公众号回复：干货，领取价值58元/套IT管理体系文档

公众号回复：ITIL教材，领取最新ITIL4中文教材

正文

随着云计算、移动互联网等技术的快速发展，企业数字化转型进程的不断推进，传统的内外网边界模糊，企业已经无法基于传统的物理边界进行安全建设。传统的安全建设思路已经很难去适应企业的快速成长和业务的快速变化，例如在移动办公场景下，员工需要从全球各个位置安全地接入企业内网进行访问。此外，应用的移动化、数据中心的云化也不断地带来更多的安全问题。面对日益复杂的安全威胁，企业需要构筑全新的网络安全架构。在此背景下，基于零信任的远程办公安全接入模式应运而生。

零信任安全模式是将单一的边界保护转移到公司内的每个端点和用户。其核心思想是企业不应自动信任内部或外部的任何人、事、物，且必须在授权前对任何试图接入企业系统的人、事、物进行验证。在国内，受疫情影响，边界模糊化在各大行业开始加剧，会加速零信任体系的建设热潮，金融企业将结合数字化转型进度，逐步开始尝试零信任体系在远程移动办公接入的落地，从而辐射到整个企业网络环境。

一、传统远程办公风险

传统VPN系统在提供便捷远程办公访问的同时，也带来如下风险问题：

1.1

内网暴露风险

VPN设备与内网系统直接连通，如VPN设备被攻击控制，则内网直接暴露在攻击者面前，攻击者可直接通过VPN设备进入企业内网，进行安全攻击破坏。

1.2

VPN设备自身安全风险

SSL VPN设备被攻击者或同业大量研究，去年HW期间及今年疫情期间某厂商SSL VPN设备均爆出0DAY漏洞，传统VPN设备自身存在较大安全风险，后续一旦再次出现不可预知且未能及时修复0DAY漏洞风险，攻击者可轻松控制VPN设备，从而进一步实现对企业内网环境的渗透。

1.3

VPN接入客户端安全风险

VPN接入终端环境是否安全无法保证，无法实现对客户端的持续安全监测，无法确定终端是否存在恶意软件、非法进程连接VPN系统，远程接入客户端安全风险无法评估。

1.4

VPN接入用户体验

VPN访问依赖于互联网带宽质量，若网络质量不佳，则会出现VPN用户频繁掉线、访问卡顿等问题，影响用户使用体验。

二、零信任架构简介

2.1

零信任Zero trust architecture（ZTA）

2010年，IT市场研究机构Forrester分析师Kindervag首次提出了区别于传统网络架构的零信任网络体系，其主要思想是在网络层将网络分为尽可能小的分段，并通过隔离网关来控制出入向流量，并辅以其他安全能力来减少传统边界被突破后的安全风险，类似于网络微隔离。主要框架如下：

• 围绕一个整合所有安全功能和网络功能的隔离网关（SG，segmentation gateway）来构建整个网络。隔离网关将路由转发功能和安全功能整合，能在网络设计初期就将安全融入网络建设之中；

  定义平行互联的微核心和边界（MCAP, microcore and perimeter），来对网络进行更细粒度的分割；

  利用隔离网关，构建基于安全的集中管理机制；

  利用隔离网关和边界微核心收集流量信息，并在分析控制模块中进行可视化分析和控制。
  

  图1：零信任网络框架图

2.2

软件定义边界（SDP）

2013 年，云安全联盟（Cloud Security Alliance，CSA）提出了软件定义边界（Software Defifined Perimeter，SDP）的概念。SDP 将传统边界安全设备替换为在服务和资源所有者控制下运行的逻辑组件，引入对身份和设备的识别校验，实现了零信任网络架构中“从不信任，总是验证”的要求。SDP得到了很多厂商的支持，调研目前大部分网络安全公司的零信任解决方案都来自于SDP模型。SDP主要框架如下：

• • SDP将传统边界安全设备替换为在服务和资源所有者控制下运行的逻辑组件，使访问者仅在设备验证和身份验证后才允许访问对应的服务和资源；

  • SDP的架构一般由两部分组成，包括SDP主机和SDP控制器；

  • SDP主机可以发起连接或接受连接。SDP控制器通过加密控制通道与SDP主机进行通信，控制SDP主机的连接操作；

  • 在SDP架构中，控制平面与数据平面实现物理分离，同时每个组件均可实现多实例，以便于后续扩展。

    

