基于零信任網(wǎng)絡(luò)安全架構(gòu)的園區(qū)遠程辦公VPN 解決方案

崔書方，陳 力，馬 明

（武漢問道信息技術(shù)有限公司 湖北 武漢 430042）

0 引言

目前園區(qū)遠程辦公呈現(xiàn)全員化、常態(tài)化特點，是企業(yè)與員工的共同需求。 遠程辦公的前提條件之一是開放遠程訪問，這大幅度提高了工作效率與時間利用率，但也埋下諸多安全隱患。 零信任理念的出現(xiàn)在解決遠程辦公安全問題上提供了新思路，本文提供了一種基于零信任架構(gòu)同時配合統(tǒng)一終端管理與軟件定義邊界兩大技術(shù)架構(gòu)的遠程虛擬專用網(wǎng)絡(luò)（virtual private network，VPN）解決方案，以期為園區(qū)遠程辦公保駕護航。

1 遠程辦公安全需求與零信任網(wǎng)絡(luò)安全架構(gòu)

近幾年，遠程辦公越來越備受企業(yè)與員工的青睞。 遠程辦公的典型價值有：第一，員工能夠充分利用碎片化時間；第二，工作可以不受時間與地點的限制；第三，有助于提高生產(chǎn)、經(jīng)營與管理等各環(huán)節(jié)的工作效率；第四，有助于增加經(jīng)營深度和擴寬經(jīng)營范圍。 從全球范圍來看，園區(qū)遠程辦公已趨向全員化、常態(tài)化；從國內(nèi)來看，金融、教育、醫(yī)療、企業(yè)與政府等各行各業(yè)均嘗試開展遠程辦公。

遠程辦公是建立在開放遠程訪問的基礎(chǔ)上，而開放遠程訪問可能會帶來諸多安全風(fēng)險，如用戶賬號密碼信息被盜用；終端設(shè)備被控制后成為非法攻擊跳板；下載到終端設(shè)備的數(shù)據(jù)泄露；數(shù)據(jù)在傳輸過程中被監(jiān)聽；業(yè)務(wù)開放到互聯(lián)網(wǎng)增加被攻擊的風(fēng)險；缺乏權(quán)限控制導(dǎo)致被越權(quán)訪問等。 因此，要實現(xiàn)安全遠程辦公的目標(biāo)，需要建立全流程的動態(tài)安全保障。 第一步，要確保終端設(shè)備合規(guī)；第二步，要檢驗登錄身份的合法性；第三步，利用安全套接層協(xié)議（secure sockets layer，SSL）加密技術(shù)來搭建安全可靠的數(shù)據(jù)傳輸通道；第四步，對業(yè)務(wù)訪問權(quán)限進行嚴格限制；第五步，要確保下載到終端的數(shù)據(jù)信息不被泄露；第六步，對行為日志進行留存以便后續(xù)違規(guī)行為溯源［1］。

目前傳統(tǒng)VPN 方案已經(jīng)不能滿足當(dāng)今互聯(lián)網(wǎng)環(huán)境的需要，存在的問題如安全性較弱、穩(wěn)定性不高、效率低下及缺乏一定的擴展能力。 由此提出一種基于零信任的網(wǎng)絡(luò)安全架構(gòu)，該安全架構(gòu)借鑒零信任理念，以業(yè)務(wù)安全為中心，以認證授權(quán)體系為核心，從身份安全、終端安全、應(yīng)用安全等方面來實現(xiàn)業(yè)務(wù)發(fā)展與企業(yè)安全的有效融合。

2 零信任網(wǎng)絡(luò)安全架構(gòu)落地路徑

2.1 應(yīng)用分類、界定保護范圍

零信任改造是一個由淺入深、由少到多的過程，面對企業(yè)眾多應(yīng)用，不建議也做不到一次改造完成。 因此具體實施過程中，先對全部應(yīng)用按照場景與邏輯進行分類整理，在考慮實施難度與業(yè)務(wù)連續(xù)性的基礎(chǔ)上選擇部分應(yīng)用來完成零信任改造。

