基于零信任的数据安全技术在企业安防领域的应用

陈志飞

摘要：随着数字经济社会的发展和新基建的广泛应用，企业安全领域基于边界模型建设的安全保护体系在面临内部威胁、数据泄漏风险加剧等方面的手段机制存在不足。本文提出了一种基于“IAM+SDP+MSG”的零信任安全系统，实现对南北向流量和东西向流量进行细粒度管理，并对该系统适用的应用场景进行了分析，为企业数据安全防护能力提升提供支撑。

关键字：零信任；SDP；数据安全；安防

引言

数据是数字经济时代的重要生产力要素，其安全性同时也是数字经济发展的前提和必要的基础条件。企业的网络与数据安全经过多年发展，已经建立了基础的安全保护体系，但随着云计算、大数据、物联网等新技术的广泛应用，网络攻击呈常态化趋势，传统的防护手段显得力不从心。面对当前日益严峻的安全挑战，企业需要改进保护思路，由被动向主动转变，建立主动的纵深安全防御体系[1]。

1. 企业数据安全面临的挑战

随着企业数字化和数据化的快速发展，企业的数据量呈几何倍数增长。保障海量、异构数据的安全性给企业数据安防带来了新机遇和巨大挑战[1-2]。当前企业网络安全边界日益模糊，移动互联网和云计算等技术导致物理边界和逻辑边界变得模糊不清，传统的安全架构和防护系统已不适应当前需求。此外，企业还面临着终端数据泄露的风险，攻击者获取用户终端权限后可能导致巨大的数据安全风险，而企业内部用户的有意或误操作也可能导致数据泄露。同时，企业网络的内部威胁控制能力不足，传统安全防护系统对内网中的用户和设备默认授信，容易给企业带来很大损失[3]。面对网络暴露面不断扩大，复杂多变且日益增多的网络攻击手段，企业的数据安全防护已经不能单纯按照传统的安全防护思路进行[4-5]。需要采用零信任技术，通过持续认证设备和用户身份，实现细粒度的访问控制，提升数据安全防护能力。

2. 零信任架构及技术

零信任架构（ZTA）[6-7]是一种基于零信任理念的网络安全新架构，集合了软件定义边界（SDP）、统一身份与访问管理（IAM）以及微隔离（MSG）这三大技术组件。SDP通过隐藏网络、只允许经过身份和设备认证的用户进入内网来保护企业应用系统等资源；IAM作为新一代身份认证与资源整合产品，加强了安全性，支持快速有效的业务访问，并降低了运营成本；MSG则通过细粒度控制流量访问、将攻击限制在有限范围内以及灵活部署安全策略来提供安全控制服务。随着数字经济社会的发展，云、大数据、物联网、工业互联网、移动等新基建的广泛应用，边界防护已经无法满足安全防护的需求，零信任理念逐渐被推广和应用。然而，在国内市场，零信任产品往往只侧重于某一项或两项技术的研究和应用，还没有出现整合这三种技术架构优势的产品。因此，本文提出了一种基于“IAM+SDP+MSG”三位一体技术架构的零信任安全系统，为企业构建安全可信的主动防御体系提供支持能力。

3. 一种基于“IAM+SDP+MSG”技术架构的零信任安全系统框架

本文提出的集IAM、SDP和MSG三类技术于一体的零信任安全系统，包括SDP客户端、SDP控制中心、SDP控制器、SDP行为审计中心、应用网关、API微服务网关、IAM、微隔离等，如图1所示。

3.1 IAM子系统

IAM子系统是为企业应用系统提供标准的用户管理服务，主要包括统一身份管理系统、统一认证管理系统、审计与查询统计系统、移动安全与融合认证系统和身份与认证数据库等。

（1）统一身份管理系统。对用户及账号进行管理及提供用户自助服务，实现分级分权管理；支持各应用系统进行用户的自主维护，并实现统一用户自助服务。

（2）统一认证管理系统。实现单点登录功能，提供统一的认证服务。

（3）审计与查询统计系统。对用户的操作、登录和认证等行为进行审计，同时支持审计管理员的查询统计等审计管理操作。

（4）移动安全与融合认证平台。实现移动端APP的统一认证和单点登录，提供指纹、扫码、动态令牌等多因素认证，同时实现移动端与PC的融合认证。

（5）身份与认证数据库。存储所有用户信息及账号，包括个人与组织机构信息的存储以及账号的集中存储。

（6）接口服务。包括身份管理接口、认证管理接口等，并且接口以SDK等多种方式提供。

3.2 SDP子系统

SDP子系统包括SDP客户端、SDP控制器、SDP控制中心、SDP行为审计中心、應用网关、API微服务网关等。

（1）SDP客户端。作为访问的入口，用户通过SDP客户端输入自己的有效身份信息，支持对接IAM的认证登录方式，同时实现对用户终端的环境感知，并按照评价基线对环境风险进行提示和打分。

