2020年零信任技术.pdf
中国信息通信研究院安全研究所 奇安信科技集团股份有限公司 2020 年 8 月 网络安全先 进技术与应 用发展系列 报告 零信任 技术(Zero Trust) (2020 年)版权声明 本报告版权属于中国信息通信研究院、奇安信科技集团 股份有限公司,并受法律保护。转载、摘编或利用其它方式 使用本报告文字或者观点的,应注明“来源:中国信息通信 研究院、 奇安信科技集团股份有限公司” 。 违反上述声明者, 将追究其相关法律责任。 前 言 随着全球数字化转型的逐渐深入,在“云大物移智工”等新技术 发展支撑下,零信任从原型概念加速演进,成为新一代信息技术安全 架构。在过去的 2019 年,国内零信任从概念走向落地,零信任安全 架构以其兼容移动互联网、物联网、5G 等新兴应用场景,支持远程 办公、多云环境、多分支机构、跨企业协同等复杂网络架构,受到各 界青睐,从产品研制、解决方案到应用试点示范,到逐步探索完善适 应不同场景的零信任应用实践。进入 2020 年以来,在“新基建”和 疫情的双重刺激下, 零信任作为一种可支撑未来发展的最佳业务安全 防护方式,成为我国网络安全界的焦点。 本报告聚焦零信任发展,从技术、产业、应用和实践四个维度进 行剖析: 技术部分包含零信任安全架构定义和关键技术的最新研究成 果;产业部分介绍了国内外产业发展、标准化等方面的最新进展;应 用部分汇集远程办公、大数据中心、云计算、物联网和 5G应用等核 心应用场景的零信任解决方案建议; 实践部分聚焦零信任规划与部署, 介绍零信任实施经验。最后以零信任建议和展望总结全文,希望通过 本书帮助更多的人理解和实践零信任,加快推进零信任创新发展,为 以新基建为代表的数字化转型保驾护航。 目 录 一、零信任技术和产业发展现状 . 1 (一)零信任核心原则 . 2 (二)零信任安全架构及组件 . 4 (三)零信任关键技术 . 7 (四)国外产业发展及应用规划 . 10 (五)国内零信任概念走向落地 . 12 二、零信任应用场景 . 14 (一)远程办公 . 14 (二)大数据中心 . 18 (三)云计算平台 . 22 (四)物联网 . 26 (五)5G应用 . 30 三、零信任实施建议 . 34 (一)使用范围 . 34 (二)实施规划 . 38 (三)技术实现 . 40 四、零信任思考和展望 . 46 图 目 录 图 1 零信任概念演进历程图 . 2 图 2 零信任架构总体框架图 . 4 图 3 基于零信任架构的远程办公安全参考架构 . 18 图 4 数据中心内部访问流程示意图 . 21 图 5 数据中心安全接入区案例示意图 . 22 图 6 基于零信任架构的云计算平台安全参考架构 . 26 图 7 基于设备指纹的物联边缘网关零信任方案示意图 . 30 图 8 零信任实施技术路线示意图 . 41 表 目 录 表1 零信任解决方案市场供应商分析 . 11 表2 5G架构下的主要对象 . 31 表3 5G架构下的风险来源 . 31 表4 5G架构下的攻击情况 . 31 表5 5G典型攻击行为案例 . 32 零信任技术(Zero Trust)( 2020 年) 1 一、零信 任技术 和产业发 展现状 近年来,中 央 地方高度重视新型基础设施建设 (简称 “新基建” ) , 国家高层会议密集提及新基建,各省积极推动新基建项目集中开工。 作为新基建三大领域之一的信息基础设施, 成为数字经济的关键乃至 整个经济社会的神经中枢,其安全性、敏捷性、稳定性等将对新基建 安全发展产生至关重要的影响。因此,在主动拥抱新基建的同时,首 先应当系统性地评估网络安全的准备工作是否到位。 随着新一代信息 技术的快速演进,新技术态势下的网络安全威胁和风险不断涌现、扩 散,移动互联网、物联网、工业互联网、车联网等新型应用场景致使 物理网络安全边界逐步瓦解,用户、设备、业务、平台等多样化趋势 不可阻挡,新场景叠加的安全风险不容忽视。为了应对逐渐复杂的网 络环境,一种新的网络安全技术架构零信任逐步走入公众视野,其 创新性的安全思维契合数字基建新技术特点, 着力提升信息化系统和 网络的整体安全性,受到了广泛关注,并被寄予厚望。 