2.2 應(yīng)用安全

利用訪問網(wǎng)關(guān)插件來隱藏與代理被保護的應(yīng)用，所有對被保護應(yīng)用的訪問都需要經(jīng)過網(wǎng)關(guān)以確保精細化的權(quán)限控制與每一次訪問的安全。 與此同時對分類的業(yè)務(wù)進行邏輯隔離并制定對應(yīng)的安全策略，從而達到可視化安全互訪的目標(biāo)，有效解決數(shù)據(jù)共享、業(yè)務(wù)開展與數(shù)據(jù)安全等問題，此外，應(yīng)用程序編程接口（application programming interface，API）網(wǎng)關(guān)還有利于防范病毒和惡意軟件在公司內(nèi)網(wǎng)的擴散與傳播［2］。 在同類別下多個應(yīng)用之間，考慮到互相訪問與調(diào)用的頻繁程度，由此選用訪問控制列表（access control list，ACL）進行控制，后續(xù)可根據(jù)企業(yè)的實際需求逐步改造與遷移而實現(xiàn)API 網(wǎng)關(guān)統(tǒng)一管理。

2.3 身份安全

零信任的基本要求是通過持續(xù)驗證來確保用戶身份的可信可靠，這需要利用用戶管理系統(tǒng)統(tǒng)一集中管理企業(yè)用戶的賬號權(quán)限，用戶管理系統(tǒng)要為員工用戶提供全生命周期管理，其中包括員工入職、崗位調(diào)動及員工離職等。用戶管理系統(tǒng)還要具備多因素認證能力，如智能卡、郵箱、密碼、令牌、生物識別以及多種認證方式的組合。 零信任通過嚴格核實內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)來高強度掌控各種數(shù)據(jù)身份，對眾多訪問設(shè)置重重信息關(guān)卡，以添加綜合認證和增加加密權(quán)限，并始終使用零信任的管理方式在每一次登錄時進行安全驗證并靈活地調(diào)整動態(tài)權(quán)限與信任程度，從而建立一套動態(tài)的綜合信任體系。

2.4 設(shè)備安全

基于零信任理念，不僅要確保身份可信，還要保證設(shè)備可信，即全部訪問內(nèi)網(wǎng)應(yīng)用與數(shù)據(jù)的設(shè)備都是可控可信的設(shè)備。 為確保用戶每次使用的設(shè)備都是可信的，設(shè)備管理需要為每臺設(shè)備分配唯一識別碼，并將該唯一硬件識別碼與用戶賬號相關(guān)聯(lián)，以此來保證用戶每次使用的設(shè)備都是可控合規(guī)的設(shè)備［3］。 另外，對于不可信設(shè)備，需要進行強制身份認證，只有身份認證通過后才能允許該設(shè)備入網(wǎng)。 與此同時對可信設(shè)備的管理還要識別設(shè)備狀態(tài)，如驗證設(shè)備自身當(dāng)前狀態(tài)是否安全、是否通過安全基線等。

2.5 零信任安全架構(gòu)搭建

上述基礎(chǔ)工作準(zhǔn)備就緒后，就可以著手搭建零信任架構(gòu)。 零信任軟件定義邊界（software defined perimeter，SDP）架構(gòu)有集群模式與主備模式兩種常見方式，集群模式又稱高可用方案，該模式將應(yīng)用網(wǎng)關(guān)與控制中心分別進行集群化部署，同時還提供接入網(wǎng)關(guān)從而實現(xiàn)負載均衡與訪問接入。 高可用方案在被保護應(yīng)用之前部署安全接入網(wǎng)關(guān)，控制中心采用集群方式來負責(zé)全部請求，即使其中一臺設(shè)備發(fā)生故障也不會影響業(yè)務(wù)的正常進行。 這種集群方式一方面可以根據(jù)企業(yè)的實際需要進行彈性拓展，另一方面能有效避免單點故障帶給應(yīng)用訪問的影響。

