疫情背景下遠程辦公安全解決方案設計

［程曉海 嚴曉華 黎彥玲］

1 引言

隨著業(yè)務系統(tǒng)的集約化建設、云化部署，業(yè)務應用的數字化、移動化，大量企業(yè)開始開放遠程辦公，尤其是近年來全球受新冠疫情疫情影響，居家、隔離等防疫措施，迫使大規(guī)模/全員遠程辦公成為新常態(tài)。在網絡安全形勢日益嚴峻的大環(huán)境下，遠程辦公帶來的安全風險也逐漸升級，因此，如何安全、便捷地支撐企業(yè)遠程辦公，成為當前亟待重點解決的問題。

2 遠程辦公主要現狀及痛點

2.1 當前現狀分析

隨著信息化建設不斷深入，企業(yè)的業(yè)務更加開放，訪問用戶更加多元化；集團型企業(yè)對業(yè)務系統(tǒng)采取集約化建設，訪問呈現多分支；云技術發(fā)展，使業(yè)務部署更分散；移動化，近50%的業(yè)務通過移動化方式發(fā)布。技術、應用的演進，尤其是全球新冠疫情爆發(fā)后，遠程辦公模式迅猛發(fā)展。據DCMS 稱，將近32%的英國企業(yè)正在使用VPN 來方便遠程訪問。

隨著業(yè)務縱深發(fā)展，企業(yè)辦公網絡所處的環(huán)境也越來越復雜。端類型，從內網PC 為主，演變?yōu)樵谱烂?、筆記本、手機端等移動終端；業(yè)務訪問角色，從內部員工為主，演變?yōu)閮韧舛嘀亟巧?；業(yè)務系統(tǒng)類型，從C/S 業(yè)務為主，演變?yōu)锽/S、APP、H5 等多形式業(yè)務占絕對主導地位。

2.2 問題與痛點分析

2.2.1 業(yè)務暴露面大,被攻擊風險高

隨著企業(yè)網絡的物理安全邊界越來越模糊，訪問需求的復雜性越來越高，企業(yè)內部資源的暴露面呈現不斷擴大趨勢，這非常容易因業(yè)務系統(tǒng)本身的脆弱性（如漏洞、弱密碼等），遭受黑客攻擊。

2.2.2 接入終端缺乏管理，安全不可控

遠程辦公場景下，存在大量公網終端，因無法加入域控環(huán)境，企業(yè)難以集中管理，安全狀況良莠不齊。當終端同時訪問內網與互聯(lián)網時，容易作為跳板對業(yè)務造成威脅。

2.2.3 多重認證，安全性弱、用戶體驗差

由于缺乏有效的管理和技術手段，賬號密碼被冒用、泄露風險高，爆破成本低，容易造成業(yè)務被入侵。

傳統(tǒng)遠程接入與業(yè)務系統(tǒng)認證相互獨立、割裂，用戶需多次認證才能使用業(yè)務，用戶認證體驗差。

2.2.4 數據易泄露，后果嚴重

企業(yè)信息化和大數據的快速發(fā)展，越來越多重要核心數據在業(yè)務系統(tǒng)集中存放，因此成為攻擊目標。在遠程辦公場景下，這些數據更容易被攻破、泄露，給企業(yè)或社會造成損失。

2.2.5 安全監(jiān)管要求越來越高

隨著安全形勢日趨嚴峻，國家和行業(yè)管理部門對企業(yè)安全的監(jiān)管力度逐步加強，如公安部每年的攻防演練、工信部的安全漏洞掃描，推動企業(yè)主動做好防護和加固。

3 零信任及其主要技術

傳統(tǒng)企業(yè)網絡在構建安全體系時，主要是基于邊界安全的理念，即：在企業(yè)網絡的邊界部署IPS、防火墻、WAF、等安全設備，用來防范來自企業(yè)網絡邊界之外的攻擊。近年來，隨著移動化、上云和軟件即服務（SaaS）三大趨勢，尤其疫情爆發(fā)后，遠程辦公規(guī)模化、常態(tài)化，傳統(tǒng)網絡邊界模型已無法滿足當前新要求，零信任安全策略逐漸被采納。

3.1 零信任相關概念

零信任既不是技術也不是產品，而是一種安全理念。零信任理念強調：“Never Trust、Always Verify”。根據NIST《零信任架構標準》[1]中的定義：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網絡環(huán)境已經被攻陷的前提下，當執(zhí)行信息系統(tǒng)和服務中的每次訪問請求時，降低其決策準確度的不確定性。

3.2 軟件定義邊界（SDP）

軟件定義邊界SDP 是實踐零信任安全理念的技術架構與方案。企業(yè)可以通過部署SDP 產品或者解決方案來實現零信任安全理念中的原則。SDP 的網絡隱身技術可以很好實現Never Trust 原則。與傳統(tǒng)TCP/IP 網絡默認允許連接不同，在沒有經過身份驗證和授權之前，服務器對于終端用戶是完全不可見的，從By Default Trust 變成Never Trust。SDP 是一種快速高效的零信任安全實踐技術架構。[2]

