【零信任架构在网络安全防护中的应用实例分析9100字（论文）】

零信任架构在网络安全防护中的应用实例分析目录TOC\o"1-2"\h\u6244引言 119551新疆地震行业网络安全现状分析 2298271.1人为因素 2115111.2网络软件因素 3147382零信任安全 362212.1零信任的出现 3151472.2零信任网络的提出 3285033.基于零信任地震行业网络SDP的构建设计 4119493.1零信任的技术方案与实践特点 416733.2实践零信任的技术架构 42693.3SDP的构建设计 5414.SDP在新疆地震系统网络安全防护中的应用效果 961614.1安全通道 9115394.2环境感知 9170364.3网络隐身 1011724.4权限管控 11305475结论 12摘要：本文分析了现阶段新疆地震系统网络安全中使用的保护模型的特点。结合新疆地震系统工作实际，考虑到该模型在安全防护方面的缺陷，提出了基于零信任安全架构的网络安全防护。结合零信任访问控制系统实际应用效果的模型，探讨了基于零信任架构的访问控制系统在新疆地震系统网络安全防护中应用的优势及存在的价值，及未来的发展趋势，其次为行业中网络安全防护提供一种新的思路。关键词：零信任；地震系统；网络安全引言传统网络安全架构基于边界建立防护体系，使用单一物理边界将网络分为内网和外网，且默认认为内网中的人、设备、系统、应用是可信任的。然而，对內网的过度信任已经成为当前安全问题大量爆发的根源，比如账号被盗用或内鬼导致大量敏感信息泄露，比如攻击在内部横向扩散等问题。传统基于边界的信息安全防御体系逐渐失效，亟待新的方法来构建网络信任。随着云计算和移动互联网的发展，基于边界防御的传统业务安全模型已经不能适应需求，被软件定义边界（SoftwareDefinedPerimeter，或SDP）安全模型所取代。本文主要研究基于零信任理论的SDP解决方案及其在新疆地震网络信息系统中的安全防护应用。在研究课题的创新性方面，在IT架构从“有边界”向“无边界”演进的背景下，基于零信任安全进行治理的新兴理念，为新疆地震网络信息系统安全防护提供了新的解决方案——软件定义边界（SDP）。1新疆地震行业网络安全现状分析经过“十五”中国数字地震观测网络项目及“十一五”新疆地震局安全基础工程项目的建设，新疆地震局已经建成了一套服务于辖区内的地震行业信息网络系统[1]。目前新疆地震系统的网络安全体系是按照传统的网络边界防护架构建设的，并根据设备在网络中的物理位置，把网络划分为内网、外网、DMZ等不同区域，在各个区域之间通过部署防火墙、IPS、WAF等网络安全设备对网络边界进行防护。再结合安全态势感知系统、行为管理系统、科来全流量系统等安全设备形成了目前的防护体系结构。新疆地震行业网络是新疆地震观测网的基础支撑平台，其主要任务是为地震及相关行业提供数据和信息服务，为政府部门做出重要决策提供信息支持[2]。随着网络技术的发展，互联网上的未经授权的信息、非法入侵、系统漏洞、病毒等对地震信息服务系统构成了重大威胁，地震网络的安全要求越来越高。因此，地震系统网络安全建设成为各级领导和相关专家学者都非常重视的问题。本文，对新疆地震行业网络安全现状进行分析。以目前运行的新疆地震局信息网络系统为研究平台，围绕新疆地震系统网络运行的特殊需求，分析潜在的安全风险，总结网络安全隐患，一些常见的网络突发事件，主要分为两大类：1.1人为因素人为因素也分为无意失误和恶意攻击。例如，不正确的操作员安全配置造成安全漏洞，用户安全意识不强，用户密码选择不慎，用户账号被转借或与其他用户共享等[3]。人为恶意攻击：这是对计算机网络的主要威胁，可分为两种类型：第一种是主动攻击，它以各种方式选择性地破坏信息的有效性和完整性。另一种是被动攻击。它在不影响网络正常运行的情况下拦截、窃取和解密敏感信息。闫民正（2011）[4]以山西地震网络系统为对象指出，该网络安全目前存在网络安全域划分不够细致、缺乏网络安全构建，没有充分利用已部署的安全性服务。并针对以上问题提出相关意见。戴丽金（2021）以福建地震网络为研究对象，研究发现其存在用户网络安全意识不足，基础设施差，安全管理规制不完善，缺乏人才队伍等问题，并从加强全系统网络安全意识、计算机网络安全管理策略、网络安全技术保障等三个方面提出意见[5-6]。