2023年9月13日星期三

一次应急事件

无法查看这则摘要。请 点击此处查看博文。

一种员工接入vpn后劫持了dns的病毒网址记录问题

 前提:

公司的员工、外部供应商、个别不对外的系统的外部使用人员都需要用vpn接入,部署或者访问数据中心的系统,因为大部分是使用域名访问,不懂电脑的人也不会去记住ip,所以为了大部分人的使用方便,vpn使用数据中心的dns作为域名解析用,在用户接入vpn的时候,会自动将用户电脑的dns优先配置为数据中心的dns。




这样做之后,确实方便了用户们的使用,也减少了网络运维人员的一部分工作量;

但是也带来了新的问题,因为使用vpn的人员太多,他们的电脑安装了什么软件也不知道,有些电脑是带病毒的、或者存在破解软件、恶意软件之类的。dns解析了这些恶意地址后导致频繁被态势平台告警有设备中毒。但是实际上dns解析请求的来源的是用户电脑。

用户电脑解析了这些地址后,因为vpn路由缘故,访问的时候并不经过数据中心,而是他自己的电脑使用互联网线路去访问的,所以用户请求恶意地址的实际请求并不会经过数据中心。




虽然短期内没什么危害,但是作为一个信安从业者,遇到这种肯定是要解决的。


首先是去网上看有没有方案,但是没有。


然后去君哥的群里问,有人遇到同样的问题,但是好像没有解决。


emmmm


晚上睡觉的时候想呀想,灵光一现。于是乎


先安装一个vpn的日志中心,记录所有的资源请求记录,vpn厂家的最优,因为记录的信息和解析规则最为准确,剩下折腾的功夫。
再使用少人访问的地址部署一个蜜罐,非蜜罐也行,但是非蜜罐记录的信息比较少,比如设备信息,万一对方抵赖不是他的设备呢,就可以用设备信息去比对。

加了日志中心和蜜罐后,配置日志中心,存储vpn设备的所有日志,尤其是访问日志;dns上将已知的病毒域名、恶意域名全部解析到蜜罐地址,注意蜜罐一般开放80和443,条件允许全开放也行。

再在vpn处将蜜罐地址的访问权限开放给所有vpn用户。




最后的效果:




搞定!
直接禁用这些人的vpn账号,让他们杀毒去。




2023年9月4日星期一

证券行业应用零信任思想的探索【下】

 

5.1 场景1:员工或外协人员远程访问内网应用


5.1.1 方案1-1(场景1的方案1)


在员工或外协人员远程办公场景与内网应用发布到互联网的场景下,采用SDP零信任方案,安装Agent,后续可扩展集成较强的UEBA/EDR能力,可实时吐出数据给UEBA/EDR做分析/联动。

对于分支机构与总部互访的场景,采用有端SDP零信任方案,并在零信任后台设置访问控制策略,比防火墙控制更加有效、快速。

aTrust有端安全访问场景下,用户终端下载安装零信任客户端,客户端创建虚拟网卡和本地路由表,并通过本地路由表或私有DNS流量劫持将访问流量引流至虚拟网卡。同时,客户端与代理网关构建加密隧道,实现数据包代理转发,从而实现有端场景下的业务安全访问。

用户可信,零信任控制中心对用户进行身份可信认证,通过多种认证方式、多因子身份认证以及动态调整认证强度的方式,保证用户身份可信的同时也保证了使用体验。

终端可信,零信任控制中心收集用户终端信息,生成终端硬件特征码(设备指纹),并设置用户授信终端,从而实现用户的授信终端认证及授信终端免二次认证等能力。另外,客户端对系统环境及软件环境进行动态检测,实时发现终端环境风险,并及时阻断。

应用可信,用户在使用任意进程访问应用时,aTrust采集进程的信息及指纹,并形成进程访问报表,根据进程的使用情况、签名信息,给出处置建议给管理员,以此实现应用进程识别。 另外,管理员根据采集到的进程信息及aTrust给出的处置建议,将进程标记为可信/不可信,并通过动态 ACL 规则允许或阻止访问。