零信任雏形最早源于 2004 年成立的 Jericho Forum 1 ,其成立目的 是寻求网络无边界化趋势下的全新安全架构及解决方案。2010 年, Forrester 2 的分析师约翰· 金德维格正式提出了 “零信任” (Zero Trust) 一词 3 。随着业界对零信任理论和实践的不断完善,零信任从原型概 念向主流网络安全技术架构逐步演进, 从最初网络层微分段的范畴开1Jericho Forum :耶利哥论坛, 成立于 2004 年,公益论坛 2Forrester :弗雷斯特研究公司 ,成立于 1983 年,技术和市场 调研公司 3S. Rose et al., Zero Trust Architecture, National Institute of Standards and Technology (NIST) Draft (2nd) Special Publication 800-207, Gaithersburg, Md., February 2020. Available: nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207- draft2.pdf. 零信任技术(Zero Trust)( 2020 年) 2 始,逐步演变成为覆盖云环境、大数据中心、微服务等众多场景的新 一代安全架构。 图 1 零信任概念演进历程图 (一)零信任核心原则 零信任网络:在不可信网络中构建安全系统一书中,作者使 用如下五句话对零信任安全进行了抽象概括: 网络无时无刻不处于危险的环境中。 网络中自始至终存在外部或内部威胁。 网络位置不足以决定网络的可信程度。 所有的设备、用户和网络流量都应当经过认证和授权。 安全策略必须是动态的,并基于尽可能多的数据源计算而来 4 。 简而言之,零信任的核心思想是: 默认情况 下, 企业内外部的 任 何人 、 事、 物均不可信 , 应在授权前对任何试 图接入网络和访问 网络4 【美】埃文·吉尔曼(Evan Gilman ) 、道格·巴特(Doug Barth) ,零信任网络:在不可信网络中构建安 全系统,人民邮电出版社,北京,2019 年 7 月 零信任技术(Zero Trust)( 2020 年) 3 资源的 人、事、物进行验 证。 基于对零信任安全框架的理解, 可将零信任架构的原则归纳如下: (1)将身份作 为访 问控制的基 础:零信任的信任关系来自于对 所有参与对象的身份验证。 所有参与对象共同构成端到端信任关系的 基础,这些参与对象包括基础网络、设备、用户、应用等。零信任架 构为所有对象赋予数字身份, 基于身份而非网络位置来构建访问控制 体系。 (2)最小权限原则:零信任架构强调资源的使用按需分配,仅 授予执行任务所需的最小特权,同时限制了资源的可见性。通过使用 端口隐藏等技术手段, 默认情况下资源对未经认证的访问主体不可见。 授权决策时将人员、 设备、 应用等实体身份进行组合, 形成访问主体。 针对主体的组合信息和访问需求, 以及信任评估和权限策略计算情况, 确定是否授予访问权限。 (3)实时计算访 问 控制策略:授权决策依据主体的身份信息、 权限信息、环境信息、当前主体信任等级等,通过将这些信息进行实 时计算,形成访问控制策略。在资源访问过程中,一旦授权决策依据 发生了变化,将重新进行计算分析,必要时即时变更授权决策。 (4)资源受控安 全 访问:零信任架构对所有业务场景、所有资 源的每一个访问请求进行强制身份识别和授权判定, 确认访问请求的 权限、信任等级符合安全策略要求后才予以放行,实施会话级别的细 粒度访问控制。零信任默认网络互联环境是不安全的,要求所有的访 问连接都必须加密。 零信任技术(Zero Trust)( 2020 年) 4 (5)基于多源数 据 进行信任 等级持 续 评估:主体信任等级是零 信任授权决策的判定依据之一,主体信任等级根据实时多源数据,如 身份、权限、访问日志等信息计算得出,参与计算的数据种类越多, 数据的可靠性越高,信任等级的评估就越准确。