解决商网环境下的“信任危机”
日期:2022年01月19日 阅:21
2019年,航空工业深入贯彻落实习总书记关于网络安全和信息化工作的系列重要讲话精神,推动集团内部各成员单位之间的办公协同和数字化转型,建设了覆盖全集团所有成员单位的商密网移动办公平台。平台使用阿里专有云架构建设,企业OA、邮件、即时通、招采平台等内部应用业务系统相继上云,促进了跨地区、跨部门、跨层级的数据资源共享和业务协同。
但随着移动办公和业务系统的逐渐云化,商网(商网bizws:Business Website的缩写,是由“中国商网”开发并运营的网络交易平台。)的业务架构和网络环境随之发生了重大的变化,访问主体和接入场景的多样化、网络边界的模糊化、访问策略的精准化等都对传统基于边界防护的网络安全架构提出了新的挑战。为了帮助更多企业用户了解商网所面临的网络安全风险,发布本期牛品推荐——格尔软件:零信任解决方案。该方案以格尔软件在航空工业商网上的成功实践为切入点,详述了零信任理念所解决的网络安全难题,分享了零信任理念的实际落地经验,希望能够为行业用户提供更多启发。
标签
零信任,身份认证,数据安全,网关安全,持续信任
用户痛点
目前在商网移动办公安全架构中存在的问题主要包括:
1、个人移动办公终端从注册、使用到删除的设备全生命周期难掌控,移动办公终端中的运行环境监控、恶意应用安装和数据保护难管理;
2、使用移动办公终端的人员身份冒用和越权访问难预防;
3、现有的移动终端一次性认证通过后即取得了安全系统的默认信任,而移动终端的运行环境是随时可能发生变化的,第三方恶意应用系统的安装和病毒感染随时可能造成正在访问的敏感数据被窃取;
4、业务系统采用云化部署,以容器化和API 化提供服务,但对API接口和服务的访问防护仍停留在访问认证层面,尚无对API和服务调用进行权限控制;
5、业务系统中存储的敏感数据访问尚未有明确的分级分类访问机制,对于访问敏感数据的应用和用户无从控制和审计。
解决方案
格尔软件的零信任解决方案以“持续信任评估”、“动态访问控制”和“软件定义边界”为理念,帮助航空工业构建了一套零信任与传统安全防御互相协同的安全技术新体系。
零信任服务体系架构分为主体区域、安全接入区、安全管理区、及客体。整个逻辑结构展示了主体访问到客体的动作,通过安全接入区对主体的访问进行安全接入控制与策略管理。最终实现动态、持续的访问控制与最小化授权。
图1:零信任逻辑架构
该项目解决方案整体由密码基础设施、可信身份管控平台、零信任网关管理平台、环境感知中心、策略控制中心等部分组成。以下为整体结构详解:
密码基础设施:依托商网现有的密码基础设施对其网络平台提供密码密钥管理服务;电子认证基础设施(PKI/CA)对不同对象,如人员、设备、应用、服务等提供基于国产商用密码算法的数字证书管理服务。
可信身份管控平台(身份管理基础设施):依托密码支撑体系,以身份为中心,提供不同对象的规范化统一管理服务、多类型实体身份鉴别服务、细粒度的授权管理与鉴权控制服务、安全审计服务。
零信任网关管理平台:支持多因子认证机制,结合动态上下文环境监测,实现不同接入通道下为用户提供细粒度的统一访问控制机制,支持多台分布式部署网关的集中管理和统一调度。自动编排策略并下发至各网关执行点,实现动态访问控制和内部网络隐藏,支持前端(客户端到网关)流量加密、后端(网关到应用)流量加密。
环境感知中心:负责对终端身份进行标识,对终端环境进行感知和度量,并传递给策略控制中心,协助策略控制中心完成终端的环境核查。通过用户行为分析中心和环境感知中心,建立信任评估模型和算法,实现基于身份的信任评估能力。
策略控制中心:负责风险汇聚、信任评估和指令传递下发;根据从环境感知中心、权限管理中心、审计中心和认证中心等获取的风险来源,进行综合信任评估和指令下发;指令接收及执行的中心是认证中心,以及安全防护平台和安全访问平台。
图2:系统架构
该架构在项目中应用有以下几个典型场景:
1) 基于数字证书的移动办公场景
