零信任架构及其在企业移动办公系统中的轻量级应用研究

王 朋

(中国中车股份有限公司科技质量与信息化中心 北京 100036)

1 企业移动办公面临的安全风险

企业的移动办公系统必须借助于移动互联网系统，传统的发布模式是企业部署一台或多台固定对外(固定域名和固定IP地址)的反向代理服务器地址，移动客户端通过代理服务器登录到移动办公服务集群进行各种业务工作流程流转。这些固定对外的域名或地址往往成为靶点，成为黑客攻击的入口。动车组车载信息无线传输系统是一种典型的移动应用，主要由无线传输装置(车载设备)、数据中心、动车运用所数据工作站和用户访问终端组成。车载设备通过公网将实时数据传输到数据中心，数据中心采用具有固定IP地址的服务器集群来接收这些数据[1]，为了对抗日益增强的网络测绘和网络攻击，传统的做法是在链路上串接或旁路大量的攻击防范设备，以实时监测网络流量以及各种基于规则的访问控制或入侵防御设备，这样的做法不仅成本高，而且往往因为种种已知或未知的基于对漏洞的攻击，造成防御系统被突破，进而殃及企业内网核心资产。本文从零信任概念入手，通过轻量级的部署实施方案，达到移动办公系统的超高的安全性。通过改变传统移动办公系统的发布模式，让移动办公对外的反向代理服务器不需要固定的域名或IP地址，让黑客找不到攻击的目标(服务隐身)，从而以极低成本提高企业移动办公系统的安全性。

2 零信任介绍

2.1 零信任核心思想

零信任是一种网络安全模型，它将安全防御从基于网络的静态环境迁移到关注用户、资产和资源上。零信任体系结构是一种基于零信任原则的企业网络安全体系架构，能够防止数据泄露和限制内部横向移动。它不会仅基于资产或用户帐户的物理、网络位置或基于资产所有权(企业或个人拥有)而授予隐性信任，而是要求所有访问发起在建立与企业各种信息资源的会话之前都需要执行离散的实时认证和会话授权。它同样适用于企业远程用户、自带设备(BYOD)和不位于企业网络边界内的基于云的资产。零信任侧重于保护资源(资产、服务、工作流、网络帐户等)，而不是某个网段或网络。

2.2 零信任原则

零信任体系结构的设计和部署遵循以下零信任基本原则[1]： (1)所有数据源和计算服务都被视为资源。(2)无论网络位置如何，所有通信都应该是安全的。(3)按照访问会话对企业资源进行分别授权。(4)由动态策略(身份信息、应用/服务和被请求资产、环境属性)确定访问是否被授权。(5)监控并实时计算所有自有及相关资产的完整性及安全状况。(6)在允许访问之前，所有资源身份验证和授权都是动态且严格强制执行的。(7)应尽可能收集信息资产、基础设施和网络通信的当前状态，并利用这些信息不断改善其安全状况。

2.3 零信任体系结构的逻辑组件

实施零信任需要很多逻辑组件，这些组件是基于现场的定制服务或基于云的服务，组件的理想组成和关系如图1所示，图中把策略定义点(PDP)分成了2个逻辑组件：策略引擎和策略管理员，零信任逻辑组件使用单独的控制平台进行通信，业务应用数据通过数据平面来进行通信。

图1 零信任逻辑构成

(1)策略引擎(PE)：对是否赋予主体访问资源的权限有最终决定权，它使用一定的安全策略作为对信任算法的输入，从而决定是否授予某主体对资源的访问权限。PE和策略管理员组件是成对出现的，PE做出授予或否决的决定并进行日志记录，策略管理员组件负责执行。

(2)策略管理员(PA)：负责建立或者关闭访问发起方和被访问方之间的通信路径(通过与之关联的PEP组件执行)，它依据PE的输入来决定允许或拒绝一个会话。如果一个会话被授权，请求被认证，PA会配置PEP使访问会话开始，如果会话被拒绝或者之前的授权被收回，PA向PEP发送信号关闭连接。一些实现方式把PE和PA当作独立的服务看待，上图当作2个独立的逻辑组件。当创建通讯路径时，PA和PEP通过控制平面进行交互。

(3)策略执行点(PEP)：PEP与PA通讯以转发访问请求并接收来自PA的策略更新。在零信任架构里，它是一个单独的逻辑组件，但也可以拆分成客户端侧的agent软件和资源侧的代理网关组件或者单独的一个类似门户入口组件，作为通讯路径上的访问代理网关。PEP的后方就是企业要保护的资源区域。

除了上述核心组件之外，企业实施零信任架构还需要若干外部资源(非企业控制或产生的)，具体包括：

(1)持续诊断和缓解系统(CDM)：持续收集企业信息资产的当前状态并保持配置和软件的更新，CDM系统为PE提供诸如操作系统是否打了合适的补丁、企业授权使用软件组件的完整性、非授权软件的状态以及这些资产是否包含已知的漏洞。CDM系统还负责在企业基础设施上识别不属于企业的设备强制执行安全策略。

(2)行业合规系统：建设零信任体系过程中，应确保企业的信息系统始终符合行业合规性的管理要求。

(3)威胁情报源：可能是来自于内部或外部新发现的攻击特征或漏洞，这些还包括新发现的软件缺陷、新识别的恶意软件、被报道的对其他资产的攻击，策略引擎综合这些输入来决定是否允许主体对企业资源的访问。

