【技術乾貨】螞蟻辦公零信任的技術建設路線與特點

語言: CN / TW / HK

引 言

當前企業數字化轉型深入,加之疫情的影響,遠端辦公和移動辦公已逐漸成為新常態。 傳統以邊界為核心的網路安全架構所帶來的限制愈發明顯,IT不再像過去那樣有明確的邊界。 同時隨著國內“三位一體”安全法律相繼施行,網路安全和資料安全也需要進一步夯實提升。 本文從安全模型入手,對比新老模型的優缺點、分析行業典型案例,並且結合自身辦公環境的現狀,描述螞蟻辦公零信任的技術建設路線與特點。

  • 1 零信任安全模型和技術路線

  • 1.1 傳統邊界安全模型

  • 1.2 零信任安全模型

  • 1.3 零信任典型安全架構

  • 2 行業辦公零信任從概念到落地

  • 3 螞蟻辦公零信任一體化安全防護

  • 3.1 零信任SIM核心技術

    • 3.1.1 SDP(軟體定義邊界)

    • 3.1.2 IAM(現代身份及訪問管理)

    • 3.1.3 Micro Segmentation(微隔離)

  • 3.2 螞蟻辦公零信任安全架構

    • 3.2.1 SDP客戶端

    • 3.2.2 SDP閘道器

    • 3.2.3 SDP控制器 & IAM

  • 3.3 螞蟻辦公零信任落地實踐

  • 4 未來展望

01

零信任安全模型和典型架構

1.1 傳統邊界安全模型

目前邊界安全模型仍然是主流的網路安全模型 (如圖1) , 但缺陷也越來越明顯,即便採用完善的邊界安全裝置,也往往會被攻擊。當前全球高階持續威脅攻擊趨勢來看,0day漏洞攻擊呈爆發趨勢,定向破壞性威脅呈新趨勢,供應鏈安全攻擊成為攻擊切入點,網路邊界攻防不對稱性更加明顯,傳統邊界安全例如防火牆、DDoS、IPS、VPN等對於新型攻擊不能很好有效攔截,一旦突破邊界後通過內網橫向移動等滲透方式拿到關鍵系統和資料的控制權,會給企業帶來巨大安全風險甚至造成非常大的破壞和損失。

圖1 傳統邊界安全模型

存在的缺點:

●傳統邊界安全模型認為內網環境是可信的,內部安全防護薄弱,缺乏內部流量檢查。

一但攻破網路邊界,整個體系就會處於威脅之中。

傳統安全模型在不斷自我發展,例如:縱深防護理念,通過多點防護,利用空間換取檢測時間,但主動性防禦仍然欠缺。

1.2 零信任安全模型

零信任實質上對於人員、裝置、伺服器等一切資產身份化,基於身份為中心構建信任評估和動態訪問控制體系,確保對業務資料訪問安全保護,如下圖2,即通過零信任業務訪問模型,確保正確的人,使用正確的終端,在任意網路位置使用正確的許可權,訪問正確的業務,獲得正確的資料。零信任的模型針對訪問過程的每一個環節進行安全校驗,將安全可信評估和防護插入到每個關鍵的環節。即使一個環節被攻破,其他安全檢查點依然有效。

圖2 零信任安全模型

基本原則:

只要處於網路中,任何使用者都不可信。

零信任模型下,任何時刻任何環境、裝置、身份許可權都需要被持續驗證。

安全是建立在信任鏈之上,如果信任鏈被打破,那麼對資源的訪問許可權則被自動取消。

1.3 零信任典型安全架構

零信任架構落地成功地改善企業安全態勢,需要來自企業各利益相關方的輸入和合作,為解決這個關鍵問題美國國家標準與技術研究院NIST在 2020 年提出了《NIST SP800-207:零信任架構草案》,主要提供了風險管理框架的頂層概述及其如何幫助開發實施零信任架構,如下圖3。

圖3 NIST零信任典型架構

其中訪問代理、訪問控制引擎和4A系統都是目前大多數企業已經具備的基礎能力,難點在於以身份為中心如何清晰地刻畫出訪問主體和訪問客體,對於主體和客體以及訪問過程環境進行有效細粒度的感知和準確的信任評估,才可以真正實現可信安全的動態訪問控制。核心元件模組具體的功能如下:

信任評估引擎:增加以前基於邊界的架構中缺乏或是不可能實現的動態響應因素,儘可能合理採集企業中訪問主體、客體以及訪問過程環境中有關資產、網路、檔案、程序和通訊資料等資訊,結合企業安全策略和允許清單進行多維動態信任評估。

訪問控制引擎:每個訪問請求預設拒絕連線,必須進行身份驗證並證明是符合企業安全策略才被授予訪問許可權,秉承最小許可權原則,對訪問請求基於上下文、信任等級和安全策略的動態許可權判定。