1.2网络软件因素网络软件并非百分百完善，有部分缺陷属于软件待更新的常态。而这些缺陷一旦被发现就会成为黑客攻击的第一个目标。现实中发生的大部分黑客事件都是利用软件漏洞进行的。而且软件“后门”是软件公司设计人员和程序员为了方便设置的，一般外人不知道，一旦被打开将会造成及其严重的后果（陈述新2009）[7]。根据其他学者相关研究，新疆地震行业网络信息安全还存在恶意入侵、病毒感染、用户信息安全意识低、安全设备保护不足、地震行业网络安全体系不完善（学峰，2020）等问题[8]。2零信任安全2.1零信任的出现IT基础设施云化、容器化，以及随着业务上云和微服务的兴起，传统以安全域划分、边界防护的理念越来越受到怀疑。随着大数据浪潮的发展，数据趋向集中，且应用互通，访问路径多，人员混杂，一个应用出现问题就会产生广泛的潜在威胁。而违规访问、数据泄露、数据窃取成为当前的主要威胁，传统的基于信任的访问控制无法有效缓解数据风险。2.2零信任网络的提出2010年，约翰·金德维格提出了零信任网络(亦称零信任架构)的设计模型。零信任本质是一种安全治理的理念，其核心内涵是企业不应未经验证就信任内部或外部的任何人、事、物，而是永不信任、始终验证，并在赋予访问、使用权限前，对任何试图接入网络和业务系统的人、事、物进行验证。简言之，零信任的策略就是不相信任何人。除非已经明确了解接入者的身份，否则任何人都不能接入。经过多年发展，零信任网络安全技术逐渐成为行业主流，随着企业区域边界、通信网络、业务系统、数据安全的防护压力显著增大，而网络攻击又变得更加复杂多样，零信任安全也有了更加广阔的用武之地。Forrester指出，零信任将在未来3年之内发展成为网络安全盛行的标准框架之一。3.基于零信任地震行业网络SDP的构建设计3.1零信任的技术方案与实践特点零信任架构重新评估和探索了传统的外围安全架构，并提供了新的想法。假设外部和内部威胁在网络中无处不在，信任和授权不能仅仅基于网络的位置[9]。网络内外的人、设备、系统等都是不可信的，通过认证授权恢复访问通道。在此基础上，访问控制策略也应该动态且持续地验证。零信任颠覆了传统的了访问控制范式，将网络安全架构从“网络中心化”转变为“身份中心化”。3.2实践零信任的技术架构3.2.1零信任安全模型《计算机与网络》2020年发布了“实现零信任安全模型的4种方法”，就达到零信任所需的安全级别，给出了物理安全、逻辑安全、流程和第三方认证四个维度的模型。在物理安全方面，构成第一层防御，物理数据中心（无论是在本地还是在云中），依然是数据的核心，需要给与足够的关注和重视，既包括人员进出、业务访问的控制，也包括供电、供水和灭火等措施的保障。在逻辑安全方面，对于网络、存储和程序管理层，每一层中提供充分的安全保障，确保逻辑安全策略得当[10]。在流程方面，对于员工背景核查、安全管理制度培训、定期的审查询问，以及对关键基础设施的渗透测试，以及对业务系统的定期补丁计划，都是保障流程正确的核心。最后，通过第三方认证可以保障客观性，但也不能对第三方的验证盲目夸大。3.2.2如何实现零信任安全零信任安全架构如图1所示：图1零信任安全架构图零信任安全的本质是收回安全控制权，跨部门应用网络隔离，验证网络访问对象的身份、位置和时间，实施深度控制。零信任依赖多因素认证、IAM认证管理、规则编排、策略分析、通信加密、安全评估、文件系统权限等技术来实现上述目标[11]。构建零信任环境可以参考五个步骤，具体是界定保护表面范围、记录事务流量、构建零信任IT网络、创建零信任安全策略、监控和维护网络，以及构建零信任框架可能不一定需要完整的技术变革，但它是一种可控迭代的方法。将对用户和业务系统的干扰降到最低，并保障获得最佳效果。3.3SDP的构建设计3.3.1SDP安全思路在过去，地震行业网络的服务器和办公设备都在内网，安全建设类似古代的“城堡式”防御。传统安全“以墙为中心”，是基于防火墙的物理边界防御。在未来，随着信息流通性与地震监测活动需要，不再严格区分内网和外网，无论应用服务器在哪里，无论地震局专家学者、工作人员在什么时间、什么地点、使用什么设备，都能安全访问地震行业网络权限内的数据。