3.3 SPA 單包授權

SPA 單包授權是SDP（軟件定義邊界）的核心功能，在允許訪問控制器、網關等相關系統(tǒng)組件所在的網絡之前先檢查設備或用戶身份，實現零信任“先認證再連接”的安全模型。SPA 單包授權的目的是允許服務被防火墻隱藏起來，防火墻默認丟棄所有未經驗證的TCP 和UDP 數據包，不響應那些連接請求，不為潛在的攻擊者提供任何關于該端口是否正被監(jiān)聽的信息，進而實現“網絡隱身”。在認證和授權后，用戶被允許訪問該服務。[2]

4 基于零信任的遠程辦公安全解決方案

4.1 方案主要目標

基于零信任安全理念，組合網絡安全、終端安全、數據安全、身份識別等多種技術，構建新型零信任安全架構。即：將設備信任和用戶信任作為架構的基礎，通過對訪問過程的持續(xù)評估，確認訪問行為的可信度，并對訪問行為進行自適應的訪問控制。該架構用于取代逐漸不適應當前安全要求的傳統(tǒng)安全架構。

4.2 典型安全方案設計

本設計方案以零信任為原則，重點解決遠程辦公的“三項安全痛點”：訪問控制安全、鏈路安全和終端安全。將企業(yè)網絡內部和外部的任何設備、訪問者、和業(yè)務系統(tǒng)均視為不信任，體系化的設計新型的訪問控制，構建新的信任基礎。[3]

首先對現網業(yè)務系統(tǒng)進行綜合評估，根據業(yè)務模型和場景，確定方案的主要功能需求；根據交互量和并發(fā)數確定建設規(guī)模和能力。本文的場景確定為：企業(yè)有一個總部（構建私有云服務）和一個物理上分開的分支機構，并擁有企業(yè)自己的內網。主要功能確定為：網絡隱身、最小授權和高效訪問共三項，系統(tǒng)性能滿足4000 用戶并發(fā)的需求。企業(yè)實際運用中，具體設備選型可結合解決方案廠家的產品實際，選擇具有集群功能、可平滑升級迭代的產品，并考慮架構能夠適配安全技術與措施不斷演進發(fā)展。

4.2.1 方案架構設計

方案整體架構基于零信任理念的SDP 架構實現（如圖1 所示），核心零信任產品組件由控制中心、代理網關、客戶端、分析中心四大部分組成。[4]

圖1 架構設計圖

控制中心：它是調度與管理的中心，負責認證、授權、策略下發(fā)與管理。通過給網關發(fā)送控制指命，控制建立連接和切斷用戶與應用之間的通信連接。[3]

代理網關：它位于客戶端和應用資源之間，負責建立、監(jiān)視終端用戶與應用資源間的連接，并負責在必要時切斷這種連接。上述功能的實現，是通過它與控制中心之間的信息通信，接收控制中心所發(fā)出的指令和策略來實現的[3][4]。

客戶端：系統(tǒng)在客戶端應具備在PC 和移動端兩類，并且移動端APP 和PC 客戶端均可支持SSL 隧道的訪問。開啟SPA 服務隱身后，只有授權過的客戶端才能連接控制中心和代理網關，才能進行認證、授權、和代理訪問。[5]

分析中心：負責日志采集、存儲及分析。日志接收存儲引擎和安全分析引擎，通過分析，識別系統(tǒng)安全風險，以風險告警形式提示管理員，支持可視化處理。

4.2.2 部署方案設計

購置2 臺零信任網關，分別部署在企業(yè)所屬網絡的出口節(jié)點和私有云節(jié)點，實現內外部網絡隔離，并實現對所有訪問請求的記錄，如：訪問資源的URL 路徑、源IP 地址和目標IP 地址，同時還可以實現對日志審計的支持。[5]

購置1 臺零信任控制中心，部署在零信任網關前，實現對系統(tǒng)的管理、控制和日常維護。如圖2 所示。

圖2 部署方案設計示意圖

主要功能效果：

（1）網絡和業(yè)務隱身：SPA 單包授權技術與應用訪問代理配合，實現網關自身和應用資源的雙重隱藏，讓企業(yè)“網絡隱身”。

（2）可信終端管理：①終端身份認證，用戶和設備雙重認證；② 可信環(huán)境感知，終端安全基線檢測；③動態(tài)授權控制，終端威脅異常，禁止訪問。

（3）統(tǒng)一入口，集中導航，高效訪問。支持

靜態(tài)密碼、動態(tài)口令、生物識別等多維身份認證方式，實現單點登錄，提升用戶認證的安全性和體驗性。

表1 性能指標需求表

4.3 主要功能設計

4.3.1 網關和業(yè)務隱身功能

支持基于SPA 單包授權技術的隱身功能，服務器僅允許授權用戶使用可信客戶端訪問被保護業(yè)務，否則，不可見，也不能連接（如圖3 所示）。避免攻擊者對服務器進行漏洞掃描、爆破等惡意攻擊。