数据可信,通过UEM零信任沙箱构建安全工作空间,实现一台终端同时兼并个人空间及安全工作空间,并在工作空间提供数据隔离、网络隔离、文件加密、外设管控及屏幕水印/审计能力。

权限可信,通过向用户个人、角色、群组、组织架构授权应用权限的方式,实现权限精细化控制,并在系统环境发生变化且触发ACL策略规则时,动态收缩用户权限,实现权限可信。

连接可信,终端客户端与代理网关在构建连接隧道传输业务数据时,实现隧道SSL加密。另外,aTrust提供SPA单包授权网络隐身能力,在提供合法的SPA敲门数据包前,服务端不响应来自客户端的任何连接请求。




在以上方案实施的过程中,需要注意
(1)应逐步用aTrust替代传统的SSL VPN。传统上SSL VPN都部署在负载均衡和防火墙后面、以保护VPN设备本身,新方案尽量不要改变这种架构。目前已知是aTrust可以在防火墙后面,但不能在普通的负载均衡后面。但如果不用负载均衡,将使用多个互联网ip,需要在部署前验证,在负载均衡上把转发状态设置成非代理模式。
(2)单包敲门是发给零信任控制中心的,单包敲门后的连接请求是发给网关,网关再去控制中心验证客户请求;如果受到ddos攻击,有可能加大控制中心的负载,因此控制中心也要考虑这种情况,做异地部署备份、本地做集群,防止攻击一点累及全局。这一点仍需在具体技术场景下做验证。

5.1.2 方案1-2(场景1的方案2)


远程办公场景是目前比较常见的需求场景, 对于该场景的关注点可以放在用户体验,允许什么样的人,什么样的终端接入,可以访问到什么资源,以及什么数据可以下载落盘上。方案设计如下:



在用户体验部分,零信任方案中已经有厂商实现了一套身份打通所有系统的认证能力,即用户只需在终端上注册登录后,无论是网络连接还是应用访问,均无需再次认证,因此拥有非常好的用户体验,学习成本为零。

其中对于什么样的人和设备可以接入,可以通过零信任的终端Agent来进行管控,以及通过零信任终端Agent对接入设备的安全进行保障,仅在满足安全要求的情况下才可以接入。

对于接入后可以访问的资源部分控制,对于CS应用访问可以通过网络层零信任SDP方案对其进行控制;对于应用层以及更精细的控制可以通过应用层零信任网关来进行控制。

在敏感数据控制上,有多类方式可以实现数据不落盘的方式:

  1. 通过应用层零信任网关登录到办公PC后,所有内网敏感应用的访问只能下载到办公PC上,不允许下载落入到个人PC上,目前业界已有厂家零信任方案可以解决;安全性中;
  2. 通过SDP网关登录VDI,敏感数据的获取通过VDI来进行控制,不允许下载回个人PC;安全性最高;
  3. 通过终端沙箱方案控制,但这里需要注意的是终端沙箱方案由于是在本地进行数据隔离,安全性依赖终端自身,有比较大的概率会被攻破。安全性低;

通过零信任解决上述问题后,其零信任自身的安全可以通过SPA技术保护网关不对外公开,或是通过应用层MTLS实现基于终端的可信访问,以及使用MFA对用户身份进行校验确保接入人员可信。

该方案的优势在于以下几点:

  1. 没有仅仅从网络接入层来控制,而是把接入层交给SDP,应用层交给应用层零信任,实现更加精细化的管控和更好的安全防护效果;
  2. 多种方式实现数据不落盘,安全性从高到低均有考量;
  3. 可以隔离用户所在网络环境和公司网络,避免风险扩散;
  4. 可以实现全过程的审计能力,跟踪用户每一步的操作;
  5. 用户体验好,无需频繁登录各个系统,一次登录即可访问所有系统。

5.2 场景2:特殊终端访问内网应用


5.2.1 方案2-1:针对类终端设备、IOT设备访问服务端场景(应用层网关)


该场景的核心风险在于,一旦VTM、巡检Pad设备被攻击,或是伪造MAC、硬件码等机制,可能会导致系统被绕过,进而攻击和渗透到业务区域或是办公区。其核心要保护的其实是业务区域自身的安全性。