人工智能技术的迅猛 发展为信任评估赋能,通过专家系统、模型训练、机器学习等人工智 能技术,紧扣应用场景,提升信任评估策略计算效率,实现零信任架 构在安全性、可靠性、可用性、安全成本等方面的综合平衡。 (二)零信任安全架构及组件 参考美国国家标准与技术研究院 NIST特别出版物 SP800-207 零 信任架构定义的零信任体系架构,结合零信任的实践探索,本报告 将零信任架构的总体框架归纳如下: 图 2 零信任架构总体框架图 零信任秉承“从不信任并始终验证”的安全原则,对访问主体和 访问客体之间的数据访问和认证验证进行处理, 并将访问行为实施平零信任技术(Zero Trust)( 2020 年) 5 面分解为用于网络通信控制的控制平面和用于应用程序通信的数据 平面。访问主体通过控制平面发起的访问请求,由信任评估引擎、访 问控制引擎实施身份认证和授权,一旦访问请求获得允许后,系统动 态配置数据平面,访问代理接受来自访问主体的流量数据,建立一次 性的安全访问连接。信任评估引擎将持续进行信任评估,把评估数据 提供给访问控制引擎进行零信任策略决策运算, 判断访问控制策略是 否需要改变,如有需要及时通过访问代理中断连接,快速实施对资源 的保护。 1.核心组件 (1)信任评估引擎 零信任架构中实现持续信任评估能力的核心组件之一, 与访问控 制引擎联动,持续为其提供主体信任等级评估、资源安全等级评估以 及环境评估等评估数据,作为访问控制策略判定依据。 (2)访问控制引擎 持续接收来自信任评估引擎的评估数据,以会话为基本单元,秉 承最小权限原则,对所有的访问请求进行基于上下文属性、信任等级 和安全策略的动态权限判定, 最终决定是否为访问请求授予资源的访 问权限。 (3)访问代理 零信任架构的数据平面组件, 是动态访问控制能力的策略执行点。零信任技术(Zero Trust)( 2020 年) 6 访问代理拦截访问请求后, 通过访问控制引擎对访问主体进行身份认 证,对访问主体的权限进行动态判定。访问代理将为认证通过、并且 具有访问权限的访问请求,建立安全访问通道,允许主体访问被保护 资源。当访问控制引擎判定访问连接需要进行策略变更时,访问代理 实施变更,中止或撤销会话。 2.身份安全基础设施 身份安全基础设施是实现零信任架构的关键支撑组件, 甚至可以 说,零信任架构借助现代身份管理平台实现对人/设备/系统的全面、 动态、智能的访问控制。身份管理和权限管理为访问控制提供所需的 基础数据来源, 其中身份管理实现各种实体的身份化及身份生命周期 管理,权限管理实现对授权策略的细粒度管理和跟踪分析。典型的身 份安全基础设施包括:PKI 5 系统、身份管理系统、数据访问策略等。 身份基础设施可以是企业的 4A 6 、IAM 7 、AD 8 、LDAP 9 、PKI等 基础设施,也可以是企业的人力资源等业务系统。随着企业规模的发 展,企业人员、设备、权限都会越来越庞大,零信任架构的身份基础 设施需要能满足现代 IT 10 环境下复杂、高效的管理要求。作为零信任 架构的支撑组件,还需要支持数字证书,提供生物特征、电子凭证等 多模式身份鉴别,并结合身份管理,对主体和客体进行有效性验证。 5PKI :Public Key Infrastructure ,公钥基础设施 64A :认证 Authentication、 授权 Authorization 、账号 Account 、审计 Audit ,统称为统一安全 管理平台解 决方案 7IAM :Identity and Access Management ,身份与访问管理 8AD:Active Directory ,活动 目录 9LDAP :Lightweight Directory Access Protocol ,轻型目录访问 协议 10IT :Internet Technology,信息 技术,用于管理和处理信息所采用的各种技术的总称 零信任技术(Zero Trust)( 2020 年) 7 3.其他安全分析平台 企业现有的安全平台建设成果,为零信任提供资产状态、规范性 要求、运行环境安全风险、威胁情报等数据。综合大量的日志信息能 够支撑零信任实现持续的动态评估。