1、20通信热点DOI:10.3969/j.issn.1006-6403.2023.01.005疫情背景下远程办公安全解决方案设计程晓海严晓华黎彦玲*随着企业数字化推进,尤其是新冠肺炎疫情的全球爆发,促使大规模/全员远程办公成为新常态,企业的信息安全问题成为重要难题。针对远程办公面临的问题,通过零信任解决方案的研究,构建设计典型解决方案,从网络业务隐身、高效访问、最小授权等方面解决了企业远程办公难题。通过实际运用,方案取得显著效果,可为疫情下企业开放远程办公的安全防护起到借鉴作用。程晓海现任职于中移动铁通广东分公司,高级工程师,主要从事通信网络维护、通信工程技术研究与管理。严晓华现任职于中移动铁通
2、广东分公司,工程师,主要从事通信网络维护、通信技术研究与管理。黎彦玲现任职于中移动铁通广东分公司,高级工程师,主要从事 IT 信息化设计开发、信息安全管理等。关键词:计算机 远程办公 零信任 安全 方案摘要1 引言随着业务系统的集约化建设、云化部署,业务应用的数字化、移动化,大量企业开始开放远程办公,尤其是近年来全球受新冠疫情疫情影响,居家、隔离等防疫措施,迫使大规模/全员远程办公成为新常态。在网络安全形势日益严峻的大环境下,远程办公带来的安全风险也逐渐升级,因此,如何安全、便捷地支撑企业远程办公,成为当前亟待重点解决的问题。2 远程办公主要现状及痛点2.1 当前现状分析随着信息化建设不断深入
3、,企业的业务更加开放,访问用户更加多元化;集团型企业对业务系统采取集约化建设,访问呈现多分支;云技术发展,使业务部署更分散;移动化,近 50%的业务通过移动化方式发布。技术、应用的演进,尤其是全球新冠疫情爆发后,远程办公模式迅猛发展。据 DCMS 称,将近 32%的英国企业正在使用VPN 来方便远程访问。随着业务纵深发展,企业办公网络所处的环境也越来越复杂。端类型,从内网PC为主,演变为云桌面、笔记本、*通信作者:黎彦玲,中移动铁通广东分公司。21疫情背景下远程办公安全解决方案设计通信热点2023.01 广东通信技术手机端等移动终端;业务访问角色,从内部员工为主,演变为内外多重角色;业务系统类
4、型,从 C/S 业务为主,演变为 B/S、APP、H5 等多形式业务占绝对主导地位。2.2 问题与痛点分析2.2.1 业务暴露面大,被攻击风险高随着企业网络的物理安全边界越来越模糊,访问需求的复杂性越来越高,企业内部资源的暴露面呈现不断扩大趋势,这非常容易因业务系统本身的脆弱性(如漏洞、弱密码等),遭受黑客攻击。2.2.2 接入终端缺乏管理,安全不可控远程办公场景下,存在大量公网终端,因无法加入域控环境,企业难以集中管理,安全状况良莠不齐。当终端同时访问内网与互联网时,容易作为跳板对业务造成威胁。2.2.3 多重认证,安全性弱、用户体验差由于缺乏有效的管理和技术手段,账号密码被冒用、泄露风险高
5、,爆破成本低,容易造成业务被入侵。传统远程接入与业务系统认证相互独立、割裂,用户需多次认证才能使用业务,用户认证体验差。2.2.4 数据易泄露,后果严重企业信息化和大数据的快速发展,越来越多重要核心数据在业务系统集中存放,因此成为攻击目标。在远程办公场景下,这些数据更容易被攻破、泄露,给企业或社会造成损失。2.2.5 安全监管要求越来越高随着安全形势日趋严峻,国家和行业管理部门对企业安全的监管力度逐步加强,如公安部每年的攻防演练、工信部的安全漏洞扫描,推动企业主动做好防护和加固。3 零信任及其主要技术传统企业网络在构建安全体系时,主要是基于边界安全的理念,即:在企业网络的边界部署 IPS、防火
6、墙、WAF、等安全设备,用来防范来自企业网络边界之外的攻击。近年来,随着移动化、上云和软件即服务(SaaS)三大趋势,尤其疫情爆发后,远程办公规模化、常态化,传统网络边界模型已无法满足当前新要求,零信任安全策略逐渐被采纳。3.1 零信任相关概念零信任既不是技术也不是产品,而是一种安全理念。零 信 任 理 念 强 调:“Never Trust、Always Verify”。根据 NIST零信任架构标准1中的定义:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。3.2 软件定义边界(S
