李少辉,刘 清
(新天绿色能源股份有限公司,河北 石家庄 050000)
零信任架构以用户身份为核心,实现动态化访问、高效控制,属于新型网络架构。其突破了传统网络安全架构的瓶颈,由网络中心化逐渐转变为用户身份中心化,认证、授权访问是重点内容,以此为依据突出用户身份这一核心,进而构建访问机制[1]。
构建统一认身份证平台访问机制必须以企业内网环境为依据,通过密码、短信、手机客户端方式均可以实现动态登录。其中,密码登录方式仅适用于企业内部网络,登录的设备必须属于常用设备。系统后台会对员工常用设备进行设置,对常用设备做相应的登记,方便对设备进行高效管理。短信、手机客户端登录方式主要适用于一些非常用的设备。当以短信方式登录系统的时候,系统会结合登录申请,借助运营商短信功能,将验证码随机发送至已经绑定的手机上。而手机客户端登录主要是采用扫码登录的方式,在登录确认提醒弹出以后,手机端会对信息进行确认,然后PC端才可以完成登录操作。为了能够使员工更加方便快捷地在安全的互联网环境中完成系统访问操作,需要对每一位员工定制相应的UK设置。在内部系统中可设置个人数字验证ID,在登录时需要先对UK进行验证,确定员工身份以后,借助网络对登录的信息进行动态验证,确保系统数据更加安全[2]。
统一身份认证平台在权限设置方面共划分成3大层级:用户访问管理层是第一层,重点在于用户身份的验证,确保用户能够登录统一的平台;用户信息权限匹配层是第二层,结合系统内部用户相关信息、组织架构信息对用户权限范围进行准确判断;应用系统层为第三层,结合人员权限匹配的最终结果显示对应的应用系统。用户借助单点登录形式便能够直接在权限范围内进入到各个系统中,因而大大提高了工作效率[3]。
该平台的构建,一方面有利于企业对整个业务应用用户数据源的管理,以及认证方式安全性、管理能力的提升;另一方面使用户能够获取更加丰富的体验。以零信任为基础,通过“身份认证、访问授权、风险评估、动态控制”等技术,实现企业业务应用、数据协同安全管理。案例中企业通过运用目前主流身份鉴别体系构建相应的框架,通过分布式微服务结构,拓展服务的广度与深度。平台架构主要基于统一用户管理系统、多因子认证系统,实现了零信任安全体系的构建。案例中企业根据实际业务、分步建设需求,设计了统一身份鉴别体系的总体架构图,具体见图1。
图1 统一身份鉴别体系架构示意图
案例中企业基于零信任架构的统一身份认证平台包括统一用户管理系统、多因子认证系统等,以统一用户管理系统作为不同类型应用系统唯一数据源,向各个应用系统发送用户信息,便于不同类型业务应用系统能够及时调用需要的信息,形成一套用户数据库,使人员、用户身份、应用授权等管理均实现了统一化。多因子认证系统是认证中台服务系统的核心,通过扫码、人脸识别、动态口令、指纹、CA证书等多种形式,使PC端、移动端认证服务更加灵活安全。“一证通”以综合应用门户为基础,整合并集成了不同类型的应用系统,其中拓展接口的预留更是使得重要信息内容、个性化定制成为可能。窗口的统一化使得用户可集中获取、处理多种业务,安全访问企业所有授权应用。在该系统中以多因子技术为依据形成了统一身份认证服务平台,借助集中证书、账户、授权、认证、审计等管理应用模块的使用,使用户账户实现了统一化管理,系统资源能够集中整合、共享、管控[4]。
企业的统一身份认证平台采用的核心技术是多因子认证,该平台具有用户、证书、认证、授权、审计高效管理功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。统一身份认证平台整体功能见图2。
图2 统一身份认证平台整体功能示意图
其中,统一门户主要针对的是一些普通的用户,涉及身份认证、应用单点登录、用户自助服务等;移动认证App采用指纹技术,以及扫码、一键推送、生物认证等技术;管理中心具有可视化的特点,主要包含账号管理、认证、应用、授权、审计等功能;应用网关功能是反向代理、负载均衡、流量加密、策略控制;认证插件为标准认证协议、SDK、第三方对接等提供支持,在认证中既涉及用户名密码,同时还有移动认证,属于双因素认证方法;统一账号服务提供组织、用户全生命周期、组织用户同步、下发、密码认证等功能;统一认证服务提供用户、设备的认证功能,涉及到的认证方法有用户名密码、一键推送、人脸、声纹、微信等,也能够给予原CA认证方式对接相应支持,且CA认证是多因子认证系统中重要的认证因子,主要用于对外提供相应的认证服务;应用与授权服务中提供的应用服务主要是对应用、应用模板进行管理,通过标准化应用对接方法使第三方应用集成工作较快速度完成;授权服务则针对的是用户应用级授权的管理;单点登录服务是SSO认证中心支持给予标准SSO协议、密码代填、API登录等技术,其中标准SSO协议也支持CAS、OIDC、SAML、JWT、OAUTH等;统一审计服务包含日志的采信、储存、分析,审计系统管理日志、用户认证、操作及应用日志。审计服务中留存、查询日志、分析用户行为以及报表的统计等,是非常重要的功能[5]。