项目中超20万用户使用移动终端访问商网移动办公系统,如何保证移动终端用户身份认证安全和重要数据完整性安全是移动办公安全的基础和重点。该实践中通过在企业云端建设部署PKI/CA体系,为移动终端提供移动发证服务。用户通过PKI/CA体系提供的密钥分离、协同签名等防护技术,可自助申请个人证书和设备证书,实现基于密码技术的数字证书认证和数据完整性保护。移动终端中不会存储完整的密钥信息,可以防止个人移动终端丢失造成的身份冒用、数据泄密等风险。
2) 基于终端环境感知的持续信任评估场景
为了实现对终端的持续信任评估,在可信终端设备安装的环境感知模块,使零信任平台可持续感知终端设备的物理位置、基础环境、系统环境、应用环境等多维度的安全环境,并根据终端环境变化和安全策略配置,评估终端设备的可信任程度,根据信任程度对终端执行二次认证、升级认证及阻断连接等访问控制行为。
3) 纵深防御场景
在多层防御的场景中,每个执行点都要通过动态鉴权授予用户访问权限。该项目实践中综合考虑了终端环境、用户行为、身份强度等多种因素进行动态计算,为访问控制引擎提供动态的授权因子。权限系统根据动态的授权因子,对外部授权请求进行实时授权处理,基于授权库的多维属性和授权信息引擎提供的实时信息反馈进行授权判断。
用户反馈
采用领先的零信任安全架构解决集团数据访问的安全性问题,为集团树立行业安全标杆,重构信息安全边界,从根源上解决数据访问的安全性问题。在建设完成之后,可以实现如下的安全能力:
1) 具备终端环境风险感知能力
办公终端安装终端环境感知Agent(Windows版本、VMware云桌面版本),通过终端环境感知Agent对员工的办公终端提供覆盖基础安全、系统安全、应用合规、健康状况的四大类感知,一旦检测到安全风险,立即上报至智能身份分析系统。
2) 具备多维度身份安全分析能力
通过构建智能身份分析引擎,结合各类系统的登录日志、访问日志、态势感知平台的异常事件、终端环境感知中心报送的环境风险等信息,提供信任评估能力。依据建立的行为基线,对所有用户的访问请求进行综合分析、持续评估。
3) 具备动态访问控制能力
通过构建安全认证网关作为数据层面业务访问的统一入口、动态访问控制策略的执行点;构建零信任网关控制台作为控制层面的访问控制策略决策点;通过环境感知Agent对用户的终端进行全方位多维度感知,确保用户的终端环境安全及安全风险感知上报;构建智能身份分析系统的用户行为进行多维度分析,进行信任评估并上报至零信任网关控制台进行决策,实现动态访问控制的整体逻辑,具备动态访问控制能力。
4) 具备全链路的访问安全加密授权能力
所有的访问请求都会被加密,采用TLS传输加密技术,可通过传输数据的双向认证防止中间人攻击。所有的访问请求都需要认证,每个访问请求都需要携带token进行身份的认证,认证通过后在下一次访问仍然会重新认证,避免了原有的一次认证就可以访问所有资源带来的安全风险,达到持续认证持续授权,实现访问的最小化原则。
安全牛评
该实践结合零信任理念,从访问的细节切入了商密网络中非常重要的三个验证环节。通过增强验证对传统证书分发、授权系统进行了改造,同时结合端侧的风险监管能力实现了访问控制环节的持续信任评估,打造了适用于商密网的零信任解决方案。进一步提高了商密网络中证书存储的安全性和商网访问的风险控制能力,是零信任理念落地的典型实践之一。
我们是中国较早研制和推出公钥基础设施PKI(Public Key Infrastructure)平台的厂商之一,是国内首批商用密码产品定点生产与销售单位之一,是国家保密局批准认定的涉及国家秘密的计算机信息系统集成甲级资质单位,是全国信息安全标准化技术委员会的核心成员单位;公司是国家“863”计划信息安全示范工程金融子项目的责任承担单位,是国家科技支撑计划商用密码基础设施(ECC)项目的牵头单位之一;公司两次荣获国家科技进步二等奖,荣获国家密码科技进步奖和上海市科技进步奖;公司注册资本2.31亿元。