针对该场景在零信任的解决方案上,可以参考Google BeyondCorp零信任方案,以应用层零信任为核心去构建防御体系。



该方案通过使用应用层零信任方案,将业务系统全部收敛到应用层零信任后面,使得不需要对营业部终端、PAD设备暴露应用和风险,这样即便营业部终端、PAD被伪造后也难以攻击后端应用系统。

为什么即便用了VPN/SDP也还是要以应用层零信任去实施,原因在于以网络层为基础的VPN、SDP是基于IP/端口形势进行控制,一旦隧道建立了并且又有acl访问权限,隧道内传输的数据是攻击数据还是非攻击数据都是难以区分的。因此攻击者一旦控制了VTM或是iPad以此为跳板均可对业务区和办公区的应用发起类似下图的攻击。




但基于BeyondCorp的应用层零信任方案是以应用层代理方式,可以识别应用数据并以业务身份来构建信任链,对每一个请求都进行验证,如果信任链不被打破则不可能让恶意数据到达应用系统,因此可以防范未知身份发起的0day、1day攻击,类似下图:



所有的攻击到了零信任网关后,由于不能通过信任评估,会自动过滤掉攻击数据,因此即便终端侧被入侵变为代理跳板后,也难以通过应用层零信任网关攻击应用系统。

此外一旦应用系统出现了漏洞,也可以利用零信任网关实现虚拟补丁,应用系统无需停机即可实行热补丁修复,避免业务遭受影响。

该方案的优势在于:

  1. 传统的隔离机制可以继续保留,零信任技术方案是对原有机制风险的补充和增强安全性;
  2. 可以避免陷入到安全难以监管的营业部否有伪造设备、MAC这种对抗上,而是将防护重心放在后台业务系统上,使得即便营业部即便被攻击,也无法影响到总部安全;
  3. 可以防护未知人员发起的未知攻击,对于0day、1day 有更好的防护效果;
  4. 可以对所有访问应用过程数据进行审计,生成详细的审计记录。

5.2.2 方案2-2:针对类终端设备访问服务端场景(增强终端保护)





该场景除了在SDP端到端安全保护的基础上,还需要增强以下终端侧保护措施:

  1. 认证方式可支持扫码、人脸等方式登录,同时双因素认证必须具备MAC地址认证,保障是正确的终端登录;
  2. 登录后设置会话保持时长为24小时;
  3. 登陆后通过进程白名单方式放通业务进程,拒绝其他进程,降低本身VTM,PAD本身终端安全性低带来的风险;
  4. 支持多人多终端认证;
  5. IPAD可通过沙箱接入,通过沙箱进行内外网网络隔离,最大程度保障网络安全,规避设备被攻破后被黑客反连的情况。

5.2.3 方案2-3:针对IOT设备访问服务端场景(物联网无端方案)


IOT设备的计算能力和存储容量均有限,较难安装安全软件,因此需要物联网无端的安全方案。部署方案如下图。

当接收到来自用户主机的流量时,能够做到在用户的本次访问完成鉴权前,保证流量无法到达服务器,不放过一个数据包,以达到默认不开放任何服务,隐藏内网应用的效果。在用户的访问流量到达网关后,零信任直连网关能够与零信任控制中心ZTA-C端实现毫秒级鉴权,访问结果瞬间生效,对合法用户零干扰,无权限用户则直接无法访问,此过程中不需要安装客户端,但会损失终端侧的检测与采集能力。




同时网桥串接情况下,要支持系统故障硬件Bypass,当系统宕机等问题出现时,直连网关仍然能充当网线作用,实现毫秒级切换,保障客户业务不受影响;单臂路由情况下,设备宕机后,也可以通过核心交换策略路由失效的机制,实现路由逃生,原业务流量按原路正常转发。同时,当直连网关跟ZTA中心端失联等故障出现时,也能即刻停止鉴权功能,流量按ACL直通,保障业务正常。

通过这种方案还能够实现:
  1. IOT资产梳理:通过主动扫描 + 被动抓包相结合的方式,发现全量的联网设备,并基于设备指纹(类型、厂商、IP、MAC 等)和 协议解析(DICOM、HL7 等)识别设备类型,建立起券商的 IoT 设备库。
  2. 发现风险:一方面基于内置物联网漏洞库,可扫描物联网设备存在的漏洞、弱口令等脆弱性;另一方面基于UEBA行为分析技术,可建立物联网工作行为基线,通过基线发现物联网设备对内网的异常行为。
  3. 有效管控:在对物联网设备进行 IP 地址统一规范化的基础上,能够对后续新设备入网进行远程审批管控,同时针对厂商自备互联网关进行远程运维的情况,能够对运维过程进行监控。
  4. 闭环处置:针对监测到的厂商远程运维异常、设备网络行为异常、入侵病毒威胁等,可通过管理平台进行远程联动处置,包括远程运维行为阻断、可疑设备入网冻结、内网访问权限收敛等。

5.3 场景3:基于互联网的业务测试


基于互联网的业务测试场景主要的核心风险在于,测试应用的软件质量以及访问对象均为不可控状态,既无法保证质量安全,也难以严格控制访问来源安全,同时由于是测试环境需要模拟真实环境,因此对于响应要求等均有严格限制条件,以及终端环境和测试业务的复杂多样化。

针对该场景自身的复杂性,将场景和需求进行拆分后会发现,主要分为三类类场景,不同场景关注点和方案需要进行差异化处理:
  1. BS移动端应用测试:该场景的特点是主要是手机证券app类应用,因为要测试不同地区终端、网络的连通性,因此无法通过安装客户端走隧道进行转发来访问,会干扰到测试响应效率和结果;
  2. PC端BS应用:该场景的特点是一些柜台系统、接入系统需要在合作商、客户的开发环境中进行联调,并且会有API接口等调试需求,同时客户所在网络IP不固定,响应要求高的特点;
  3. CS应用测试:CS应用在数据请求中往往会使用特殊的协议,因此从安全性上来说不如BS应用难以被攻击,因此对抗难度稍高;

针对上述场景的方案,可以使用零信任网络层SDP方案加零信任应用层方案来共同解决不同场景需求,方案图如下:



网络层SDP方案可以解决CS应用访问安全问题,在访问CS应用前需要通过SDP建立隧道。而应用层零信任解决BS端应用访问安全问题,在访问BS应用前不需要建立隧道,更接近原生访问速度和体验。

该方案有以下优点:

  1. 所有的业务测试系统不需要对Internet暴露,对外只需提供零信任网关,攻击面被彻底收敛;
  2. 通过用户身份以及可信验证的方式来判断用户是否可以访问测试应用系统,不用根据 IP来做访问控制;
  3. 应用层零信任网关可以实现20~50ms响应延迟要求,不会对业务测试造成影响;
  4. 支持对于API接口调试需求,可以基于接口资源构建灵活访问控制策略,避免影响测试工作;

如果执行的是兼容性测试,按照常规方案,需要在各类机型上装零信任agent,则实施复杂度较高;且服务商的各类机型不止为一家客户提供服务,服务商对安装agent也有抵触心理,总体可行性不高。可考虑用无端零信任应用层方案来对App内的H5应用进行防护,并结合传统的基于IP地址、端口的白名单访问控制策略。

如果测试系统有大量的API暴露,则可以结合零信任网关同时开展API防护,达到如下保护效果:



1、核心资产梳理能力:通过反向代理串接的方式获取网络中的流量,根据内置规则检测识别网络流量中的API流量、公共组件、事务性API和第三方API接口,通过分析完成API资产梳理、应用资产梳理和数据资产梳理。
2、API安全漏洞检测及保护:通过对API的访问日志进行大数据行为分析建模,分析系统内置异常行为检测模型,可自动提取流量中的访问时间、请求参数、响应参数、访问频率等参数,动态更新API异常行为检测模型,可实现API SQL注入漏洞、XSS跨站脚本漏洞、账号弱口令漏洞等检测,当出现API安全漏洞则触发平台联动进行策略管控。
3、应用 Rest API安全防护:通过反向代理方式,实现对应用/API的恶意扫描防护、页面关键字过滤、WEB URL防护、Bot安全防护等能力。
4、应用API数据泄露保护:提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过敏感数据替换的方式防止大量的敏感信息被窃取,具备API敏感数据动态脱敏、API数字水印溯源及API访问策略管理能力。

5.4 场景4:客户托管系统接入场景


对定制化交易场景的分析发现,核心风险主要在于登录、访问服务器的过程中,一旦采取FRP等方式绕过防火墙策略,很容易因为服务器自身安全防护弱被攻击;另一个较大风险在于此类客户往往不会投入资源到安全上,而BS应用攻击成本非常低,一旦暴露很容易被攻击成功;而CS和交易系统自身回连的场景下,由于攻击面较小,相对风险可控;同时由于客户很难接受强管控场景,传统的采用VPN加堡垒机的方式对于用户不够方便,往往会导致客户用各种方式绕过这些机制,反而导致更大风险出现。

因此,可以采用BeyondCorp模式的应用层零信任,以https over rdp/ssh方式来访问目标服务器(这一点我们认为是一种创新实现方式),可以实现“无论是访问BS应用访问,还是RDP/VNC登录访问主机,都通过零信任应用代理网关”的效果,类似下图:



从用户使用上来说, 用户只需要登录BS统一工作界面后,即可访问托管在券商的BS应用或是服务器,一个入口、一个登录方式,没有学习成本,也无需安装客户端,因此不会增加客户抵触情绪。

此外该方案从安全性上来说主要有几个优点:

  1. 可以彻底隔离用户终端到托管网络的通道,因为无需通过VPN/SDP建立网络隧道,而是走零信任应用层代理,不存在虚拟网络,因此也不存在网络打通后被当作跳板攻击的风险;
  2. 应用、服务器无需对外暴露,客户的业务系统还是在内网中,无需提供Internet IP来进行访问,所有的入口由零信任应用代理控制;
  3. 所有的访问均需要通过可信评估,并且在访问过程中会进行持续评估,可以彻底防护未知人员的攻击,即便应用存在漏洞或是服务器存在弱口令,也无法被攻击;
  4. 所有上传的文件均会被缓存,可以对接杀毒引擎进行病毒查杀,防止带毒;
  5. 所有行为均有基于人员真实身份生成审计记录,无需对接客户自己的系统日志,一旦出现安全事件后可以迅速追查到对方。

5.5 场景5:传统网络环境下,跨网络域东西向的访问控制


从安全风险上分析来看,证券行业要求两网隔离的动机,主要是防止办公网作为低敏网络会影响到交易网作为高敏网络的安全状况。但由于两网之间的数据交互一直存在,因此各类监管要求一直要求“两网有效隔离”,但是在具体隔离方式上却各有不同。伴随着业务需求的进一步深化、技术架构的演变,需要寻求更加有效、高投入产出比的架构方式。

根据对场景的分析,课题组认为既有用户访问应用系统场景,又有应用系统间数据交互场景,也有应用系统间跨网数据交互场景,还有用户跨网访问应用系统场景。课题组建议采用如下的逻辑架构进行部署和控制:



  • 在办公网、交易网等大网内部人员对应用的访问,可以通过零信任应用网关;
  • 如果存在大量的微服务,微服务之间的调用可以通过微服务网关(遵循BeyondProd模式,在云原生环境下采用sidecar模式)或API网关实现零信任访问控制;
  • 跨网的应用系统间数据交互,可以通过特殊网关来实现交互、同时保持大网之间的隔离,本图中称为Connect网关;但课题组认为随着网络架构的演变,未来基于防火墙、交换机访问控制的措施可能会被弱化或消失;
  • 在方案中可使用零信任应用层网关,结合RBI(Remote Browser Isolate,远程浏览器隔离)方案,形成可跨网访问的一套完整解决方案。需注意的是,目前市面上没有一家产品可以独立实现此完整方案,因此要考虑到多个方案自身的开放性。

这样即可实现办公网员工和业务网的开发人员,只需能通过授信可信终端,去访问允许的业务系统,而根据不同人所在不同位置,对业务系统的访问会自动走数据不落盘或是允许落盘模式。本方案的优点在于:

  1. 兼顾了安全与效率,让员工可以在办公区同时安全的访问两个网络下的应用,同时数据之间互相隔离;
  2. 满足了开发人员在交易网开发同时可以访问办公业务,同时开发环境中的访问数据可以正常使用;
  3. 通过应用层零信任网关隔离应用安全风险,以及内部人员业务安全风险管控,可以针对不同人员进行精细到URI级别的控制,以及数据层面的下载控制能力;
  4. 可以开启应用层零信任网关的可信终端功能,即用户只可通过授权终端使用自己的应用账号,建立人、设备、应用三者强鉴权模型,即便员工账号密码被盗,也无法被利用登录系统;
  5. 全链路审计,所有的访问过程均可被审计,可根据人员信息定位到什么人干了什么事情。

5.6 场景6:私有云内、容器云内、多云环境的访问控制


由于时间、资源所限,课题组对本场景下的零信任思想、技术的运用未深入展开研究工作。课题组认为私有云内、容器云内流量访问控制可采用微隔离解决方案,具体可参见场景5的思想和方案。但多云环境下的微隔离解决方案,需要关注到基于标签、属性的方案运营成本并不具有显著优势,如:标签的可识别性、唯一性、定义权威性、访问权限精细化的流程审批耗时等问题,以及权限开通操作是人工还是自动化,标签和权限的容量,大量标签和权限对性能、可靠性的影响。

5.7 场景7:内网访问敏感数据;保护老旧系统


5.7.1 方案7-1:访问内网敏感数据、外审场景(针对场景7-1、7-2)


访问内网敏感数据的场景、外审人员访问操作内网系统的场景,其主要诉求都是实现“看得到、用得了、带不走”的数据保护效果,也就是可以访问数据、但拿走或批量带走数据的成本很高。结合现有的零信任解决方案,其基本思想是(1)对访问者的身份、权限做严格的限制;(2)运用隔离的思想,要么用户端接触不到原始数据形式,要么用户在隔离环境中接触原始数据形式、却无法拿走。

从方案层面上说,可以考虑在场景5中使用的方案,通过应用层零信任方案对承载敏感数据的系统、对被审计系统进行保护,通过零信任Agent、零信任网关对用户的访问行为进行授权和控制,对用户在终端上的行为进行识别和分析、进而控制数据安全风险。如果对数据保护有更强烈的需求,可在终端上采用沙箱方案、使用户的操作和访问行为只在沙箱的隔离环境中运行,实现数据保护;或在用户和应用之间部署RBI方案,通过RBI实现原始数据形式的隔离和转换,进而实现数据保护。

5.7.2 方案7-2:保护老旧系统(针对场景7-3)


内网存在的BS老旧业务系统,主要风险在于不可升级,导致一旦出现新的漏洞时很容易成为被攻击对象,实际上不单单是老旧系统,内网所有的应用理论上都有漏洞风险,因为传统特征对抗是没办法穷尽所有漏洞。

从方案层面上来说,可以考虑在场景5中使用的相似方案,即通过应用层零信任方案对老旧业务系统进行保护,如果有数据不落地需求,还可以结合RBI进行同时使用,因为RBI只能保护数据不落地,但不能保证应用漏洞被利用,这样即便系统有漏洞,攻击者也无法通进行攻击,但需要注意的是RBI方案对资源要求较高,可以根据实际情况看是否要增加该模块,该方案如下:



从用户使用上来说,应用层零信任方案可以无缝接入公司已有的IAM系统,用户可以完全无感知使用,同时老旧系统不需要改造,只需要将DNS指向到零信任网关即可,此外还有以下安全优点:

  1. 应用层零信任方案可以解决老旧系统的安全风险,因为是基于可信验证的方式,防护性远高于市面上的传统安全系统;
  2. 应用层零信任方案可以实现虚拟热补丁,防护已知漏洞攻击;
  3. 灵活的零信任动态策略,可以针对护网等场景时增强策略安全性;
  4. 可信终端双重保护,可以开启可信终端策略,实现终端必须注册Agent并满足安全需求,同时又无需拨入VPN/SDP实现更高的安全防护要求;
  5. 可以基于零信任策略对数据使用,下载场景的敏感数据进行追踪和控制;
  6. 结合RBI后可以实现数据不落盘;