7、DP)软件定义边界 SDP 是实践零信任安全理念的技术架构与方案。企业可以通过部署 SDP 产品或者解决方案来实现零信任安全理念中的原则。SDP 的网络隐身技术可以很好实现 Never Trust 原则。与传统 TCP/IP 网络默认允许连接不同,在没有经过身份验证和授权之前,服务器对于终端用户是完全不可见的,从 By Default Trust 变成 Never Trust。SDP是一种快速高效的零信任安全实践技术架构。23.3 SPA 单包授权SPA 单包授权是 SDP(软件定义边界)的核心功能,在允许访问控制器、网关等相关系统组件所在的网络之前先检查设备或用户身份,实现零信任“先认证再连
8、接”的安全模型。SPA 单包授权的目的是允许服务被防火墙隐藏起来,防火墙默认丢弃所有未经验证的 TCP 和 UDP 数据包,不响应那些连接请求,不为潜在的攻击者提供任何关于该端口是否正被监听的信息,进而实现“网络隐身”。在认证和授权后,用户被允许访问该服务。24 基于零信任的远程办公安全解决方案4.1 方案主要目标基于零信任安全理念,组合网络安全、终端安全、数据安全、身份识别等多种技术,构建新型零信任安全架构。即:将设备信任和用户信任作为架构的基础,通过对访问过程的持续评估,确认访问行为的可信度,并对访问行为进行自适应的访问控制。该架构用于取代逐渐不适应当前安全要求的传统安全架构。4.2 典型
9、安全方案设计本设计方案以零信任为原则,重点解决远程办公的“三项安全痛点”:访问控制安全、链路安全和终端安全。将企业网络内部和外部的任何设备、访问者、和业务系统均视为不信任,体系化的设计新型的访问控制,构建新的信22通 信 热 点通信热点任基础。3首先对现网业务系统进行综合评估,根据业务模型和场景,确定方案的主要功能需求;根据交互量和并发数确定建设规模和能力。本文的场景确定为:企业有一个总部(构建私有云服务)和一个物理上分开的分支机构,并拥有企业自己的内网。主要功能确定为:网络隐身、最小授权和高效访问共三项,系统性能满足 4000 用户并发的需求。企业实际运用中,具体设备选型可结合解决方案厂家的
10、产品实际,选择具有集群功能、可平滑升级迭代的产品,并考虑架构能够适配安全技术与措施不断演进发展。4.2.1 方案架构设计方案整体架构基于零信任理念的 SDP 架构实现(如图 1 所示),核心零信任产品组件由控制中心、代理网关、客户端、分析中心四大部分组成。44.2.2 部署方案设计购置 2 台零信任网关,分别部署在企业所属网络的出口节点和私有云节点,实现内外部网络隔离,并实现对所有访问请求的记录,如:访问资源的 URL 路径、源 IP 地址和目标 IP 地址,同时还可以实现对日志审计的支持。5购置 1 台零信任控制中心,部署在零信任网关前,实现对系统的管理、控制和日常维护。如图 2 所示。控制
11、中心:它是调度与管理的中心,负责认证、授权、策略下发与管理。通过给网关发送控制指命,控制建立连接和切断用户与应用之间的通信连接。3代理网关:它位于客户端和应用资源之间,负责建立、监视终端用户与应用资源间的连接,并负责在必要时切断这种连接。上述功能的实现,是通过它与控制中心之间的信息通信,接收控制中心所发出的指令和策略来实现的34。客户端:系统在客户端应具备在 PC 和移动端两类,并且移动端 APP 和 PC 客户端均可支持 SSL 隧道的访问。开启 SPA 服务隐身后,只有授权过的客户端才能连接控制中心和代理网关,才能进行认证、授权、和代理访问。5分析中心:负责日志采集、存储及分析。日志接收存