代理訪問:對於訪問統一收口,不可信的攔截,訪問請求通過身份認證和可信評估通過的放行。

身份安全基礎平臺:對於人員、裝置、伺服器等一切資產身份化,基於4A (認證、賬戶、授權、審計 以及端安全客戶端等系統平臺建立身份統一標識提供人員裝置身份安全評估能力。

02

行業辦公零信任從概念到落地

“去邊界化安全理念”早在 2004 年就被提出。2009 年穀歌企業內部面臨 APT 攻擊率先做出了改變 ( BeyondCrop 專案落地) ,完成了零信任的第一個完整性產品。NIST 在 2020 年提出了零信任的標準架構建設原則, 權威機構 Forrester 和 Gartner 也先後給出了零信任的建設理念。國內廠商也逐步開啟行業零信任探索落地,並啟動了零信任國內標準的建設。

國內外廠商多數以“身份為中心”展開了零信任的建設,不同的廠商建設零信任的路徑不同,圍繞各自的優勢各有側重,有自研有收購。網路安全廠商圍繞自己的優勢領域,以原有的網路硬體體系為基礎建設零信任產品,典型廠商如思科,通過收購類似 Duo Security 公司補齊身份安全短板,進行零信任整合。而像谷歌和新興的零信任廠商大部分都以身份為中心的解決方案為主,部分橫向整合涵蓋網路安全、資料安全和終端安全。

圖4 Google BeyondCorp

目前廣為人知的零信任方案,如上圖4 為經常被提到的 Google BeyondCorp,將核心元件 (信任推斷評估引擎、訪問代理、單點登入、證書管理) 和基礎資料與平臺 (使用者/群組資料、證書發放、裝置清單資料庫) 打磨融合,用了將近 6 年多,解決了一些列複雜問題 (裝置資產資料召回準確率、業務場景適配、效能低、資料容錯、高可用容災保護等) ,通過將訪問許可權控制措施從網路邊界向內部訪問過程進行擴充套件, 使使用者幾乎可以在任何地點安全地工作,而不必藉助於傳統 VPN,就可以安全地訪問辦公網中的各類系統。

雖然 Google BeyondCorp 方案值得借鑑,但很多企業網路和應用環境不同,零信任適配落地仍然會存在很多限制,比較典型的兩類:

風險行為管控:信任評估引擎會對訪問流量進行檢測並打標 (判定黑/白/灰) ,對於“灰色”流量,需要使用者二次確,且需要零信任和風險行為管控結合評定,才可以對風險進行評定;

資料保護:國內“三位一體”安全法律法規下,資料保護日益重要,零信任當前主要用於動態訪問控制,需要進一步拓展資料保護場景。

03

螞蟻辦公零信任一體化安全防護

3.1 零信任SIM核心技術

對於零信任產品的建設各家廠商和企業各不相同,但是也可以進行簡單的歸類和分析找到適合自己的路線。目前業界有三個主要技術建設路線 (SIM) 或者是三者的混合體。

3.1.1 SDP(軟體定義邊界) 

軟體定義邊界 ( SDP ) 概念源自美國國防資訊系統局 ( DISA ) ,在過去十年中該概念得到雲安全聯盟正式認可並普及。SDP 體現了零信任安全架構上核心的動態安全控制,基於零信任的身份邊界通過軟體定義靈活動態進行安全控制,對系統的請求訪問做信任評估並授予最小化的訪問許可權。如下圖5 SDP依賴於控制器來管理對該網路的動態安全訪問,在受保護網路上通訊的實體 (連線發起主機) 必須執行SDP客戶端軟體,並通過SDP控制器和SDP閘道器進行動態身份驗證和訪問控制。

圖5 SDP模型

核心元件: SDP 客戶端 (驗證身份,請求發給閘道器 、SDP 控制器 (負責動態身份認證及訪問控制) 、SDP 閘道器 (保護業務系統、防禦攻擊)

特點: 所有應用隱藏、訪問者不知道應用具體位置;所有流量加密,點對點通訊;持續認證、細粒度上下文管控、信令分離

用於保護: 使用者到業務的訪問安全 

3.1.2 IAM(現代身份及訪問管理)

IAM的核心是在使用者進入網路之前建立身份,這也是零信任模型的基礎。通過IAM系統 (如下圖6 IAM架構) 對身份唯一標識,有利於零信任系統確認使用者可信,通過唯一標識對使用者身份建立起終端、資源的信任關係,並在發現風險時實施針對關鍵使用者相關的訪問連線進行阻斷等控制。