其中,典型的其他安全分析平台 包括: 终端防护与响应系统、 安全态势感知分析系统、 行业合规系统、 威胁情报源、安全信息和事件管理系统等。 (三)零信任关键技术 1.现代身份与访问管理技术 现代身份与访问管理技术通过围绕身份、权限、环境、活动等关 键数据进行管理与治理的方式,确保正确的身份、在正确的访问环境 下、基于正当的理由访问正确的资源。现代身份与访问管理技术主要 包括身份鉴别、授权、管理、分析和审计等,是支撑企业业务和数据 安全的重要基础设施。 随着数字化转型的进一步深化,用户访问关系更加复杂,新型服 务和设备的需求与日俱增。比如用户从企业雇员、外包员工,发展到 合作伙伴、顾客等;设备涵盖手机、平板电脑、可穿戴设备等各种物 联网设备;此外,同一个用户可能使用多台设备,这些都增加了用户 和设备管理的难度。同时,大量企业、机构办公地点遍布全国,甚至 全世界, 地理位置分散导致身份和访问管理系统需要遵守不同地区关 于数据隐私保护、数据留存等方面的法律要求。 业务系统自身的技术架构和环境也在发生变化,例如,越来越多零信任技术(Zero Trust)( 2020 年) 8 的 IT基础设施和业务应用云服务化,可扩展的混合 IT环境已成为主 流的系统运行环境。传统静态、封闭的身份和访问管理机制已经不能 满足现代信息系统对身份与访问管理的要求,即:确保正确的人或 “物” ,出于正确的原因,能够在正确的时间、正确的地点,从正确的 设备中获取到正确的资源(应用、数据等) 。 采用现代身份与访问管理技术构建的智能身份管理平台, 具有敏 捷和灵活的特点,适配各种新技术应用场景。零信任具备高级分析能 力,能够应对外部攻击、内部威胁、身份欺诈等各种安全威胁,并通 过采用动态的策略,实现持续自我完善,不断调整以满足新的业务、 技术和安全性要求。 2.软件定义边界技术 SDP 11 技术旨在通过软件的方式,在“移动+云”的时代背景下, 为企业构建起虚拟边界, 利用基于身份的访问控制以及完备的权限认 证机制,为企业应用和服务提供隐身保护,使网络黑客因看不到目标 而无法对企业的资源发动攻击,有效保护企业的数据安全。 SDP 具有五大特点: (1)网络隐身: SDP 应用服务器没有对外暴露的 DNS 12 、 IP 13 地 址或端口,必须通过授权的 SDP 客户端使用专有的协议才能进行连 接,攻击者无法获取攻击目标。 (2)预验证:用户和终端在连接服务器前必须提前进行验证,11SDP :Software Defined Perimeter ,软件定义边界 12DNS :Domain Name System,域名系统(服务)协议 13IP :Internet Protocol ,网络之 间互连的协议 零信任技术(Zero Trust)( 2020 年) 9 确保用户和设备的合法性。 (3)预授权:根据用户不同的职能以及工作需求,依据最小权 限原则, SDP 在设备接入前对该用户授予完成工作任务所需的应用和 最小访问行为权限。 (4)应用级的访问准入:用户只有应用层的访问权限,理论上 无法获取服务器的配置、 网络拓扑等其他信息, 无法进行网络级访问。 (5)扩展性:除采用特殊协议对接 SDP 服务器以外,其他访问 依然基于标准的网络协议,可以方便的与其它安全系统集成。 3.微隔离技术 微隔离(Micro-segmentation) (又称软件定义隔离、微分段)最 早由 Gartner 14 在其软件定义的数据中心相关技术体系中提出。 对数据 中心而言,主要有南北向流量和东西向流量:南北向流量是指通过网 关进出数据中心的流量; 东西向流量是指数据中心内部服务器彼此相 互访问的内部流量。 传统防护模式通常采用防火墙作为南北向流量的 安全防护手段,一旦攻击者突破防护边界,缺少有效的安全控制手段 用来阻止东西向流量之间的随意访问。 随着东西向流量占比越来越大, 微隔离技术应运而生,其作为一种网络安全技术,重点用于阻止攻击 者在进入企业数据中心网络内部后的东西向移动访问。 