  图2：SDP框架图

三、SDP远程办公安全接入实现方式

针对上述VPN远程办公风险问题，可通过引入基于零信任的SDP技术理念，构建远程办公接入安全防护体系。SDP远程办公接入方案整体框架如下图：

图3：DP远程办公接入方案整体框架图

3.1

SDP客户端

SDP客户端为远程接入客户端，部署于用户终端，负责对用户、设备、应用进行认证和状态校验授权。

3.2

控制中心

控制中心是SDP的自适应身份认证、权限管理和信任策略管理中心，由控制中心进行用户访问的分配，并提供与IAM统一身份认证平台、安全态势感知等第三方平台集成对接的能力。

3.3

可信访问网关

可信访问网关为内网资源的防护节点，负责访问隧道的加密和访问控制，部署位置于控制中心之前，实现对于内网资源的保护。

四、SDP对比VPN优势

4.1

部署架构优化

• • 相比VPN产品架构，SDP技术将控制层面与隧道转发层面进行分离，控制中心提供远程办公接入用户的访问入口和认证服务、可信访问网关仅对外提供加密隧道服务；

  • 控制中心与内网资源访问进行隔离，通过控制中心认证后的用户将获取授权票据，通过授权票据校验成功，方可通过可信访问网关控制，进而访问内网资源，实现内网资源隐藏；

  • 假设控制中心被攻击者恶意攻破后，无法进入内网系统；可信访问网关功能单一、代码简单，自身出现风险漏洞的可能性较低，转发控制层面分离架构的安全性相对更高。

    

    图4：部署架构优化图

4.2

基于身份的访问控制

实现基于身份的访问控制，不依赖于传统的IP+端口级的访问控制，可实现从用户、终端到业务系统（URL级别）的精细化访问控制，缩小攻击面和访问面。以最小化访问权限控制，进一步缩小暴露面。

图5：SDP实现基于身份的访问控制

4.3

连接技术优化

SDP连接技术在SSL VPN原有L3VPN技术基础之上，对连接技术进行优化，由原有的长连接优化为短连接，即每个访问均为独立的TCP访问，每个访问均需验证用户、设备、应用状态，无需维持TCP长连接，减少网络抖动带来的连接超时影响，确保业务访问稳定，提升用户使用体验。

整体的访问过程大致如下：第一次用户先到控制中心，通过控制中心认证后会获取一个临时票据，然后重定向到可信网关进行校验，票据校验成功后可信网关会生成一个临时sessionID（包含用户和设备信息），客户端会生成一个用户cookie，可信网关生产的sessionID与客户端cookie一一对应。后续每次访问中可信网关端会检验客户端的cookie值，来进行用户和设备状态检验，客户端会检验访问发起应用是否为可信应用，实现每次业务请求访问均对用户、设备、应用状态进行校验。

图6：SDP和SSL VPN连接技术对比图

4.4

SPA单包授权机制

采用SPA单包授权机制，先认证再授权，实现SDP互联网域名的隐藏和加固，降低互联网暴露风险，确保网络访问最小化授权，防止网络攻击，提升远程接入安全性。

五、未来展望

面对外部威胁、内部威胁和IT新环境下边界瓦解的现状，零信任安全所倡导的全新安全思路，已然成为企业数字化转型过程中应对安全挑战的主流架构之一。零信任安全体系架构通过终端安全性持续评估，实现对终端环境、进程进行动态检测，确保终端可信；基于身份的最小化授权，实现全访问周期的身份安全动态评估及授权，访问控制基于当前用户的综合安全状态执行，可更好地防御横向攻击，保护核心业务。

相较于传统的VPN远程接入技术，零信任安全架构可提供更安全、稳定、先进的远程办公接入技术，创建全新的远程办公访问模式，实现安全和业务的统一，可有效促进金融机构向数字化、智能化方向转型。

文章来源于 匠心独运维妙维效

更多推荐

企业成功实施ERP软件的四个秘诀！

软件项目管理中的几个误区

IT服务管理的实施过程

案例参考－IT运维整体解决方案

PMO的职能及体系建立

IT技术中心规划（资料下载）

服务级别管理：“量体裁衣”的流程

         

福利

圈子构建、学习资料获取【ITIL/数字化转型/IT规划各类文档解决方案报告】，欢迎加入知识星球（扫下方二维码）~~~

免责声明：

本公众号部分分享的资料来自网络收集和整理，所有文字和图片版权归属于原作者所有，且仅代表作者个人观点，与ITIL之家无关，文章仅供读者学习交流使用，并请自行核实相关内容，如文章内容涉及侵权，请联系后台管理员删除。