新一代安全以人（身份）为中心，基于“零信任”安全治理理念的软件定义边界(SDP)应运而生。首先要抛弃传统的边界观念，不再依据地震行业专家学者或者是地震行业网络使用者所处的网络位置而决定这个人是否可信。取而代之的是对每个请求都进行严格验证。信任建立起来之前，网络上的任何资源都是隐身的。未授权用户和设备是隔离的。完全看不到地震信息网络上的任何东西。SDP安全思路验证过程包括人的因素和设备的因素。人的因素包括验证用户的身份，看看他的身份是不是真的。和验证用户是不是有授权，看看他是否被允许访问地震行业网络的资源。除此之外，还要了解用户是否使用了合法的设备，设备是否未被攻陷，是否是地震行业网络所允许的。通过对用户使用的设备进行验证，可以避免将敏感地震、地质数据暴露给被攻陷的设备，并避免被该设备横向攻击网络上的其他台站节点网络。一旦通过了验证过程，就建立了信任。用户就可以访问到请求的地震数据资源了。当然其它未授权访问的资源还是隐身的。因为零信任是建立在按需授权的理念之上的。某一用户只能访问自己需要的资源，其它的都不行。除非用户发起新的请求，并通过同样的验证和授权过程。在零信任安全模型中，对用户的访问进行动态验证，并且持续进行。这意味着合法用户被攻陷后，设备验证会立即报错。他们对资源的访问将立即被切断，不安全设备和其它资源之间的连接也会立即被切断，以避免数据泄露和横向攻击。3.3.2SDP安全模型与三大组件基于零信任安全治理理念，国际云安全联盟CSA提出了新一代网络架构SDP，根据CSA标准，SDP安全模型的实现由三个部分组成：（1）SDP客户端（Client）（2）SDP应用网关（Gateway）（3）SDP安全大脑（Controller）图2软件定义边界（SDP）技术架构如图2所展示的架构，SDPController（SDP管控平台）是SDP的大脑，当业务发生时，在资源和用户之间建立细粒度和动态的“业务访问通道”。与传统的VPN隧道不同，SDP隧道是根据业务需求创建的。简而言之，这就是单包单服务访问控制。SDP控制器建立的访问规则只能被授权的用户和服务访问，密钥和策略也是动态的和一次性的。（1）SDP客户端通常是安装在用户终端上的一个软件，他的功能非常广泛，包括设备验证，和SDP网关建立隧道等。设备验证通常包括员工UEBA(用户行为分析)，EDR（终端检测响应）等功能。以检测设备是否为行为异常，或已被攻陷。如注册表更改，异常的网络流量和其它被攻陷的典型行为特征等。（2）SDP应用网关对所有业务系统的访问进行验证和过滤，对安全应用进行发布。它不提供与外界的可见性和连接性，只有在端点被证明可靠后才能建立连接，只能通过合法流量，这样基本上可以防止所有基于网络的攻击。（3）SDP管控平台(控制器)SDP控制器可以充当客户端和后端资源之间的信任协调人，控制器先与你的IDM（用户身份管理）系统对接，以便对用户的各类请求进行身份校验和授权验证。控制器可以通过PKI，OpenID，SAML或者AD等方式进行身份验证，控制器还有一个CA证书，用于建立客户端和后端资源之间的加密隧道，这里的关键是控制器只为客户端请求的被授权的特定资源提供访问权限。3.3.3SDP安全技术特征地震行业网络安全需要实现有效监控和过滤从Internet进入内部网络的数据，有效控制对内部网络的所有访问，研究员或者其他访问者从Internet进入内部网络的用户通信需要加密。所有的网络访问行为都可以被记录和审计，未经授权的访问可以被警告和阻止，应用系统平台和数据可以被有效备份，以应对灾难风险，用户身份认证等几个目标。而基于零信任架构SDP安全技术特征完全符合要求。（1）防止数据泄露通过部署SDP，可以将防护等级高的应用程序与核心区的其他应用程序隔离开，并与整个网络中的未授权用户进行隔离，通过最小访问权限的安全管控机制，减少攻击面，通过层层授权和验证，可以有效减少数据泄露。（2）弱身份、密码与访问管理相对于VPN来说，SDP大大提升了对于弱身份、密码与访问管理的系统性安全管理能力，包括通过授权验证。可以通过有效的策略选择，阻止非权限者进入地震行业网内部网络。从Internet中进入地震行业网的用户可以通过权限进行有效分类。即可以分为普通访问者或权限者。对访问者经过认证和验证，没有用户权限的访问者被拒绝访问内网。