2.6 應(yīng)用統(tǒng)一門戶

企業(yè)提供應(yīng)用統(tǒng)一訪問門戶，不僅有助于實現(xiàn)公司互聯(lián)網(wǎng)統(tǒng)一入口與跨設(shè)備的集中管理，可以有效隱藏原本需要對外開放的端口與應(yīng)用，從而確保應(yīng)用與數(shù)據(jù)安全。 當(dāng)用戶經(jīng)統(tǒng)一入口登錄訪問，首頁僅展示用戶角色相應(yīng)權(quán)限的應(yīng)用快捷鏈接，同時系統(tǒng)支持單點登錄（single sign-on，SSO）功能，從而實現(xiàn)安全訪問區(qū)域多業(yè)務(wù)共享登錄標(biāo)識，不需要多次登錄重復(fù)鑒權(quán)［4］。

2.7 制定零信任安全策略

零信任的基本理念是持續(xù)監(jiān)測環(huán)境狀態(tài)與用戶行為，不斷靈活調(diào)整訪問策略，因此企業(yè)在實施基于零信任的遠程訪問VPN 解決方案時，需要制定以信任得分為核心的動態(tài)訪問策略。 在該訪問策略下，應(yīng)用對用戶每次訪問時的接入環(huán)境、使用設(shè)備及用戶身份進行驗證并給出一定的信任級別分數(shù)，同時為應(yīng)用制定安全等級分數(shù)，只有用戶的綜合信任級別分數(shù)高于應(yīng)用的安全等級分數(shù)，用戶才被允許正常訪問，否則不允許本次訪問或在系統(tǒng)限制與監(jiān)控下進行訪問。 用戶信任與應(yīng)用安全級別如表1 所示。

表1 用戶信任與應(yīng)用安全級別

2.8 基于用戶角色與應(yīng)用類別逐步遷移

零信任轉(zhuǎn)型是一個過程，為了不影響公司的正常業(yè)務(wù)，提出核心應(yīng)用與遠程辦公類應(yīng)用優(yōu)先、必須用零信任訪問的用戶優(yōu)先、原來的VPN 用戶、過渡白名單策略等逐步遷移辦法，對核心應(yīng)用與遠程辦公類應(yīng)用，提供網(wǎng)關(guān)代理訪問方式，在保留原有的內(nèi)網(wǎng)直接訪問與VPN 訪問方式，另外添加應(yīng)用網(wǎng)關(guān)代理訪問方式；對于需要訪問核心數(shù)據(jù)的部分用戶，按照一定優(yōu)先級順序?qū)⑵渲鸩竭w移到零信任體系下；對原來VPN 用戶，提供訪問代理訪問，前期強制要求通過零信任客戶端訪問，后期以訪問控制列表或隱藏端口與應(yīng)用等方式來阻止用戶直接訪問；過渡白名單策略是允許白名單用戶用原來的方式來訪問應(yīng)用，等到用戶全部遷移至零信任訪問模式下并且沒有任何問題，再對白名單進行修正。

3 基于零信任框架的園區(qū)遠程辦公VPN 解決方案

基于零信任框架的園區(qū)遠程辦公VPN 解決方案，是遵循零信任架構(gòu)相關(guān)標(biāo)準(zhǔn)，同時融合統(tǒng)一終端管理（unified endpoint management，UEM）與SDP 兩大技術(shù)架構(gòu)進行設(shè)計與實現(xiàn)，是面向數(shù)據(jù)防泄露、安全接入等員工訪問業(yè)務(wù)場景的一體化園區(qū)遠程辦公方案［5］。 該遠程辦公VPN 解決方案的形成流程，如圖1 所示。

