跨内网访问、API调用、移动办公(手机端)等业务接入进来,尽可能在安全的前提下,通过IT手段技术手段提高办公和业务的办公效率和体验。

免责声明

本公众号内容仅供参考。对任何因直接或间接使用本公众号内容而造成的损失,包括但不限于因有关内容不准确、不完整而导致的损失,本公众号不承担任何法律责任。如有问题请反馈至tech_support@sse.com.cn。

声明:本文来自上交所技术服务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。