(4)网络和系统日志：实时的网络流量信息、操作系统日志、安全设备报警事件等，为企业信息安全态势提供实时或近实时的回馈。

(5)数据访问控制策略：策略规则集可以提前内置，也可由策略引擎动态生成。

(6)公钥基础设施(PKI)：负责证书的签发、吊销等证书管理任务。

(7)统一身份管理系统：该系统通常使用其他系统(如PKI)用于与企业用户帐户关联。

(8)安全信息和事件管理(SIEM)系统：收集全量安全事件信息，可作为事件分析和网络攻击预警的基础材料[1]。

2.4 零信任算法输入

实现零信任部署，策略引擎(PE)是核心部件[2]，可以视其信任算法为其部件内部的思考过程(见图2)。

图2 信任算法输入

3 轻量级零信任解决方案

从上文可以看出，企业要实施完全的零信任机构部署，需要改造的信息组件非常复杂，而且对业务系统的改造也很大，因此在企业内一步到位的实施难度非常大，应该采用分步走策略，基于传统的边界防护中的某些系统逐步迁移到基于零信任理念的防护架构。本文介绍一种零信任架构的轻量级解决方案，用来保护企业移动办公系统。具体思路为把图1零信任核心逻辑组件的访问主体及对访问主体的安全评估，通过一个客户端软件来实现，把图1零信任核心逻辑组件中的策略引擎PE、策略管理员PA的功能通过一个控制器软件来实现，把图1零信任核心逻辑组件中策略执行点PEP通过一个扩展器软件来实现，具体的应用部署架构如图3所示。

图3 轻量级零信任系统架构部署图

定制客户端软件主要负责收集客户端端点的安全状态，计算综合安全评分，根据控制器的策略规则是否允许接入企业网络，定制客户端软件还负责根据客户端硬件特征生成唯一的公私钥对，并根据公私钥对生成对应的唯一的保留IPV6地址，进入轻量级零信任系统的端点(含访问端、被访问端、控制器、扩展器)全部采用保留的IPV6地址进行双重加密通信。

定制控制器软件主要负责软件定义网络(SDN)和软件定义边界(SDP)的虚拟交换机引擎、标签路由、密钥管理、GOSSIP协议执行、策略执行、域名管理、虚拟网卡、拓扑管理、用户管理等任务，并负责管理定制扩展器节点的定义与接入。

定制扩展器软件主要负责定制客户端的接入，客户端采用单包认证机制(SPA)通过扩展器接入零信任网络系统，保证接入安全，并防止身份抵赖和DDoS攻击。扩展器软件同时具备GOSSIP协议执行、数据转发执行、标签路由、虚拟网卡、网关管理、离岸管理、策略执行等功能。

本应用方案的地址、路由、加密以及兼容性决定了其优势。客户端地址由随机数生成公私钥对决定，对公钥进行散列运算，产生与公钥对应的不可抵赖的IPV6地址，采用去中心化网络管理的方式,网内的地址是无须统一分配机构来管理，每个网内用户通过随机数产生公私钥对,通过散列算法得出唯一的IPV6地址,由于IPV6地址的空间域足够大,理论上来说,这些地址重复的概率极小；路由基于DHT的路由查找算法，以DHT路由算法为基础,加入一些改进来提高寻址性能和缩小流量规模,使得接入到网内的任意两个地址,都可以互相寻找到对方,并进行直接通讯，路由信息在节点间以信任方式进行链接扩散，采用分布式存储节点和链接关系(DHT)进行路由查找。采用高强度逐层加密，非对称采用椭圆曲线算法，强度大于RSA3096；对称加密算法，强度：AES256 (也可根据国家密码办要求改为国密算法),在密钥交换上因为IPV6地址和密钥的散列关系,因此天然对抗各种中间人攻击算法，每个路由节点逐层加密，逐层加密的原理类似于洋葱(TOR)网络。网内以无特征的加密UDP协议为载体,提供基于6-4的隧道模式建立整个网络，天然免疫各种DPI和协议分析工具。

4 企业移动办公系统迁移改造

采用本轻量级零信任系统保护移动办公系统，只需对现有的企业移动办公系统做少量配置改动，在企业对外的移动办公系统web服务器上安装定制的客户端软件，去掉公网地址映射，做到网络隐身。在企业内网部署定制控制器软件系统，负责管理整个移动办公系统的资源和用户接入，在企业网络边界部署定制扩展器软件负责各个客户端的安全接入，扩展器全部隐藏对外服务，并且扩展器与移动办公web服务器没有任何逻辑映射关系，天然抵抗各种网络测绘和大数据关联分析。

采用轻量级零信任系统后，移动办公的各类应用服务器接入互联网，不再需要对外提供公开的IPV4地址或域名，这种架构设计使黑客找不到攻击目标，把传统的网络服务面临的不可数的未知威胁锐减到可数的已知威胁。系统地址生成原理使得网内的地址身份不可抵赖，所有传统网络的中间人攻击手法均失效，所有网络窃听的攻击手法均失效，不仅可以保护通讯安全，也可保护身份安全。方案打破了内外有别的概念，从不信任每个个体安全的角度出发，重构网络安全整体策略，使得网络中实体无分内外，一律采用强安全通讯，传统的内网渗透手段完全失效。同时也可提升布网的便捷性，用软件定义网络的方式，对访问区域进行动态组合。由于去中心化网络的特点，整体网络不需要进行地址规划，采用地址生成登记的方式即可对全网进行管理，并且整体网络规模可以根据业务及用户增长不断扩充。