圖1 園區(qū)遠程辦公VPN 解決方案形成流程

零信任終端有綜合網(wǎng)關(guān)形態(tài)和標(biāo)準(zhǔn)SDP 形態(tài)：綜合網(wǎng)關(guān)形態(tài)將網(wǎng)關(guān)與控制中心合二為一，通過一臺設(shè)備可搞定用戶認證、數(shù)據(jù)安全傳輸隧道建立、數(shù)據(jù)轉(zhuǎn)發(fā)與策略管理等多種功能，不適用于多云環(huán)境或多數(shù)據(jù)中心部署；標(biāo)準(zhǔn)SDP 形態(tài)最高可支持百萬規(guī)模，其中安全網(wǎng)關(guān)用于建立隧道、執(zhí)行策略與轉(zhuǎn)發(fā)數(shù)據(jù)，控制中心用于策略管理與用戶認證，該形態(tài)支持異地部署、多云多數(shù)據(jù)中心部署。

園區(qū)遠程辦公VPN 解決方案實現(xiàn)全方位遠程訪問安全保障，具體如下：在確保終端安全方面，通過檢查多維度終端環(huán)境來有效保障終端設(shè)備合規(guī)，主要包括終端環(huán)境檢查、應(yīng)用進程檢查以及其他方面的檢查等，其中，終端環(huán)境檢查用于檢查補丁、媒體存取控制地址（media access control address，MAC）、防火墻、進程以及殺毒軟件等；應(yīng)用進程檢查用于檢查瀏覽器名稱、應(yīng)用進程與版本等；其他方面的檢查包括對網(wǎng)絡(luò)區(qū)域、時間、密碼強度等的檢查。在用戶身份認證方面，綜合使用多種身份認證方式來驗證登錄身份合法，如賬號密碼、短信驗證碼、釘釘認證、動態(tài)令牌、證書認證、企業(yè)微信認證、電子鑰匙及身份識別與訪問管理／第四代訪問管理（identity and access management／4th generation access management，IAM／4A）認證等。 在權(quán)限控制方面，聯(lián)合使用靜態(tài)權(quán)限授權(quán)與按需收縮權(quán)限兩種方式來實現(xiàn)精細化權(quán)限控制。 在訪問數(shù)據(jù)限制方面，通過網(wǎng)絡(luò)隔離、防打印、防拷貝、防錄屏截屏及文件加密等多種方式來有效保障數(shù)據(jù)不被泄露，為遠程辦公提供一個安全可靠的工作空間。 在行為追蹤方面，利用訪問行為審計，準(zhǔn)確及時記錄誰什么時間在哪個終端，使用哪種認證方式訪問哪些業(yè)務(wù)場景并進行了什么操作等［6］。

4 方案實施與調(diào)試

根據(jù)用戶行為的訪問路徑，完全控制其中的關(guān)鍵訪問路徑，在用戶訪問過程中利用應(yīng)用保護、數(shù)據(jù)防泄露、多因素認證、錄屏審計及終端零信任等多種保護手段來持續(xù)性評估與審計風(fēng)險，以此建立可控可靠的遠程訪問安全網(wǎng)絡(luò)體系架構(gòu)，從而實現(xiàn)整個遠程訪問過程的安全可控，基于零信任架構(gòu)的VPN 解決方案的實施綱要共分為訪問、設(shè)計、驗證、現(xiàn)代化與規(guī)?；任鍌€部分［7］。

其中具體的實施步驟為：第一，專門準(zhǔn)備一臺高性能服務(wù)器，安裝相應(yīng)客戶端工具，利用零信任虛擬化技術(shù)實現(xiàn)用戶遠程訪問與使用，只要經(jīng)過相應(yīng)零信任客戶端獲得虛擬化應(yīng)用服務(wù)權(quán)限，用戶無需插拔加密狗即可遠程訪問并使用內(nèi)網(wǎng)資源；第二，對于用戶與任意一臺公網(wǎng)設(shè)備，需要知道自己的賬號密碼及VPN 地址，該VPN 解決方案中，使用雙因素認證動態(tài)與靜態(tài)口令相結(jié)合的方式來解決弱口令問題，采用相關(guān)協(xié)議進行連接并于VPN 網(wǎng)關(guān)外部署防火墻，同時僅對外開放兩個特定端口；第三，VPN 登錄成功后，為公網(wǎng)設(shè)備用戶分配虛擬的IP 地址用于訪問虛擬應(yīng)用服務(wù)器；第四，對于服務(wù)器的兩個私有協(xié)議，需要在公網(wǎng)設(shè)備上安裝相應(yīng)的零信任客戶端，然后經(jīng)過雙因素認證和授權(quán)后方能順利訪問虛擬應(yīng)用發(fā)布的相對應(yīng)客戶端程序；第五，虛擬應(yīng)用服務(wù)器與客戶端之間采用私有協(xié)議進行通信，數(shù)據(jù)通過相應(yīng)國密算法進行加密；第六，同時對虛擬應(yīng)用服務(wù)器進行系統(tǒng)安全加固操作，如清除數(shù)據(jù)緩存、安裝相應(yīng)殺毒軟件、配置用戶行為圖形審計、用戶數(shù)據(jù)邏輯隔離以及關(guān)閉其他無關(guān)應(yīng)用等；第七，當(dāng)用戶遠程訪問內(nèi)外業(yè)務(wù)系統(tǒng)時需要驗證用戶身份等，同時增設(shè)防火墻技術(shù)以有效保障遠程訪問的安全、可靠與可控［8］。

5 基于零信任遠程辦公VPN 解決方案的應(yīng)用

基于零信任架構(gòu)的園區(qū)遠程辦公VPN 解決方案的應(yīng)用與應(yīng)用效果如下。

例如某一銷售人員小李在出差過程中遠程訪問內(nèi)網(wǎng)訂單系統(tǒng)與辦公自動化系統(tǒng)（office automation system，OA）的具體流程是：第一步，小李通過電腦遠程訪問OA 系統(tǒng)，此時系統(tǒng)檢測到?jīng)]有認證的訪問請求，要求完成身份認證；第二步，系統(tǒng)檢測到小李所用電腦非公司電腦且未安裝公司殺毒軟件，此時需要進行二次身份認證或安裝相應(yīng)殺毒軟件后才能順利進行后續(xù)訪問；第三步，身份認證或安裝相應(yīng)殺毒軟件后，小李可以順利訪問公司OA 系統(tǒng)；第四步，小李打開訂單系統(tǒng)并查看某一筆訂單詳情，此時系統(tǒng)彈窗提示該行為涉及敏感核心數(shù)據(jù)僅限于安全工作空間內(nèi)訪問；第五步，小李在工作臺找到訂單應(yīng)用，從安全工作空間打開訂單系統(tǒng)并正常查看瀏覽訂單數(shù)據(jù)。

再如，某一公司部門經(jīng)理張總在高鐵上遠程訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的具體流程是：第一步，張總在高鐵上使用電腦進行遠程辦公，雙擊客戶端進入到登錄頁面，在該頁面填寫正確的賬號密碼或選擇掃碼認證，當(dāng)系統(tǒng)完成身份認證后，即可正常訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)；第二步，開啟單點登錄，訪問OA 時無需重復(fù)填寫賬號密碼信息；第三步，高鐵上網(wǎng)絡(luò)不穩(wěn)定的情況下只需要在網(wǎng)絡(luò)恢復(fù)時刷新下網(wǎng)頁即可繼續(xù)瀏覽，無需登錄重連；第四步，張總可以在終端自助管理中設(shè)置自己的電腦為信任終端，再次使用自己電腦訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)就可以省去登錄過程從而快速訪問。

6 結(jié)語

綜上所述，將零信任網(wǎng)絡(luò)安全框架引入到園區(qū)遠程辦公VPN 解決方案中，為園區(qū)遠程辦公提供了有效可行的解決方案，綜合考慮遠程辦公中的人員身份、設(shè)備、流程、訪問與環(huán)境等多維因素，為公司業(yè)務(wù)發(fā)展提供可控、可靠、可信、便捷的服務(wù)與安全環(huán)境，有利于降低企業(yè)內(nèi)部各業(yè)務(wù)訪問的風(fēng)險。