从广义上讲,微隔离就是一种更细粒度的网络隔离技术,使用策 略驱动的防火墙技术(通常是基于软件的)或者网络加密技术来隔离14Gartenr ,高德纳咨询公司,成立于 1979 年,信息技术研究和 分析公司 零信任技术(Zero Trust)( 2020 年) 10 数据中心、公共云 IaaS 15 和容器,在逻辑上将数据中心划分为不同的 安全段,每个段包含混合场景中的不同工作负载、应用和进程,可以 为每个段定义安全控制和所提供的服务。此外,数据中心往往包括海 量的节点,频繁变化带来的工作量不可预估,传统的人工配置模式已 无法满足管理的需求, 自动适应业务变化的策略计算引擎是微隔离成 功的关键。 (四)国外产业发展及应用规划 近年来,零信任在国际上的应用已经越来越广泛,零信任产业已 初具规模。 Google 16 、 Microsoft 17 等业界巨头率先在企业内部实践零信 任并推出完整解决方案;Duo 18 、OKTA 19 、Centrify 20 、Ping Identity 21 为代表的身份安全厂商当仁不让,推出“以身份为中心”的零信任方 案; Cisco 22 、 Akamai 23 、 Symantec 24 、 VMware 25 、 F5 26 等公司推出了偏 重于网络实施方式的零信任方案;同时,零信任也催生了一批非常成 功的创业公司,包括 Vidder 27 、Cryptzone 28 、Zscaler 29 、Illumio 30 等。 根据 Forrester 2020 年二季度对于零信任产业的统计数据,按照零信15IaaS :Infrastructure as a Service,基础设施即服务 16Google :谷歌公司,成立于 1998 年,跨国科技企业 17Microsoft :微软公司,成立 于 1975 年,跨国科技企业 18Duo :美国网络安全公司,成 立于 2010 年 19OKTA:美国网络安全公司,成立于 2009 年 20Centrify :美国网络安全公司,成立于 2004 年 21Ping Identity :美国网络安全 公司,成立于 2002 年 22Cisco :思科,成立于 1984 年 ,网络解决方案供应商 23Akamai :阿卡迈,成立于 1998 年,互联网服务供应商 24Symantec:赛门铁克,成立 于 1982 年,网络安全公司 25VMware :威睿,成立于 1998 年,云基础架构和移动商务解决方案供应商 26F5 :应用交付网络和业务解决 方案供应商,成立于 1996 年 27Vidder :初创企业,网络安全 公司 28Cryptzone :美国网络安全公 司,成立于 2008 年 29Zscaler :美国网络安全公司,成立于 2008 年 30Illumio :美国网络安全公司, 成立于 2013 年 零信任技术(Zero Trust)( 2020 年) 11 任解决方案收入,将该市场的供应商分为三类,见下表所示。其中, 零信任营收超过 1.9 亿美元的厂商已有 10 余家,零信任已经进入规 范化、规模化产业发展阶段。 表 1 零信任解决方案市场供应商分析 公司规模 公司列表(字母排序) 营收标准 大型 Akamai、Cisco、Fortinet、Google、 Illumio、Microsoft、Okta、Palo Alto Networks、Proofpoint、Unisys 收入超过 1.9 亿 美元 中型 AlgoSec、Armis、Centrify、Check Point Software Technologies、FireMon、 Forcepoint、Forescout、Gigamon、 GitLab、Ionic Security、MobileIron、 Tufin、Venafi 收入在 0.35 亿 1.9 亿美元 小型 A10 Networks、AppGate、 Awingu Axis Security、BlackBerry、 ClearedIn、ColorTokens、Edgewise、 Guardicore、HyperQube、 IDENProtect、Infocyte、 ShieldX Networks、ThreatLocker、 Zentera Systems 收入少于 3500 万美元 数据来源:Forrester 31随着技术的成熟和产业基础的逐步完善,2019 年以来,美国军 方、联邦政府和标准化组织纷纷发表各自的白皮书、评估报告和标准 草案, 阐述各自对零信任的认识和规划。 