3.4.1 技术原理
案例中企业统一身份鉴别体系的构建同样也是以零信任思路为基础,将内网以及外网环境中的用户、设备、应用以及服务均默认为是不可以信任的。其在认证及授权动态重构业务访问控制基础之上,重新构建了信任基础。零信任依赖的身份认证,访问控制基于认证、权限、审计、审批、环境感知、安全策略控制等,通过运用动态访问控制技术,保证经认证以后的用户均可以借助安全终端设备完成合规业务的快速访问。在标准化、解耦联动基础设施服务能力支持下,将用户数据访问过程划分成不同的阶段,每一个阶段嵌入了相应的安全访问控制策略执行节点;在用户访问时持续性监测用户、设备环境属性,动态控制应用以及服务,确保能够有效实施安全访问控制策略[6]。
3.4.2 应用场景
案例企业此系统中涉及到了4大业务应用场景。一是核心应用场景。企业外网应用一站式安全访问场景身份治理是统一化的,集中管控权限,同时具备了多因子认证、应用单点登录、日志审计功能,用户进行一次认证后,便能够全网通行,方便快捷且安全,易于管理。其中PC端业务使用扫码认证的方式,可将短信、密码、临时授权等认证方式保留;移动端App则采用人脸、指纹、手纹进行认证。二是拓展支持运维场景。平台可以给予数据中心内部运行设备双因素认证支持。三是未来应用场景。未来平滑升级至“零信任”业务安全平台场景,通过分析身份权限治理、双因素认证、单点登录、用户实体行为,平滑扩展建成以身份认证为核心“零信任”业务安全平台。四是零信任场景。企业出于业务安全层面的考虑,在长远规划中以零信任为重要理念,将身份认证、访问授权、风险评估、动态控制技术有效结合。
3.4.3 认证App在移动认证App中借助指纹技术,使推送、生物待认证方式相结合。客户可采用多种移动认证方式,可同时在Android和iOS版本中实现认证。用户使用认证App前,系统需要初始化,将用户身份与移动设备绑定。同时支持邮箱、短信验证码以及账号密码认证方式。初始化能够实现管理员审批功能的拓展。
3.4.4 统一用户管理系统
统一用户管理系统重点针对用户入职、在职、换岗、离职进行管理,具体的流程示意图见图3。
图3 统一用户管理系统业务流程示意图
用户管理中心涉及的是组织机构管理,管理员结合企业组织结构,在系统内构建相应的组织架构树形结构示意图,其具备增加、修改、删除、查询功能。用户管理包含用户信息输入、初始化、离职、退休等,同时涵盖了分级、分组、授权、审批及审计等管理。
3.4.5 多因子认证系统
认证服务中包含人员身份、认证统一管理,如身份核对、令牌应用及管理等。多因子认证系统将多种优势认证因子进行集成,如CA认证、扫码、口令、指纹等,其中认证的对象有PC端Web应用、移动端App等,高效且快速地集成不同业务应用。根据企业用户、用户组、应用等多种维度设置合理的认证策略,以满足企业不同业务场景下的认证需求。分级认证方式将应用设置成不同的认证级别,如果用户认证允许以后要访问高级应用,此时就涉及到了二次认证,安全级别会随之提高。
3.4.6 应用集成
应用集成是平台针对企业不同业务、不同应用增设统一认证、单点登录、组织账号信息供给功能,通过标准协议、密码代填便能够实现。其中标准协议包括OAUTH、SAML等,集成SDK应用系统;密码代填包括Basic、表单、句柄代填等技术手段,可以用于一些难以改造的BS、CS应用中。
零信任架构是在互联网快速发展背景下产生的全新架构方式,其侧重点在于提高信息数据的安全性。对于企业而言,基于零信任架构的统一身份认证平台的运用,从顶层设计着手,可使安全建设以及管理更加规范,符合企业实际需求,其不仅为业务系统发展提供了更多具有便利性、可信性的安全环境以及服务,而且也在很大程度上促进了单一防控向多维度弹性防控领域的发展,确保应用以及数据更加安全,使外部攻击以及内部威胁等问题得到有效缓解,企业网络安全综合防护能力以及水平大幅度提高,推进了数字化转型的步伐。■