5.8 证券行业零信任建设步骤的建议


步骤
场景
实施目的
第一步
场景3:基于互联网的业务测试
场景1:员工或外协人员远程访问内网应用
采用成熟产品解决痛点需求,展现零信任方案的价值
第二步
场景4:定制化交易系统的接入和访问
场景2:特殊终端访问内网应用
场景7:内网访问敏感数据;保护老旧系统
根据需求,逐步解决细分场景的痛点,验证零信任方案的横向扩展能力,验证不同零信任方案的成熟度,构建身份、终端、应用、连接、访问、数据端到端访问信任链条
第三步
场景5:传统网络环境下,跨网络域东西向的访问控制
场景6:私有云内、容器云内、多云环境的访问控制
逐步实现零信任能力的演进和扩展,逐步实现零信任架构

在第三步,将跨网横向细粒度访问控制可放在零信任建设的最后阶段进行实施,且先从高风险场景展开,根据工作量、可靠性、性能评估的结果逐步推广。在办公网、交易网两张大网之间,目前网络架构主要依托高性能防火墙做访问控制,后续可(1)在保留该架构的基础上,依靠高性能零信任网关做应用层访问控制,总体参考BeyondProd模式;(2)取消高性能防火墙的访问控制结构,改由高性能零信任网关做应用层访问控制。




六、零信任关键技术




6.1 单包授权


SPA(Single Packet Authorization)即单包授权,是SDP(软件定义边界)的核心功能。通过对连接服务器的所有数据包进行认证授权,服务器认证通过之后才会响应连接请求,以此实现企业业务的服务隐身,从网络上无法连接、无法扫描。
UDP端口敲门+TCP服务隐身模式下,设备将默认隐藏所有需保护的端口,仅开放UDP敲门端口,正常用户访问前客户端需要发含有身份凭证的UDP SPA敲门包,验证成功后更新本地防火墙规则临时放行很短的时间窗口允许指定源IP对443端口的访问,后续的连接建立过程中遵循第二代TCP SPA流程完成TLS会议协商,再开放TCP保护端口,并进行SPA校验。

SPA为受SPA保护的服务器(零信任控制中心及安全代理网关)提供以下安全作用:

  1. 保护服务器:在提供真正的SPA之前,服务器不会响应来自任何客户端的任何连接;
  2. 隐藏aTrust对外服务端口,防止非法端口扫描;
  3. 阻止拒绝服务攻击:用户在进行SPA敲门前,无法探测到网关端口,进而防止针对网关的拒绝服务攻击。





以下为SPA详细敲门流程:



下图为启用SPA能力的零信任后台扫描结果:


 

 

6.2 零信任应用代理网关


零信任应用代理网关有别于SDP,是类似Google BeyondCorp的应用代理,负责以下功能:

  1. 负责代理所有应用的请求和返回数据,对代理的数据会默认拦截,即不做转发而是等通过可信验证后才转发;
  2. 实现应用隐身,即所有应用默认不可见,也无需有internet地址,只有授信用户才可以正常访问应用;
  3. 阻止未知身份的攻击,即无身份用户无法发起任何攻击,所有数据包均被阻断;
  4. 访问审计,默认审计所有可信请求。

6.3 零信任决策引擎


零信任决策引擎负责对所有请求数据的可信验证工作,即由零信任引擎根据策略,可对不同应用使用不同的策略,主要有以下功能:

  1. 实时处理所有的请求数据,对每一次发起的请求均进行验证;
  2. 构建可信链条,根据动态策略实现从人、设备、网络、应用等多维度的验证策略;
  3. 可以处理不同数据源的决策数据,提高决策质量。


6.4 自适应认证


零信任系统为用户提供了一种灵活的、基于场景的自适应动态认证方法,其可以基于对用户当前状态、访问的下文环境属性进行处理和综合分析的结果,综合评估得出用户目前的风险级别,并根据预先所配置好的规则,动态调整用户想要访问相应资源所需要面对的身份认证组合和强度,实现身份安全与用户体验的平衡。

