基于办公环境的零信任架构实践

文│绿盟科技 田旭达

当前，企业广泛采用数字化办公，但针对数字化办公环境的安全漏洞、数据泄露、供应链攻击、勒索病毒等网络安全威胁愈发凸显，需要更可靠的网络安全架构来应对这些挑战。面对业务暴露面隐藏、远程办公、运维管理、多数据中心访问等场景，适时而生的零信任理念可以为企业提供更为完善的数字化办公安全防护手段。

一、零信任的落地实践

数字化时代办公环境中的零信任安全建设，要充分考虑办公场景业务痛点以及需求分析，实现对办公环境原有网络安全技术的持续优化和重构，消除对任何单一元素、节点或服务的隐式信任，通过来自多个数据源的实时信息对操作行为进行连续验证，以确定访问请求合规。

当前，零信任的落地实践主要基于软件定义边界（SDP）、身份识别与访问管理（IAM）、微隔离（MSG）等技术，在访问主体到访问客体之间，建立业务平面的安全访问通道，持续提升用户业务系统的安全访问和控制能力，缩小攻击暴露面，精细化身份管理和特权账号的访问权限控制，并实现日志审计和事件溯源，夯实用户网络安全保障体系基础。

针对企业办公场景的零信任落地方案，包含统一身份管理平台 , 安全认证网关（SDP）, 终端安全管理平台、分析和控制平台多个部分。

（一）安全认证网关

基于 SDP 技术的先验证再连接，通过单包授权（SPA）、动态端口等机制实现组织网络和应用的全面隐藏，可有效收敛组织的攻击暴露面，通过网络隐身、可信控制、按需最小授权提供安全的业务访问。

（二）统一身份认证平台

平台以细粒度信任控制为核心，以最小化授权的零信任理念为设计原则，改变传统 IT 体系“独立账号、独立认证、独立授权”的管理模式，为企业提供全面的统一账户管理、统一应用管理、统一多因子强认证（MFA）、统一授权管理、全面日志审计等五方面的能力。

（三）终端安全管理平台

面向企业所有类型终端赋予更安全的准入策略、更精准的检测能力，更高效的查杀能力，更细致的微隔离策略以及更快速地响应处置能力，构建一个轻量化、智能化、快速化的自适应终端安全准入、分析及防护体系。

（四）零信任分析和控制平台

零信任分析与控制模块的作用相当于零信任案安全系统的大脑。通过收集和汇聚风险因素，通过持续网络安全数据，进行实时风险和信任评估，一旦系统受到外部攻击、健康状态出现偏离，可动态访问控制策略，多组件深度联动，持续保障系统运行在稳定可靠的安全状态。

二、关键能力的技术实现

零信任的核心理念是除非主客体信任关系能够持续得到验证，否则都不信任。在经过用户信任关系的验证，建立访问会话之后，还需要持续评估访问行为的可信，确认访问的用户和设备始终保持在安全状态，没有任何异常行为。一旦访问出现异常，能够及时自动化地处理，比如重新认证、权限降低或者直接切断访问会话。

零信任安全架构主要通过单包认证授权、动态多因素认证、基于属性的自适应认证等技术，实现从安全感知、风险决策到资源管控的安全管理闭环。

（一）单包认证授权（SPA）技术

SPA 是软件定义边界的核心功能，通过默认关闭服务端口，使服务实现网络隐身，从网络上无法连接、无法扫描。如果需要使用服务，则通过特定客户端发送认证报文信息给服务器，服务器认证该报文后，将对该 IP 地址打开相关的服务。

SPA 使得所有的客户端在访问资源之前，都要通过控制器服务对其进行单包验证和访问控制，由网关对应用进行业务处理。本质上来说，单包认证是预认证的一种。SPA 技术主要在网络通信层保护防火墙之后的后端服务，可以看成是通信层的访问保护。作为网络通信的授权认证手段，SPA 可以有效防范未信任数据包的风险。

（二）动态多因素认证技术

针对不同的人员及应用，可配置不同的认证方式。人员在访问应用时，需按照配置的认证方式进行认证，通过后才能正常访问应用场景。零信任技术首先提出了动态多因素认证的技术，不同级别人员可按照不同级别设置认证方式。该技术对不同的认证因子设定认证强度等级，支持与外部各种认证系统进行对接。动态持续的认证方式可实时获取业务安全策略控制服务的分析结果，对访问过程中存在的异常行为采取强制二次认证及阻断方式，确保安全访问。

（三）终端可信环境检测技术

终端可信环境检测技术可以确保用户使用终端的环境安全可信，从业务逻辑上可划分为环境感知和行为审计。环境感知包括网络连接感知、软硬件变化感知。行为审计包括进程审计、登录审计、服务审计、用户密码审计、用户权限审计、用户信息审计、共享审计、windows 注册表审计等。

同时，基于异常和程序运行中的恶意行为特征，该技术可检测发现未知风险程序。风险程序在终端环境运行过程中会表现出一些与正常程序不一样的特征，如隐藏自身、伪装自身、在后台运行和联网、服务器配置文件的访问等，终端可信环境检测技术可以监控和发现一些常用的黑客程序并阻止其运行。

（四）基于上下文状态的自适应认证技术

基于属性的自适应身份认证增加了身份认证步骤，利用多重身份认证，可以弥补由单一身份认证所引发的身份认证风险。通过获取用户访问时间，所处地点等多维属性，基于上下文状态的自适应认证技术能够对用户的认证行为、时间、空间、认证所涉及业务等信息进行分析，还能够智能地精准识别一些恶意认证动作，及时进行拦截，阻断攻击者的攻击途径，最大程度保证使用者的身份信息安全和网络信息安全。

三、典型办公场景应用

通过不断挖掘各行业客户的安全需求，绿盟科技基于 SDP、IAM、MSG 等多个维度帮助企业构建基于零信任理念的网络安全防护体系，满足各行业不同的办公场景信息安全防护需求。

（一）应用暴露面隐藏

在关键信息基础设施的网络攻防演练中，组织的网络经常被扫描出大量的业务端口，以及闲置的非必须开放的端口。这些端口可被利用探测业务系统存在的各类漏洞，进而被渗透，给攻击者留下可乘之机，或使安全检查不合规。

零信任架构通过网络和应用的全面隐藏，使得无论在内网还是外网，均无法扫描到被保护的业务系统。通过 SDP 技术的落地，可以实现被访问对象只对可信终端和授权用户开放连接端口，以及可见和可访问，其他请求均无法建立网络连接，也无任何回应，扫描工具扫描不到任何端口，DDoS 攻击、注入攻击找不到攻击对象，让攻击者找不到攻击目标，也就无从下手。

（二）数据安全保护

数字化办公环境日趋复杂，终端、网络、管理等都存在敏感数据泄漏的风险，需要在整个数据生命周期对数据进行安全保护。

零信任的终极目标可以说是保护数据和应用的安全。零信任理念的访问策略，能够让访问应用和数据的行为得到最小化的授权，最大化的安全保障。将安全防护体系和零信任安全体系相结合，将数据标识嵌入到数据资产，通过管理数据标识并将其与零信任系统中的员工访问权限绑定，这意味着在员工的整个身份生命周期内为其分配数据访问权限，并将数据资产纳入到零信任体系管控，有助于防止数据丢失，降低数据安全风险。

（三）替换远程办公虚拟专用网络（VPN）

远程办公是员工访问企业内部应用的一种常见场景，尤其是 2020 年新冠肺炎疫情的爆发客观上促进了各行各业对远程办公需求的提升。在此之前，组织的远程办公大多采用 VPN 的方式进行远程访问。但 VPN 远程办公存在诸多问题，例如 VPN 需要对外开放公网 IP 地址和端口，且 VPN 自身安全性堪忧，易成为攻击的突破口；VPN 控制粒度过粗，权限过大；VPN 内外网体验不一致，管理员难统一管理和审计。

传统 VPN 方案暴露出的不足和隐患，作为零信任技术实现方式之一的 SDP 均可很好地解决。SDP 能够提供比 VPN 更安全和更便捷的远程访问方式。SDP 通过网关隐藏和业务隐藏首先收敛了攻击暴露面，大大降低被攻击风险。其次，SDP 通过多重措施保障自身的安全性来避免成为攻击突破口，避免给攻击者留有任何可乘之机。再次，SDP采用安全传输层协议（TLS）双向加密保障传输加密，采用短链接方式，并非建立 VPN 隧道，因此对网络状态差的环境容忍度也较高，不会出现卡顿和掉线的情况，可提供更稳定的连接方式。在远程办公场景中，SDP 虽然不能涵盖所有零信任能力要求，但是却能给企业业务访问带来安全性和便利性，为零信任理念在企业中的快速拓展提供了基础。

（四）远程运维访问管理

在本地及远程运维场景中，企业虽然具备一定的网络安全体系，但完善的安全运维建设相对滞后，大多存在账户和权限庞杂、管理混乱、认证混乱、无法集中管理，业务访问和跨域运维、访问行为和运维操作无法集中审计等问题，无法满足当前企业对本地及云平台资源的统一化运维。

零信任架构的运维访问管理可以统一身份运维账号、统一入口、统一登录。零信任体系和堡垒机之间的联动也能对运维账户进行动态管理，提高运维安全性和管理效率。零信任架构的运维访问管理能够帮助管理人员从全局、多维度掌握全网运维情况，实现各节点运维人员和资源系统的统一维护管理。通过对系统的综合日志分析，可以持续评估用户和实体行为，确保访问行为可信，针对违规访问、非法攻击，能够进行安全预警、数据责任追踪以及动态的访问控制。

（五）多数据中心混合云场景业务统一访问

随着数字化办公的兴起，越来越多的企业将自身业务应用迁移到了云端，这也造成企业业务应用存在多数据中心或混合云端部署的场景。在这种场景下，用户访问应用需要在多云间和数据中心之间的 VPN 进行登录和退出的手工切换，非常不便，且效率低。同时，各数据中心的 VPN 无法统一管理和审计，管理成本高。此外，如上文所说，VPN自身安全性、权限粗粒度等也存在诸多弊端。

零信任架构能够提供更便捷的访问方式。用户客户端使用私有域名解析（DNS）技术配合 SDP 控制中心的自动调度机制，可实现自动寻址应用所需的网关，无需用户手工切换，极大提升了用户体验以及访问的效率。同时，IAM 能够为用户提供统一的认证入口，可与已有身份识别和访问管理系统进行身份的同步，实现一个账号认证一次便可访问其权限下的所有应用，让访问更加便捷。

四、零信任落地展望

零信任安全解决方案不是完全颠覆企业当前的安全建设成果，而是去打造一个新的零信任安全体系。这里需要充分考虑零信任方案如何去和企业自身现有的安全体系相融合，围绕“永不信任，持续认证”的理念，将各种安全能力统一归属到零信任体系之下，突破传统网络安全的界限，构建全网信任模型，在动态威胁环境中实时保障企业业务安全，以应对数字化形势下复杂多变的网络威胁。

（本文刊登于《中国信息安全》杂志2022年第2期）