还可以可以将地震行业网内部按照应用系统逻辑划分为几个子网系统。换句话说，它在技术上提供了一个虚拟系统分区，对仅有本分区权限的访问者开放本分区资源，并且进行强验证，从而避免只有一个权限的访问者对整个网络进行广泛渗透。（3）阻止不安全的界面和API通过SDP，可以有效阻止用户UI被未授权的用户连接和访问，未经授权的用户（或潜在攻击者）无法访问到需要授权的界面，也就没有漏洞可供利用。SDP还可以实现运行在用户设备上的进程来保护API。（5）系统和应用程序漏洞SDP通过预授权和层层防御，可以减少系统和应用程序暴露面，隐藏系统和应用程序的漏洞，降低被攻击者发现的风险。(5)账号劫持SDP系统完全避免了基于会话cookie的帐户劫持，只有被预验证和预授权，并且匹配SPA数据包的连接请求，才会被应用服务器所允许，携带被劫持的会话cookie网络连接请求，会被SDP网关拒绝。（6）内部恶意人员威胁SDP系统支持策略配置，对访问用户的权限可以做到细粒度的管理，从而避免非授权用户访问或使用其权限外的应用，将所有其他资源都隐藏并隔离开，从而有效防范内部恶意人员威胁。（7）高级持续威胁攻击（APTS）APTS攻击具有复杂、持续、多方位的特性，如果仅依靠单一的安全防御措施很难阻断。而在SDP网络架构下，可以对受感染终端寻找网络目标的行为进行阻断，并且通过多因子认证的方式，能大大缩小资产暴露面，从而降低了APT的危害。（8）数据丢失通过采取最小权限原则，并对未授权用户隐藏网络资源，从而大大减少数据丢失的发生概率。通过引入DLP解决方案，SDP可以提升数据丢失的防护能力。4.SDP在新疆地震系统网络安全防护中的应用效果为了提升目前新疆地震系统的网络安全防护能力，新疆地震局于2022年1月开始测试使用亚信安全公司的SDP系统，测试期间系统运行稳定，状态良好，系统总体部署功能在提升新疆地震系统的网络安全防护能力方面来说，具有非常高的实用价值。4.1安全通道4.1.1访问安全SDP采用客户端+网关的模式部署在新疆地震局网络中，实现了传统产品难以实现的终端安全管理，实现更粒度的安全管理。按照零信任（ZeroTrust）安全访问模型设计，符合零信任网络安全的理念。（1）不自动信任网络的安全性（内网≠可信）。（2）验证连接到系统的每个人和设备。（3）身份认证和行为审核每次访问。（4）细粒度的访问和控制策略Need-To-Know。4.1.2应用级访问只开放应用级访问，隐藏内网，即便内部人员电脑上被安装了病毒木马或者恶意软件，也无法扫描、窃取到内网上的资源。通过最小授权原则和基于零信任安全解决方案在访问网络中的应用研究于身份确认授权，可以保证被授权的访问者只能看到对应权限的应用或资源。4.1.3按需授权业务系统的管理员可以根据用户的身份特征和具体需求，在后台赋予其对应的权限，并合理限制用户的访问内容。比如，只允许普通用户浏览地震新闻查询系统，不允许访问中国地震带数据查询系统，越权访问会被网关自动拦截。通过这种授权模式，就避免了用户权限过大的问题，可以大大缩小可能被攻击的接触面，也大大减少了内部人员导致数据泄密的风险。除了对应用这一维度进行授权之外，还能够建立对用户的访问时间、访问位置、访问设备等维度的控制和授权策略。4.2环境感知SDP安全大脑通过对隐盾网关以及所有SDP客户端传送来的日志及审计信息进行汇聚，运用大数据智能算法，对汇聚的信息进行统计分析，从而满足管理单位的运维及安全需求。（1）构建SDP模型之后的地震行业网络可以收集安全状态数据，统计并显示连接设备数量、实时活跃用户、用户访问次数、激活用户和阻止访问情况。辅助安全系统快速了解访问人员的基本情况。（2）可以对用户访问数据进行多个维度的安全态势统计分析，呈现应用业务的访问排名，辅助运维人员全面了解业务系统访问及运营情况，通过隐盾网关拦截的非法请求记录可以为运维人员排查异常用户访问情况提供帮助，及时发现并阻断被攻击的风险。（3）可以按不同周期，如每日、每周或每月，对安全态势进行感知分析，展示活跃度变化最大的用户和某时间周期访问量变化最大的应用系统，通过这种方式帮助安全运维人员了解地震行业网络中流量发生的波峰、波谷变化，及时记录异常并响应预警。（4）可以实时查勘SDP组件及业务系统的状态，感知当前安全态势，发现隐盾网关或管理系统故障时，第一时间进行预警，从而降低新疆地震网运维压力和被攻击风险。