Forrester在 2019 年度预测: 转型走向务实 中明确指出零信任将在美国某些特定的领域成为标准 的、阶段性的网络安全架构。美国军队、政府将其作为优先选用的网 络安全战略和指导原则,并对其它行业产生深刻的影响。 DIB 32 作为美国国防部下属专注于技术与创新的机构于 2019 年 7 月发布了 DIB 零信任架构白皮书零信任安全之路 ,指导国防部网31数据来源:Forrester ,Now Tech: Zero Trust Solution Providers, Q2 2020 32DIB :Defense Innovation Board,美国国防创新委员会 零信任技术(Zero Trust)( 2020 年) 12 络实施零信任架构。紧接着在 2019 年 10 月发布报告零信任架构 (ZTA)建议 ,建议国防部将零信任列为最高优先事项实施。这两个 重量级文件的发布,反映出美国国防部对零信任的重要定位:零信任 架构是美国国防部网络安全架构的必然演进方向。 作为联邦政府顾问智囊的美国技术委员会-工业咨询委员会,于 2019年 4 月发布了零信任网络安全当前趋势白皮书。通过开展市 场研究,评估了零信任技术成熟度和准备度、适合性、可扩展性和基 于实际实现的可承受性,最终,对美国政府机构采用零信任提出评估 建议。 (五)国内零信任概念走向落地 2019 年 9 月,工信部公开发布的关于促进网络安全产业发展 的指导意见(征求意见稿) 中,将“零信任安全”列入需要“着力突 破的网络安全关键技术” 。 国内安全厂商, 一直以来都关注着零信任在国际上的发展并结合 国内实际场景进行落地实践。奇安信、腾讯、阿里、华为、深信服、 启明等安全和互联网厂商都利用各自在安全领域的技术优势, 推出了 零信任整体解决方案,并积极寻找机会,开展全面应用实践;竹云、 九州云腾等身份管理厂商积极推动身份管理技术在零信任架构上的 应用;云深互联、蔷薇灵动、山石科技等厂商则积极推动 SDP、微隔 离等零信任技术方案的应用实践。 2019 年以来,我国相关部委、部分 央企、大型集团企业开始将零信任架构作为新建 IT 基础设施安全架零信任技术(Zero Trust)( 2020 年) 13 构;银行、能源、通信等众多领域和行业针对新型业务场景,开展采 用零信任架构的关键技术研究和试点示范。 同时,我国也在积极推进零信任的标准化进程。 2019 年 7 月,在 中国通信标准化协会 CCSA TC8 WG3 33 第 60 次工作会议上,腾讯牵 头提交的零信任安全技术-参考框架行业标准正式通过评审,成为 国内首个立项的零信任安全技术行业标准。 2020年 5 月,在全国信息安全标准化技术委员会 2020 年第一次 线上工作组“会议周”上,奇安信牵头提出的信息安全技术 零信任 参考体系架构 ,在 WG4 34 (认证与鉴别组)工作组成功立项,这是 零信任标准层面的首个国家标准,对接身份鉴别、认证、风险评估、 可信计算环境等相关信息安全标准,确定零信任架构组成、功能及内 外部组件间关系, 对于应对数字化转型与信息技术革新下的新型网络 环境的安全威胁,推进零信任在云计算、大数据、物联网、5G 35 等领 域的横向应用,具有重大意义。 33CCSA TC8 WG3 :China Communications Standards Association ,中国通信标准化协会网络与信息安全技 术工作委员会安全管理工作组 34WG4 :全国信息安全标准化技术委员会 认证与鉴别组 355G :The 5th Generation Mobile Communication Technology,第五代移动通信技术 零信任技术(Zero Trust)( 2020 年) 14 二、零信 任应用 场景 面向不同的应用环境、业务场景,零信任架构有多种灵活的实现 方式和部署模式。 