圖6 IAM

核心元件: 認證中心、身份許可權中心、審計中心

特點: 為網路中的人、應用都賦予邏輯身份,以身份為訪問的主體進行最小化動態許可權訪問控制

用於保護: 使用者到業務的訪問安全

3.1.3 Micro Segmentation(微隔離)

微隔離有多重形式,其中雲原生控制在虛擬化平臺提供者中比較常見 (如圖7) ,在虛擬化平臺、hypervisor 或者基礎設施中提供,一般屬於同一雲平臺供應商,與雲平臺系統耦合比較深,支援自動化編排,更適合於隔離,東西向的管理能力有限。

圖7 微隔離模型

核心元件: 基於雲技術、網路虛擬化技術

特點: 微隔離是一種在資料中心和雲部署中建立安全區域的方法,該方法使企業組織可以分離工作負載並分別保護它們

用於保護: 業務到業務的訪問安全

3.2 螞蟻辦公零信任安全架構

基於SDP + IAM + MSG零信任核心技術,結合螞蟻企業實際情況,構建以身份為邊界的辦公零信任安全管控平臺。如下圖8 ,終端上安裝SDP客戶端後,能夠實現管控終端、跨網聯通、應用隱身、終端可信、病毒檢測等諸多功能,保護辦公人員和裝置安全訪問;SDP閘道器把訪問請求收束在指定的鏈路中,更好地減少南北向對外暴露面;SDP控制器動態整合多維信任評估和有效身份授權。通過螞蟻SDP客戶端 + SDP閘道器 + SDP控制器三者組合,加持動態訪問控制能力,打在多維一體化防護。

企業身份認證許可權管理中心與零信任新架構融合,從以邊界為中心靜態認證鑑權升級為以身份為中心的新一代自適應認證和動態鑑權,應用與應用之間通過應用服務鑑權實現微隔離,也降低了內網橫向移動的安全風險,同時融合螞蟻已有的資產/運營/工作流等基礎平臺數據和能力,豐富零信任訪問上下文,構建多維的風險識別和多樣化的風險處置能力,確保使用者在訪問應用和資料的時候更加安全。

圖8 螞蟻零信任安全架構

3.2.1 SDP客戶端

螞蟻辦公零信任SDP客戶端,主要用於對終端進行信任評估和本地化安全防護,同時與SDP閘道器和控制器聯動,準確識別資產,高效識別風險進行近端訪問控制,如下為SDP客戶端關鍵的安全能力:

遠端辦公

  • 遠端辦公安全通道,支援多種連結通道,連結公司內網。

  • 遠端辦公網路加速,SSH連結後臺服務,程序服務管理與維護。

終端資料保護

  • 對於電腦上軟體、系統等設定項進行管理,如病毒查殺、軟體管控、U盤管控、檔案防護。

  • 支援終端健康檢測,及時發現安全問題,給企業的電腦安全提供了有力保障。

違規應用檢測

  • 識別檢查非安全應用。

資產盤點

  • 支援檢視硬體資訊、快速匯出資產資訊、及時提醒硬體變更情況,公司所有裝置統一安全管理。

  • 檢查人與裝置的關聯關係,資產資訊核實。

安全報備

  • 支援使用者報備安全問題:拷貝與外發報備、賬號/裝置借用、高風險軟體安裝申請,更人性化的it管理,及時掌握風險資訊。

使用者自管理:

  • 可信裝置管理,滿足使用者BYoD的需求,支援添加個人裝置,將裝置納入零信任管理體系。

3.2.2 SDP閘道器

SDP閘道器處於零信任防護流量入口位置,主要是作為SDP策略執行點,同時用於隱藏應用縮小攻擊面,並提供SSL安全鏈路和動態負載均衡能力。

SDP策略執行點

  • SDP閘道器是執行資源和安全策略的實施點,閘道器支援動態外掛功能,對請求進行響應處置。

隱藏應用

  • 提供對外訪問入口,通過七層HTTP代理,或是四層網路流量代理等方式,實現將內部資源代理到外部訪問中。

  • 應用埠隱藏防止掃描。

  • 將被保護的資源隱藏,外網不可見,極大降低了網路暴露面,有效緩解多種網路攻擊。

動態負載均衡:對於內部服務既提供了內部保護,也提供了對應用負載均衡、分流的能力。

SSL安全鏈路:支援SSL解除安裝

3.2.3 SDP控制器 & IAM

如下圖9,對於螞蟻辦公零信任SDP控制器建設,前期主要建立基礎元件滿足基本管控需求,後續隨著安全風險管控升級,先後經歷了多版本迭代,從前期基礎版零信任指令碼化防護規則逐步迭代,完成基於大資料體系安全防護規則引擎統一。目前聚焦在SDP客戶端 + 閘道器 + 控制器 + IAM實現一體化動態防護,零信任訪問上下文Context將 (端健康度、位置、時間、網路、應用、情報等) 資訊和資料引入用於持續信任評估引擎進行多維度計算;同時也增加更豐富的風險處置能力 (例如: 風險行為管控、審批報備等) ;身份認證與訪問管理的對接,也提供了自適應認證和基於Context上下文的訪問控制能力;支援FIDO2 (Windows HELO/MacOS TouchID) 新的認證方式的加持,更好的提升了使用者體驗。 