圖3 網絡/業(yè)務隱身示意圖

用戶通過在安全的網絡環(huán)境登錄獲取TOTP 種子，或者通過管理員分發(fā)“SPA企業(yè)專屬客戶端”獲取TOTP種子。當用戶需在不安全網絡環(huán)境登錄系統(tǒng)時，就可以通過種子計算出動態(tài)令牌加入https請求中，服務器校驗令牌合法性，如不合法，就不響應該請求。

網關隱身：采用控制面和業(yè)務面分離，先驗證才連接。默認不開放任何TCP 端口，SPA 敲門驗證通過后，才開放端口，實現網絡隱身。

應用隱身：只允許驗證通過的設備和用戶連接，否則應用不可見，不可連接，實現應用隱身。

4.3.2 最小授權訪問

動態(tài)按需最小授權，基于可信的用戶身份、訪問終端、上下文信息、流量內容等多維信息，按照更精細的顆粒度實施風險度量，并根據度量結果進行授權，以此達到進行動態(tài)訪問控制的效果，確保只有可信的用戶、終端設備，才能實現對應用的可見、可連接和可訪問[6]。

在用戶和資源之間，綜合身份、設備、行為等維度的風險信息，通過智能分析和動態(tài)訪問控制，進行持續(xù)風險和信任等級評估[7]，在業(yè)務系統(tǒng)全場景實現放行、阻斷、自適應認證、權限收斂等自適應處置。人機綁定，確保用戶和設備雙重可信，防止賬號竊取/仿冒攻擊。

4.3.3 高效訪問

統(tǒng)一入口：與已有4A 快速對接，一個賬號打通所有應用，統(tǒng)一賬號登錄。與4A 實現單點登錄，4A 與應用實現單點登錄。登出一鍵注銷，用戶應用會話統(tǒng)一管理，無感登出，統(tǒng)一注銷。

集中導航：應用集中展示，根據用戶權限，自動展現用戶應用列表，隱藏無權限的應用，可與現有門戶快速集成、復用。

智能自動選路：多數據中心場景，控制器告知終端應用對應網關地址，實現自動選路；網關集群場景，負載均衡自動選路[8,9]。

圖4 高效訪問

4.3.4 數據更安全

通過基于SPA 單包授權技術，實現網關、業(yè)務隱身，并通過最小授權實現終端可信，大大降低了資源的可見性，實現對業(yè)務和服務的有效防護，防止被攻擊或成為攻擊目標。保障數據更安全的存儲、傳輸和使用。

4.3.5 契合安全監(jiān)管要求

基于零信任的遠程辦公安全解決方案，相較于傳統(tǒng)案，符合當前的技術演進方向，并顯現了更強的安全效果，契合國家和行業(yè)管理部門對企業(yè)安全的監(jiān)管的要求。不僅可以在公安部的攻防演練、工信部的安全漏洞掃描中取得良好效果，更可以在實際應用中實現有效的防護。

4.4 方案成效

4.4.1 有效支撐疫情下企業(yè)遠程辦公

零信任作為備受認可的技術趨勢，其在遠程辦公場景下的安全防護效果有目共睹。隨著全球疫情爆發(fā)并長期持續(xù)，遠程辦公成為企業(yè)運轉的常態(tài)，在此背景下，越來越多的政府、企業(yè)在落地應用該技術，據中國信通院調查顯示，政府機關、信息技術服務業(yè)、金融業(yè)、制造業(yè)作為排頭兵，零信任應用占比靠前，總占比達53%。

4.4.2 最小化暴露面，保障業(yè)務安全

暴露面全面收縮，通過“先認證，再接入”將業(yè)務收縮到內網，實現客戶端準入前，端口暴露數量為0。網絡、應用資源的雙重隱身[10]，可以有效阻止攻擊者/黑客對企業(yè)的網絡、業(yè)務資源的掃描、探測和攻擊。

4.4.3 身份可信，終端持續(xù)安全

對終端實現集中管控，保證訪問業(yè)務的終端符合一定的安全基線；通過對終端環(huán)境及用戶行為持續(xù)安全監(jiān)測，通過中斷訪問或進行增強認證，有效保障終端安全。通過以身份為基礎的動態(tài)訪問控制和最小授權原則，構建端到端的邏輯邊界，解決了傳統(tǒng)邊界防護內網被橫向擊穿隱患。

4.4.4 集中導航，認證體驗好

實現零信任與業(yè)務的單點登錄；結合動態(tài)訪問控制策略，配置雙因素認證方式，滿足等保合規(guī)、安全接入要求。減少密碼被竊取、爆破等安全風險，支持用戶內外網一致訪問體驗。系統(tǒng)試點應用6 個月，用戶滿意度提升5.6 個百分點。

5 結論

本文主要研究設計零信任解決方案，解決當前疫情下多數企業(yè)開放遠程辦公的安全問題。通過部署零信任安全網關和控制中心，實現網絡隱身、最小授權、高效訪問，通過實際網絡應用，方案達到了保障遠程辦公安全的目標。本方案高效、便捷，可適用于中等規(guī)模企業(yè)開放遠程辦公場景的安全保障需求，具有借鑒和推廣意義。