（2）SDP控制器。对接SDP客户端的访问，控制器调用零信任认证服务并推送认证登录页，同时在SDP客户端的身份校验通过后，返回当前用户可访问的应用列表。

（3）SDP控制中心。SDP控制中心支持用户的身份认证与授权、网关与应用的接入、服务的访问权限控制、访问策略控制以及审计管理等功能。

（4）SDP行为审计中心。SDP行为审计中心基于业务访问行为规范，对各类业务行为进行审计，并提供异常行为分析、发现、告警和响应的能力。

（5）应用网关。应用网关负责网络隐藏，为后端应用资源提供安全防护，动态调整用户授权策略，缩小网络暴露面。

（6）API微服务网关。提供统一的API调用入口，对API访问实现细粒度强制访问控制。

3.3 MSG子系统

MSG子系统面向业务应用，实现东西向流量精细化隔离和访问控制，由工作负载端和管理平台组成。

（1）工作负载端。工作负载负责进行必要信息采集，包括系统信息、端口信息、网络地址信息、访问流量信息，同时执行管理平台下发的隔离策略。

（2）管理平台。管理平台接收来自工作负载端的上报信息，进行业务流量分析，调整防护策略。

3.4 基于“IAM+SDP+MSG”技术架构的零信任安全防护系统特点

三位一体零信任安全系统是基于零信任理念的，通过不同的组件能力的结合，实现用户对应用系统的安全访问，并提升整个安全体系的防护能力，具备网络隐身、身份认证、最小授权、风险感知、持续评估、动态策略、服务隔离和全面审计等特点。

4. 零信任安全系统在企业数据安防的应用场景分析及典型应用案例

基于“IAM+SDP+MSG”技術架构的三位一体零信任安全防护系统，支持企业侧的多种数据安全防护场景，如企业网访问业务场景、云桌面访问业务场景、远程运维场景等。

4.1 应用场景分析

4.1.1 企业网访问业务系统场景

在企业网络访问业务场景中，可以通过整合IAM、SDP和MSG技术，实现对用户、应用身份的统一管理和认证，统一收敛各类业务访问入口，以及横向隔离不同业务之间的安全控制。通过收敛业务应用的访问入口，非授权人员和风险人员将被有效阻挡在业务应用之外，而合法授权用户则可以享有与本地用户相同的访问体验。同时，通过细粒度的访问控制，可以确保数据访问的可信性和合规性。

4.1.2 云桌面访问业务系统场景

零信任安全系统适用于企业业务部署在公有云和私有云环境的场景。该系统通过整合IAM、SDP和MSG技术，实现对用户、应用身份的统一管理和认证，在云上统一收敛各业务访问入口，并在云上实现业务间的横向隔离。通过安装带有SDP客户端且经过安全基线检查的客户端，才能发起SPA敲门请求，并只有合法的用户才能正常访问业务系统。同时，通过控制平面和数据平面的分离，该系统支持多云/多数据中心的统一接入，统一身份认证、授权鉴权和资源访问控制，提供一致的用户访问权限等功能。

4.1.3 远程运维场景

零信任系统在远程运维场景中同样适用。可以通过限制不同类型的远程运维人员仅能访问其需要进行运维的系统来实现安全控制。具体流程包括：在远程运维开始前，零信任安全系统会对运维人员的身份和运维终端进行合法性校验；在远程运维服务过程中，持续评估引擎会对运维终端进行持续信任评估，并记录接入、访问、操作和退出等行为；在远程运维结束后，零信任安全系统提供全面的审计功能，为管理员提供丰富的审计数据。

4.2 典型应用案例

本文提出的基于“IAM+SDP+MSG”三位一体技术架构的零信任安全系统已在某企业成功落地实践验证。系统能够为企业提供细粒度访问控制能力，解决应用层跨部门数据安全交换需求；对不同部门、运维人员的身份进行持续评估动态授权；收缩业务暴露面，提升业务访问和运维访问安全；为企业构建身份安全、终端安全、链路安全、服务安全的全方位、立体化安全防护体系。每月拦截有效攻击达10万次以上，并实现相关攻击IP的自动阻断功能。

结语

随着数字中国战略的推进和国家对数据安全的重视程度提升，企业将面临越来越大的数据安全合规监管压力。零信任技术作为传统防护技术和系统的有益补充，特别是集成了“IAM+SDP+MSG”三类技术的零信任安全系统，在提升企业数据安全方面发挥了显著作用。它可以建立更精细的访问控制，禁止横向越权访问，确保各业务系统的数据安全，实现 API 级别的访问控制，保障内部访问的安全性；在数据流动过程中，还能进行实时检查和控制，隐藏企业网络，减少互联网暴露面，降低数据泄露风险等。

参考文献：

[1]李骄阳，沈泽.“数字经济”来临，安防领域信息安全发展现状与挑战[J].中国安防，2021，（6）：58-62.

[2]田由辉.基于零信任架构的网络安全防护思路[J].信息技术与信息化，2020，（5）：154-157.

[3]宋宪荣，张猛.网络可信身份认证技术问题研究[J].网络空间安全，2018，9（3）：69-77.

[4]Rose S，Borchert O，Mitchell S，et al.Zero Trust Architecture[M].Gaithersburg：National Institute of Standards and Technology，2020.

[5]陈长松.零信任架构下的数据安全纵深防御体系研究[J].信息网络安全，2021（S1）：105-108.

[6]安全牛.“零信任”安全架构将成为网络安全流行框架之一[EB/OL].（2018-1-22）[2020-7-15].https：//www.aqniu.com／learn/31075.html.

[7]程春蕊，刘万军.高内聚低耦合软件架构的构建[J].计算机系统应用，2009，18（7）： 19-22.

作者简介：陈志飞，本科，中级工程师，研究方向：大数据、网络安全、数据安全。