4.3网络隐身4.3.1层层授权、层层防御SDP解决方案在TCP/IP数据通信的每一层都进行授权的管控，层层授权，层层防御，防止非法数据或访问的进入，不用担心IP对外开放，也不用担心多端口对外开放。在网络层，默认情况下，通过隐藏的屏蔽网关拒绝所有IP访问。只有在SDP客户端获得SPA批准后，才向批准的客户端开放访问通道。另外，由于域名的内部解析是利用SDP的私有DNS功能实现的，所以也没有必要。域名出现在公共网络上，并为网络内的IP地址提供隐蔽性。在传输层，默认端口拒绝所有连接请求，采用SPA动态端口许可技术，动态允许SDP客户端端口访问，防止未经授权的连接。这可确保开放端口不会对地震行业网络构成安全风险。不必担心打开多个端口。在安全传输层，在UDP客户端和隐藏网关之间使用SSL（安全套接字协议）加密通信技术，以防止通信数据被未经授权的人监视、篡改或破坏。在应用层，网关对发起的每一个HTTP请求进行HMAC（哈希运算消息认证码）动态验证，防止非法HTTP数据以及非授权HTTP数据通过，从而最大化保障地震行业网络系统处于安全访问的机制内。4.3.2网络隐身图3SDP网络隐身原理如图3所展示的基于SPA单包授权技术，默认关闭所有端口，拒绝一切链接，让服务器“隐身”，任何人访问不到。杜绝各种扫描工具探测。只有安装SDP客户端的合法员工能“连接”企业应用，让网络攻击无从发起。网络隐身：对非授权访问的不可见、不可达、不回应不可见：网络扫描不到网络接入地址与端口，使攻击方无法通过扫描确定攻击目标，从而无法展开进一步的攻击行为。不可达：即使攻击方获取了网络接入地址、接入的用户名与密码，网络依然对访问者不可达，因为还有专用的接入客户端证书、账号绑定的终端指纹需要认证，并且认证过程对访问者不可见。不回应：采用基于SPA协议的单包认证，在确认请求方可信前不与请求方建立连接，面对DDOS类攻击时，不做任何服务层回应，攻击报文会被直接丢弃，所受影响远小于传统网络边界设备。通过网络隐身将需要防守的资产隐藏起来，让攻击方找不到可攻击的目标，无法实施后续的攻击。4.4权限管控授权是权限管控中一个非常重要的概念。这是指评估用户拥有的权限的过程。批准明确了用户之间的边界关系，便于保护数据，并预防和管理数据泄露风险。授权范围决定了用户可以操作的功能和可以看到的数据范围以及可以对数据进行的具体操作，避免用户干扰、数据泄露、误操作等事故。权限管控就是一个判断“谁对数据进行怎么的操作”的一个逻辑。权限粒度粗细决定着是否需要考虑具体对象的实例。为了实现通用性，传统VPN权限粒度粗，信任范围较大，对所有访问者都一视同仁，无法做到对资源细粒度地授权。这也就造成了用户身份无法辨别，一旦攻击者通过VPN接入地震行业网，网络所有薄弱点都会暴露，形成较大攻击面，数据容易泄露、破坏。SDP能够实现非常灵活的权限控制，细粒度地授权在何种情况下对某个资源具备某个特定的权限。SDP替代VPN在远程办公接入方面优势：1.相较于传统的SSLVPN方案，该方案收敛网络暴露面。远程接入更安全，接入服务不受攻击影响更稳定2.强制检验用户账号密码，密码强度检查和强制修改，当用户访问异常时触发二次认证，从账户可靠性进行安全加固3.SPA缩小业务暴露面，规避任意终端任意身份都可发起认证请求4.建立远程接入终端安全准入机制，全访问周期检测接入终端环境安全5.建立最小权限模型，动态权限调整保护核心业务6.用户接入访问网络访问行为的完整审计，具备安全溯源能力7.具备异常行为的及时发现和处置能力8.入网后的横向跳转受控，远程接入的服务范围可管理因而可见，SDP相较于传统的VPN隧道技术，完全解决VPN本身的一些弱点，同时也提供了纵深多维度的安全防御机制。5结论本文通过对零信任安全和SDP解决方案的概念、理念，以及SDP解决方案原理、架构、部署。经过全文的分析研究，得到以下主要结论：第一，零信任安全越来越被产业界接受，SDP解决方案也逐渐成熟并已开展应用。第二，SDP解决方案作为零信任安全的一种实现方式，与目前新疆地震系统使用的基于网络边界的防护结构相辅相成，在不改变现有的网络架构的情况下，提供了一种新的接入方式，实现了传统边界隐身不可见，减少