前言
企业的网络基础设施日益复杂,安全边界逐渐模糊。数字化转型的时代浪潮推动着信息技术的快速演进,云计算、大数据、物联网、工业互联网、移动互联等新兴IT技术为各行各业带来了新的生产力,但同时也给企业网络基础设施带来了极大的复杂性。一方面,云计算、移动互联等技术的采用让企业的人和业务、数据“走”出了企业的边界;另一方面,大数据、工业互联网、物联网等新技术的开放协同需求导致了外部人员、平台和服务“跨”过了企业的数字护城河。复杂的现代企业网络基础设施已经不存在单一的、易识别的、明确的安全边界,或者说,企业的安全边界正在逐渐瓦解,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施。
针对企业办公网、生产网和监控网中PAD类移动设备的安全接入和数据防泄露等安全问题,长扬科技研发零信任访问控制系统,解决终端安全、链路安全、网络安全和数据安全问题。
零信任访问控制系统
一、零信任系统架构
零信任访问控制系统是一个基于零信任安全理念和软件定义边界安全模型构建的安全访问控制系统。零信任访问控制系统以身份为基石,提供业务安全访问,具备动态访问控制和持续信任评估等功能,为企业网络构建无边界的数据安全防护体系。
零信任访问控制系统以软件定义边界,结合安全网关建立起一块虚拟安全域,同时结合安全网关基于端口动态授权的网络隐身技术构建起一张隐形的互联网或者虚拟边界专网,即应用只对“特定的用户+特定的设备”可见,对其他人完全不可见,并且该用户或设备访问应用的行为可以进行严格控制和记录。这种模式很好地解决了企业移动办公、物联网设备数据接入云平台等带来的应用暴露和数据安全问题。
零信任访问控制系统由安全工作空间、安全控制平台 、安全网关和安全连接器等安全组件构成。
安全工作空间:为保护数据安全、提升工作效率而设计,支持PC、手机、PAD等多种设备安装部署,满足用户远程访问场景下终端可信身份认证及准入控制,基于安全沙箱技术保护终端安全,实现数据防泄露、数据加密传输等功能。
安全控制平台:相当于零信任访问控制系统的大脑。通过收集和汇聚风险因素,经过分析评估之后,根据信任评估的结果作出决策,下发决策指令给到应用安全网关,实现动态访问控制。
应用安全网关:提供安全隧道,隐藏后端应用,代理业务系统的访问,是零信任访问控制系统的策略执行点,具备动态访问控制功能。
安全连接器:用于物联网设备的身份认证及准入控制,支持网络隐身及数据加密传输。
零信任访问控制系统支持PC、移动设备、物联网设备的可信设备准入及可信身份认证,支持安全网关网络隐身、动态访问控制及可信链路传输,支持安全控制平台的可信资源权限、风险动态感知及智能决策处置,零信任访问控制系统可以同态势感知平台联动。
二、零信任主要功能
图 3:零信任访问控制系统的核心功能
1、可信身份认证功能
零信任访问控制系统为网络中的人、设备、应用都赋予逻辑身份,并基于身份进行细粒度的权限设置和判定。
系统支持基于LDAP、Radius、CAS、OAuth等标准协议对接第三方IAM统一身份认证平台。
系统支持账密、短信、UKey等多因素身份认证。
图 4:统一身份管理
2、可信设备准入功能
所有的设备接入基于零信任的虚拟安全网络,都进行准入控制。安全控制台集成PKI/CA系统,也可以对接企业的CA系统,动态签发CA证书,一机一钥。PC端和移动端设备通过安装安全客户端的方式,结合CA证书和设备唯一编码,准入控制。物联网设备通过安全连接器硬件准入,支持IP、MAC、协议、厂商和设备指纹的多元组准入机制。
- IP/MAC准入:支持根据MAC地址、IP地址对接入设备进行管控,只允许通过认证的设备接入网络。
- 协议准入:支持基于工业互联网协议特征的应用协议控制机制,只允许授信的协议在网络中传输。
- 设备指纹准入:支持基于设备厂商、设备类型、设备特征等设备属性的准入,识别仿冒设备的入侵攻击。
- 告警和阻断:对于非授信的前端设备接入,支持告警和阻断两种模式。
3、可信链路传输功能所有的访问请求(应用、API接口等)都需要被认证、授权和加密。安全网关支持通信全程加密、双向身份认证和最小权限开放。此外,安全网关和安全连接器均支持国密算法,且满足国家商用密码二级认证。
4、可信资源权限功能基于策略访问控制(PBAC)权限模型,高效管理超大规模权限数据,支持三权分立、用户和资源权限分离。安全控制平台支持统一授权管理、统一应用门户及单点登录。通过最小化权限原则,保障业务按需授权。
图 7:统一应用门户
统一应用门户,支持企业应用快速添加,支持安全可靠的单点登录。用户使用一套账号密码即可访问所有应用,统一了企业内部身份认证机制,提升了企业应用的集成和管理能力。
业务按需授权,管理员可以在系统管理后台合理限制用户或设备可以访问哪些应用或API。例如,仅允许财务部的员工访问财务系统,不允许访问SVN、GitLab等代码仓库。用户越权访问会被安全网关拦截,这样就避免了用户过度授权,大大减小了攻击面,也减少了员工泄密的可能。
SSO单点登录,支持OAuth 2.0、SAML 2.0、JWT等标准协议对接,可以通过简单的配置,完成应用的快速上架和开启。
5、全向防攻击功能
零信任访问控制系统基于网络隐身技术,打造虚拟边界专网,支持防扫描探测、防恶意攻击、防DDoS攻击、阻断黑客非法入侵。安全控制平台和安全网关均支持SPA单包授权认证,隐藏服务端口。安全网关集成入侵检测引擎,可以识别恶意攻击的流量。
- 入侵防御:支持防探测攻击、防DDoS入侵攻击、阻断黑客非法入侵。
- 非法调阅:支持计算机终端对物联网设备的非法调阅连接行为的阻断。
- 横向隔离:支持物联网设备横向隔离功能,阻断物联网病毒横向扩散和跳板攻击。
- 传输加密:支持数据传输加密,防止中间链路非法窃取数据。
- 弱口令检测:支持物联网设备弱口令检测。
图 11:数据防泄密
7、持续信任评估功能通过对事件风险全面评估和持久化检查,实现风险事前自动预警。安全控制台支持对用户行为和设备行为建模分析,识别出高风险的用户和设备。系统通过安全客户端感知PC端和移动端风险,通过安全连接器感知物联网设备端的风险,通过安全网关感知网络威胁风险,通过安全控制台对接第三方的威胁情报,实现对主客体的持续信任评估。
8、动态访问控制功能零信任访问控制系统对主客体属性、安全状态进行持续的信任评估,根据评估结果动态调整访问授权。安全控制台支持将用户行为、设备行为、终端环境、网络环境及威胁情报等风险数据汇聚,支持基于风险评估结果联动智能决策引擎,并动态调整访问控制策略,对恶意攻击进行阻断,对可疑用户访问进行二次认证。
结语
长扬零信任访问控制系统遵循零信任安全理念,融合终端管理、身份识别与认证、动态策略控制、安全态势感知及风险预警等组件,与移动终端管理、EDR、云桌面、PKI/CA、 IAM、云安全等产品技术相结合,以用户信任和设备信任为基础,实现以从端点到管道再到云端的身份化、动态化、可度量、自适应的零信任安全访问控制架构。
基于零信任访问控制系统“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,构建零信任身份安全解决方案。