面向远程办公、 云计算平台、 大数据中心、 物联网、 5G 应用等典型场景,按照访问主体和资源之间的关系,数据平面的 访问代理重点考虑采用便于和被保护资源相结合的部署模式,如“设 备代理+网关”模式、 “资源门户”模式、 “设备应用沙箱”模式等,搭 建安全的访问通道,对访问请求进行分流。控制平面的访问控制引擎 负责指挥,按照“先认证后连接”原则,建立、维持有效连接,实施 对资源的安全访问控制。在此过程中,持续开展安全监控评估,对应 用场景中出现的安全威胁及时响应,消减风险。 (一)远程办公 远程办公已经逐步成为一种常态化的工作模式, 这也是移动办公 延展后的必然结果。从国内 2 月份以来的情况看,全民在抗击疫情和 复工复产两手抓的形势下,开始了规模庞大的居家远程办公,据第三 方调查数据显示,2020 年春节期间,中国有超过 3 亿人远程办公 36 , 以前在办公室开展的工作全部搬回了员工的家中, 不再局限于日常工 作协同沟通、 视频会议等, 包括远程办公平台、 远程开发、 远程运维、 远程客服、远程教学等等都已成为现实,远程办公已经成为走出固定 地点(如办公室、写字楼) ,随时随地的办公形态。事实上,在欧美国 家远程办公早就已经成为一种常态化的办公模式。在我国,远程办公36全球抗疫云办公云教育陡然升温 环球网 EB/OL.( 2020-03-21)2020-03-23. finance.huanqiu/article/3xVW4gmkvN7 零信任技术(Zero Trust)( 2020 年) 15 也将逐步作为未来工作模式之一, 而不仅仅是特殊时期的一种办公形 式。 1.应用场景分析 在现在企业的信息化建设环境中, 远程办公必须涵盖的应用场景 越来越复杂: (1)接入人员和设备的多样性增加 员工、外包人员、合作伙伴等各类人员,使用家用 PC 37 、个人移 动终端、企业管理设备等,从任何时间、任何地点远程访问业务。各 种接入人员的身份和权限管理混乱,弱密码屡禁不止;接入设备的安 全性参差不齐,接入程序漏洞无法避免等,带来极大的风险。 (2)企业资源暴露程度大幅度增加 企业资源可能位于企业内网服务器, 也可能被企业托管在公有云 上的数据中心;企业服务通常需要在不同的服务器之间交互,包括部 署在内网、公有云、私有云中的服务器。一个典型的场景,公有云上 的网站服务器与内网应用程序服务器通信后, 应用程序服务器检索获 得内网数据,返回给网站服务器。资源信息基础设施与应用服务之间 的关系越复杂,引入的系统风险越高。 (3)数据泄露和滥用风险大幅增加 在远程办公过程中,企业的业务数据会在不同的人员、设备、系37PC :Personal Computer ,个人 计算机 零信任技术(Zero Trust)( 2020 年) 16 统之间频繁流动, 原本只能存放于企业数据中心的数据也不得不面临 在员工个人终端留存的问题。同时,数据移动增加了数据“意外”泄 露的风险, 安全措施相对较弱的智能手机频繁访问企业数据也将对企 业数据的机密性造成威胁。 2.先进性和创新性 近年来外部攻击的规模、手段、目标等都在演化,有组织的、武 器化的、以数据及业务为攻击目标的高级持续攻击屡见不鲜。利用远 程办公找到漏洞,突破企业边界后进行横向移动访问,成为最常见和 最有效的攻击手段之一。 常见远程接入的方式主要有两种, 一种是通过端口映射将业务系 统直接在公网上开放;另一种是使用 VPN 38 打通远程网络通道。各组 织都在对自己的安全边界进行“加固” ,尽量使用 VPN远程接入而非 直接开放业务端口,增强威胁检测的能力等等。然而,这些手段基本 上可以视作是传统的边界安全方案上的单点增强, 难以系统性缓解远 程移动办公带来的安全威胁。 攻击者可以轻易利用弱密码破解或撞库, 通过 VPN进入内网,甚至可以利用 VPN 漏洞、业务系统漏洞直接进 行渗透,突破企业边界,最终窃取有价值的数据资产。 零信任安全架构针对远程办公应用场景, 不再采用持续强化边界 的思维,不区分内外网,针对核心业务和数据资产,梳理访问这些资 产的各种访问路径和场景, 在人员、 设备和业务之间构建一张虚拟的、38VPN:Virtual Private Network ,虚拟专用网络