圖9 螞蟻辦公零信任SDP控制器&IAM

3.3 螞蟻辦公零信任落地實踐

螞蟻辦公零信任構建以身份為邊界的一體化的辦公零信任安全管控平臺,打磨融合SDP (客戶端+閘道器+控制器) +EIAM+MSG零信任核心技術,實現對每次訪問請求進行持續驗證 ,可以識別各類異常行為、敏感資料展示、未授權訪問、身份盜用、檔案外發、威脅攻擊等多類風險,解決主體訪問客體過程中的訪問控制風險問題並可針對資料進行加固防護。

螞蟻辦公落地零信任新安全架構,融合多維信任源 (人員、端、網路和應用等) ,構建多維立體零信任評估能力,針對各類風險具備動態多樣化多維度管控手段,提供應用/URL零信任管控、辦公資料保護、零信任一體化防護能力。

圖10 螞蟻辦公零信任一體化防護

零信任產品落地的難點在於針對不同企業的環境與IT設施的差異,如何實現用一套產品快速滿足不同企業的安全需求。螞蟻辦公零信任分別從請求發起端、內部引擎、處置手段和基礎平臺入手,將零信任系統核心模組元件化,外部對接標準化、終端裝置可信化,並將依賴的基礎服務輕量化。如上圖10,系統支援多種可信的終端,並將端資訊在Context層資料模型標準化、內部以規則引擎為核心對風險流量進行處置、以大資料的評估引擎和風險分析引擎為依託,支援零信任防護規則動態化,併為運營人員提供多樣化策略配置,滿足可擴充套件的、多樣的處置手段。

針對難以界定風險“灰”流量,支援二次核身/審批報備等差異化風險確認行為管控能力,可以識別並攔截員工惡意的訪問行為,防止越權訪問。零信任系統還可以對接不同企業的原有員工系統、基礎平臺、資產系統等,這些系統都為零信任提供多樣化的訪問上下文資料依據,進而支撐引擎提供更完備的可信評估判斷。螞蟻辦公零信任系統打通了人員、端、管和雲的全鏈路安全動態防護,保障企業內部網路和新環境下的安全。

針對企業資料保護接入使用成本高 & 覆蓋容易遺漏等難點問題,零信任防護拓展資料保護場景,敏感資料識別、網頁水印等與零信任融合,提供業務無侵入的安全防護能力植入,支援資料保護能力無感極簡接入和快速低成本防護能力覆蓋。

04

未來展望

國內零信任目前處於從概念到落地階段,聚焦客戶需求、價值和實效尤為重要,聚焦更簡 & 更安全 & 更快速的零信任防護,反對零信任的泛化、濫化和概念化。不同行業在零信任的應用上有著不同的關注點,遠端訪問是當前企業實施零信任的主要驅動和優先選擇,行業大部分產品大多數聚焦在該領域,遠端辦公、遠端分支機構接入、遠端運維三大場景佔比居於前三,落地中需要重點打磨。

在實踐中,螞蟻辦公零信任產品設計以身份為邊界SDP (客戶端+閘道器+控制器) 和企業現代身份訪問管理EIAM、信任評估決策準確與完備、安全防護元件能力豐富和靈活為核心,將身份、系統、資料、端深度融合,構建多維立體零信任評估體系滿足新環境下的安全水位要求。將介面與資料標準化、特定業務指令碼化,低成本橫向拓展,提高安全元件快速整合能力,提升防護水位和極致的使用者體驗,構建一體化主動安全防護體系。

在零信任安全的路上,螞蟻將持續探索。

參考文獻

[1] Jeffr Pack, Betsy Beyer, Colin Beske and Max Saltionstall.Migrating to BeyondCorp[EB/OL].USENIX.2018

[2] Rory Ward and Betsy Beyer.A New Approach to Enterprise Security[EB/OL].USENIX.2018

[3] Barclay Osborn, Justin McWillias, Betsy Beyer and Max Saltionstall.Design to Deployment at Google[EB/OL].USENIX.2018

[4] Luca Cuttadinim, Batz Spear, Betsy Beyer and Max Saltonstall.The Access Proxy[EB/OL].USENIX.2018

[5] Victor Escobedo, Batz Spear, Max Saltonstall and Filip Zyzniewski.The User Experience.[EB/OL].USENIX.2018

延伸閱讀: