基于零信任架构的校园网安全访问研究

李静元

(陕西师范大学,信息化建设与管理处,陕西,西安 710119)

0 引言

智慧教室、物联网水电表、高性能计算等新兴技术在高校校园网中的大规模应用,加速了师生在校外办公学习的需求,导致传统的校园网边界划分更加模糊化。传统的校园网边界划分是基于IP和VLAN隔离的,师生在校外访问校内资源需依靠VPN接入实现,VPN在校园网中存在边界严格划分、网络管控粗粒度和认证授权不灵活等问题。在这种新的网络环境下,传统的校园网访问模型无法满足当前数字化校园的网络安全需求[1-2]。

为了定义无边界趋势下的网络安全问题并寻求解决方案,零信任术语在2010年正式提出并用来特指对所有网络连接和流量是不可信任的,通过隔离对网络进行细粒度的访问控制避免内网沦陷后的横向攻击。2014年零信任架构由Google内部项目BeyondCorp研究成果提出,后续研究中Gartner将其自适应安全架构优化为持续自适应风险与信任评估架构。

为了解决校园网访问中的问题,本文提出一种基于零信任架构的高校校园网安全防护方法,构建持续性动态的身份验证和访问授权策略,不再划分内外网边界,对任何访问需求的发起用户均不信任[3-4],默认为最小访问授权。由此实现校园网中敏感数据的细粒度管控和灵活的授权认证,避免通过外网接入校园网后横向攻击的网络安全事件发生。

1 传统校园网的访问模型

高校中传统的校园网有严格的外网和内网边界,内网用户对于数据中心来说是绝对信任的,外网用户属于不可信区域。外网远程接入访问校内资源一般通过SSLVPN或WebVPN实现,一次认证永久访问,通过VPN接入内网后可直接访问校内所有资源。

传统校园网的访问模型如图1所示。由图1可知,在云计算、物联网和信息化飞速发展的时代,在安全体系架构方面存在以下3个问题。

图1 传统校园网的访问模型

(1) 边界安全风险大

随着教育信息化的快速发展和新兴技术物联网技术的大规模应用,校园网的内外网边界划分越来越模糊,无边界网络占比越来越高。

(2) 网络管控粗粒度

传统校园网对内网是绝对信任的,内网用户权限太大会存在横向漏扫攻击的风险,访问权限为粗粒度控制方式,无法做到动态评估每次访问的安全级别,而零信任网关可以做到数据的细粒度访问控制和动态授权访问。

(3) 认证授权不灵活

认证授权易受地理位置和IP的限制,无法做到身份和设备双重认证。

2 零信任架构的校园网访问模型

在高校中校园网主要包括无线网络、有线网络、物联网、监控网,目前陕西师范大学的网络体系架构已全面实现大二层改造,极大简化了运营成本。为了满足高校信息化的快速发展,后续将逐步实现四网融合。

零信任架构的校园网访问模型如图2所示。网络访问不再区分内网和外网边界,所有访问校内资源的用户设备都通过数据中心前端零信任网关接入,并将请求发给零信任控制引擎进行评估。如果访问请求经评估后被接受,那么零信任网关和用户设备建立加密通信隧道传输数据,当数据流出现异常安全问题时将触发控制引擎终止加密隧道[5-6]。

图2 零信任架构的访问模型

用户的每次访问都基于动态安全级别评估后接入,实现网络管理控制的细粒度化。只有完成身份可信、行为可信和环境可信的校验用户才会认证授权成功,数据传输过程中实时监测动态访问控制,如果出现任何风险会即刻收缩用户访问权限,由此极大减少校园网资源被非法访问和横向攻击的风险。

2.1 零信任架构

零信任架构以面向实际应用的零信任系统为目标,主要由零信任网关、动态访问控制引擎、信任评估引擎和身份安全基础设施构成。

零信任网关是确保业务安全的网关,为动态访问控制引擎的策略执行提供保障。

动态访问控制引擎根据动态访问控制策略与零信任网关一起完成对所有访问请求的动态认证和环境监测,相比传统的静态策略权限判定更灵活,动态策略安全性更高。

信任评估引擎和动态访问控制引擎联动实现信任等级评估并作为访问授权的依据,也可与第三方态势感知系统进行联动,动态地对用户身份和访问连接进行灵活的信任评级授权认证,提供更为精确的风险评级和安全保障。

身份安全基础设施主要具备身份管理和权限管理的功能,实现对身份生命周期的动态管理以及授权策略的细粒度管控和风险分析。

2.2 信任评估算法

信任评估算法是零信任的最核心部分,它确保整个网络的正确运行,对零信任的安全性起到举足轻重的作用。信任评估算法如图3所示。通过输入用户信息、设备状态、访问信息和行为属性到基准差算法中,结合对应基准值βi进行计算,并动态输出基准差δi,4个基准差δ1～δ4、已知的漏洞和恶意攻击等作为风险分析系统的输入计算出风险分析值γ。

图3 信任评估算法

将风险分析系统输出的风险分析值γ和库中的待访问资源作为信任评估判断的输入条件,判断是否允许访问。

2.3 无边界安全访问

零信任的校园网架构提出无边界访问控制方法,将不再区分传统的内外网边界,对网络中任何人、设备和应用都默认为不信任。对所有访问请求实行灵活的认证授权控制和细粒度网络管控措施,通过信任评估算法动态计算访问主体的风险度量,以此决定是否允许访问。

2.4 细粒度网络管理

从传统的“访问行为审计”升级为“动态访问控制和灰度处置”,对所有的访问请求进行细粒度的权限管控和身份验证。基于身份与访问行为制定动态安全的基线,识别异常风险的行为并做出有效的处理,最终达到用户设备行为的可信目的。

动态安全评估体系是零信任架构实现安全闭环的重要环节,基于信任等级实现分级的业务访问能力,从“静态权限”升级为“动态权限”。零信任架构下的动态安全访问可以在发现环境、行为和身份存在风险时实时调整用户权限、降低信任评级来达到及时干预的目的。

2.5 认证授权灵活化

零信任架构的校园网访问基于用户身份和设备环境的双重认证,不再受IP地址和地理位置的限制,以身份而非物理位置来构建访问控制架构。默认情况下为网络中的身份和设备授权最低权限,用户仅在需要的时候获得特权,具有较强的动态性和风险感知能力。从“静态双因素认证”升级为“动态自适应身份认证”,通过多因素身份认证确保身份可信,基于设备环境等因素的变化自动调整平衡安全。从终端的“基础准入”升级为“持续动态环境监测与全局业务准入”,针对设备终端进行持续、动态的环境监测,避免终端成为安全接入的薄弱环节。

3 零信任架构的安全访问方法

高校师生远程办公越来越常态化,学术研究的开放性等因素使得校园网的内外网边界更加模糊化。传统VPN的“一次认证,永久在线”的远程接入方式给校园网的网络安全带来极大的挑战,通过校内态势感知、大数据监测,以及陕西省进行高校网络攻防演练的最终报告来看,校内二级单位网站存在的漏洞攻击以及挖矿病毒感染终端的原因大部分是VPN系统弱密码导致的。攻击者通过暴力破解方式获得VPN账号的弱密码,再通过漏扫等软件进行校园网内横向攻击。高校的网络群体庞大、学生安全意识薄弱、校园网内横向攻击成本低等因素特别容易成为挖矿劫持和勒索软件的目标,造成严重的资源浪费和财力损失[7-8]。

零信任架构的安全访问不再受物理位置和IP地址的限制,不区分内网和外网的边界,秉承“持续验证,永不信任”的原则。系统默认不信任网络中任何用户设备,基于身份认证授权和动态访问控制策略的安全通信,对于解决边界模糊的高校校园网非常合适。零信任安全访问在校园中的应用主要体现在3个方面:图书馆文献资源的无感知访问、校园内网资源的安全访问和敏感资源的安全访问。

3.1 图书资源的无感知访问

零信任访问控制可实现校外对图书馆资源的安全访问,解决校外访问电子资源的认证授信问题,全程无须安装客户端插件是纯Web访问,即开即用、即关即走。通过资源动态捕捉技术实现图书馆的资源访问,不用担心数据库站点地址的变更,可对接CAS和Ldap等认证系统实现无感知访问,并审计图书馆资源访问记录日志,为图书资源维护提供数据支撑。可实现动态自适应的身份认证、校外访问、非授信终端访问、异地登录等场景进行强制二次认证,避免账号盗用导致的恶意访问下载资源。

3.2 校园内网资源的安全访问

无须安装任何客户端插件即可实现安全接入访问校园内网数字化资源,并结合校内统一认证系统构建以身份为中心的可信访问、智慧权限、极简运维的零信任安全接入平台。

具体流程为浏览器访问数字化校园域名,跳转到统一认证登录界面,输入学号或工号和密码认证,认证通过后进入数字化校园资源整合页面,点击对应的校内资源可免认证直接访问所需的电子资源。

3.3 敏感资源的安全访问

敏感资源包括OA、财务、网络管理系统等重要平台,这些具有敏感信息的资源访问需要通过安全隧道和权限控制基线接入,提供终端安全、身份安全、传输安全、权限安全和日志审计的端到端可靠性防护。

基于信任引擎的动态权限和动态自适应的身份认证,当环境行为等存在风险或非授信终端访问时强制进行二次认证或收缩访问权限。同时也支持对接第三方态势感知等安全设备进行联动,增强行为分析和安全防护的能力,提高动态访问控制的细粒度管控和认证授权的灵活性。

4 总结

本文提出基于零信任架构的校园网安全访问方法,可以有效解决传统校园网中存在的粗粒度访问控制、网络边界严格划分、认证授权不灵活等问题。通过在校内搭建零信任平台替代传统的VPN系统,实现用户访问不再受限于物理位置的限制,并实时动态持续性监测和调整用户的权限,规避恶意用户通过VPN进入校园网进行横向渗透的安全风险。为了提高零信任访问的风险分析能力,后续将对接校内态势感知平台提升信任评估的精确度,加强校园网的网络安全防护水平。