基于零信任系统自适应身份认证策略,普通用户在常用网络、常用时间,使用常用设备发起登录访问请求时,零信任允许用户进行免除二次认证、一键上线的豁免措施;异常用户在异常网络、异常时间、新设备访问重要敏感应用时,零信任系统强制要求用户进行二次认证、应用增强认证,确保用户身份的可靠性。

6.5 多因子认证


多重要素验证(英语:Multi-factor authentication,缩写为 MFA),又译多因子认证、多因素验证、多因素认证,是一种计算机访问控制的方法,用户要通过两种以上的认证机制之后,才能得到授权,使用计算机资源。例如,用户要输入PIN码、动态口令,通过这两种认证方式,才能获得授权。这种认证方式可以提高安全性。

多因子认证可以显著提升零信任的可信验证能力,多因子认证能力可以由零信任系统提供,或是和企业SSO协议对接,由企业SSO提供多因子能力,避免重复建设。

6.6 无Agent访问


在不同的场景下,可能无法安装、使用零信任Agent,但是又需要能够按照零信任实现访问控制和持续校验。常见的无Agent访问实现方式有几种,一种为web反向代理,一种为直连网关不起隧道,一种是https over rdp/ssh方式。

6.7 进程黑白名单


用户在使用任意进程访问应用时,零信任Agent会采集进程的信息及指纹,并形成进程访问报表给管理员查看,根据进程的使用情况、签名信息,给出处置建议给管理员。

管理员根据采集到的进程信息及零信任Agent给出的处置建议,将进程标记为可信/不可信,并通过动态 ACL 规则允许或阻止访问。

  1. 零信任Agent通过虚拟网卡获取需要安全代理网关的数据包时,根据源 IP/端口反向查出对应端口进程,获取进程指纹(数字签名/HASH 值);
  2. 在建立 TCP 连接后,发送进程指纹信息到零信任网关校验;
  3. 零信任网关根据预设置的 ACL 规则进行校验,校验失败则重置连接,成功则进一步发送代理目标网络信息;
  4. 校验通过后,客户端到零信任网关、零信任网关到应用的两条 TCP连接连通,开始传输数据。
  5. 用户在使用正常应用通过零信任网关进行代理时,用户不会感知到任何区别,能正常访问业务。若使用了不受信任应用访问,零信任网关会切断与客户端的连接,并给出阻止访问提示,标记出不可信的进程信息。




七、创新点




  1. 辩证性的看待当前零信任方案,让零信任不局限在SDP替代VPN上,而是根据不同的场景使用不同的零信任方案来满足用户需求;
  2. 将零信任从传统网络层SDP方案扩展到了应用层零信任方案,从网络边界防护到以应用为角度的防护上;
  3. 探索了不以网络位置是内网还是外网来决定安全,而是以业务重要性来使用不同策略,以零信任的动态策略为主的防护模式上;
  4. 引入多因素身份认证体系,增加网络环境、设备状态、用户行为等纬度到传统的身份认证策略中,实现经典零信任架构增强与补充,研究网络安全认证体系中安全与体验的平衡效果。
  5. 本课题探索零信任架构在多终端领域的应用研究,将多因素身份认证引入移动端,补充经典零信任网络架构的接入方式,构建覆盖全终端的应用接入能力,建立更全面、更安全的零信任架构。
  6. 研究基于行为的信任评估动态资源访问控制模型,根据用户访问业务的行为、操作习惯、访问时间、访问频率等行为因素建立零信任架构中的访问控制模型,实现更加完善的动态资源控制。
  7. 研究首次将券商所有的办公场景全面做了梳理和分析,并结合零信任三大领域SDP,微隔离,IAM设计了适合券商办公场景的解决方案,切实解决了目前券商在办公网下遇到的传统方案很难解决的难题。
  8. 研究通过人到业务的访问逻辑设计了访问四大防线:外网SPA单包授权,多因素身份认证,基于行为,终端环境的动态访问控制,基于进程黑白名单的访问控制,并根据不同的访问场景调整了不同的防控强度,实现了安全和体验平衡的最大化。
  9. 研究在内网场景中提出并验证了内网零信任无端方案,解决了内网场景终端难以落地,代理访问内网数据加密,网络架构调整,逃生等问题。