12、储引擎和安全分析引擎,通过分析,识别系统安全风险,以风险告警形式提示管理员,支持可视化处理。图 1 架构设计图图 2 部署方案设计示意图主要功能效果:(1)网络和业务隐身:SPA 单包授权技术与应用访问代理配合,实现网关自身和应用资源的双重隐藏,让企业“网络隐身”。(2)可信终端管理:终端身份认证,用户和设备双重认证;可信环境感知,终端安全基线检测;动态授权控制,终端威胁异常,禁止访问。(3)统一入口,集中导航,高效访问。支持静态密码、动态口令、生物识别等多维身份认证方式,实现单点登录,提升用户认证的安全性和体验性。表 1 性能指标需求表设备类型零信任认证网关零信任控制中心内存64 GB64
13、GB硬盘2 TB2 TB每秒新建 SSL 连接数20 00020 000每秒并发鉴权数20 0005 000并发连接数20 000/双向吞吐(HTTPS)20 Gbit/s20 Gbit/s并发在线用户数10 0005 0004.3 主要功能设计4.3.1 网关和业务隐身功能支持基于 SPA 单包授权技术的隐身功能,服务器仅允许授权用户使用可信客户端访问被保护业务,否则,不可见,也不能连接(如图 3 所示)。避免攻击者对服务器进行漏洞扫描、爆破等恶意攻击。23疫情背景下远程办公安全解决方案设计通信热点2023.01 广东通信技术4.3.4 数据更安全通过基于 SPA 单包授权技术,实现网关、业
14、务隐身,并通过最小授权实现终端可信,大大降低了资源的可见性,实现对业务和服务的有效防护,防止被攻击或成为攻击目标。保障数据更安全的存储、传输和使用。4.3.5 契合安全监管要求基于零信任的远程办公安全解决方案,相较于传统案,符合当前的技术演进方向,并显现了更强的安全效果,契合国家和行业管理部门对企业安全的监管的要求。不仅可以在公安部的攻防演练、工信部的安全漏洞扫描中取得良好效果,更可以在实际应用中实现有效的防护。4.4 方案成效4.4.1 有效支撑疫情下企业远程办公零信任作为备受认可的技术趋势,其在远程办公场景下的安全防护效果有目共睹。随着全球疫情爆发并长期持续,远程办公成为企业运转的常态,在
15、此背景下,越来越多的政府、企业在落地应用该技术,据中国信通院调查显示,政府机关、信息技术服务业、金融业、制造业作为排头兵,零信任应用占比靠前,总占比达 53%。4.4.2 最小化暴露面,保障业务安全暴露面全面收缩,通过“先认证,再接入”将业务收缩到内网,实现客户端准入前,端口暴露数量为 0。网络、应用资源的双重隐身10,可以有效阻止攻击者/黑客对企业的网络、业务资源的扫描、探测和攻击。4.4.3 身份可信,终端持续安全对终端实现集中管控,保证访问业务的终端符合一定的安全基线;通过对终端环境及用户行为持续安全监测,通过中断访问或进行增强认证,有效保障终端安全。通过以身份为基础的动态访问控制和最小
16、授权原则,构建端到端的逻辑边界,解决了传统边界防护内网被横向击穿隐患。(下转第 31 页)图 3 网络/业务隐身示意图用户通过在安全的网络环境登录获取 TOTP 种子,或者通过管理员分发“SPA企业专属客户端”获取TOTP种子。当用户需在不安全网络环境登录系统时,就可以通过种子计算出动态令牌加入https请求中,服务器校验令牌合法性,如不合法,就不响应该请求。网关隐身:采用控制面和业务面分离,先验证才连接。默认不开放任何 TCP 端口,SPA 敲门验证通过后,才开放端口,实现网络隐身。应用隐身:只允许验证通过的设备和用户连接,否则应用不可见,不可连接,实现应用隐身。4.3.2 最小授权访问动态按需最小授权,基于可信的用户身份、访问终端、上下文信息、流量内容等多维信息,按照更精细的颗粒度实施风险度量,并根据度量结果进行授权,以此达到进行动态访问控制的效果,确保只有可信的用户、终端设备,才能实现对应用的可见、可连接和可访问6。在用户和资源之间,综合身份、设备、行为等维度的风险信息,通过智能分析和动态访问控制,进行持续风险和信任等级评估7,在业务系统全场景实现放行、阻断、自适应认证、权限收敛
