摘要：業(yè)務(wù)應用可信可控訪問解決方案是一個基于零信任網(wǎng)絡(luò)安全理念和軟件定義邊界（SDP）網(wǎng)絡(luò)安全模型構(gòu)建的安全可控的業(yè)務(wù)系統(tǒng)安全訪問解決方案。該方案可應用于各個行業(yè)，其中在能源、勘察設(shè)計、服裝制造等行業(yè)已有多個應用案例。該方案包含企業(yè)安全瀏覽器、應用網(wǎng)關(guān)、管控平臺三大組件，可以基于互聯(lián)網(wǎng)或各類專網(wǎng)分別建立以授權(quán)終端為邊界的針對特定應用的虛擬網(wǎng)絡(luò)安全邊界，根據(jù)用戶身份提供特定應用的最小訪問權(quán)限。應用網(wǎng)關(guān)、管控平臺具備網(wǎng)絡(luò)隱身功能，對虛擬邊界以外的用戶屏蔽網(wǎng)絡(luò)連接，同時建議在傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備上最大化設(shè)置嚴謹?shù)陌踩呗砸詼p少隱患、最小化開放網(wǎng)絡(luò)端口以減少因為網(wǎng)絡(luò)協(xié)議自身漏洞造成的攻擊，這樣可有效縮小網(wǎng)絡(luò)攻擊面，提高全域網(wǎng)絡(luò)安全。

　　關(guān)鍵詞：零信任；軟件定義邊界；瀏覽器；單包數(shù)據(jù)授權(quán)；網(wǎng)絡(luò)隱身；安全域

　　中圖分類號：TP393 文獻標識碼：A

　　1 引言

　　隨著信息化的不斷深入，基于互聯(lián)網(wǎng)及各種專網(wǎng)部署的業(yè)務(wù)應用系統(tǒng)已非常普及，如何確保這些應用和數(shù)據(jù)的可信可控訪問是當前網(wǎng)絡(luò)安全的基礎(chǔ)性問題之一。但現(xiàn)有網(wǎng)絡(luò)條件下難以避免的各種先天缺陷和日趨復雜的應用場景，網(wǎng)絡(luò)協(xié)議自身的廣泛脆弱性以及安全策略配置不嚴謹所帶來的安全隱患成為常態(tài)。而一味地堵漏洞、打補丁、防病毒等被動式防御和局部式治理、增量式修復的防護策略，已不能適應多變的網(wǎng)絡(luò)安全形勢?；趥鹘y(tǒng)網(wǎng)絡(luò)安全模型、以邊界防護為核心的防護理念和措施已不能滿足應用和數(shù)據(jù)保護的需求，需要建立強信任、強可控、強防護的全域安全。由此，紅芯提出業(yè)務(wù)應用可信可控訪問解決方案。

　　2 方案概述

　　業(yè)務(wù)應用可信可控訪問解決方案是一個基于零信任網(wǎng)絡(luò)安全理念和軟件定義邊界（SDP）網(wǎng)絡(luò)安全模型[1]的安全可控業(yè)務(wù)系統(tǒng)安全訪問解決方案。該方案包含企業(yè)安全瀏覽器、應用網(wǎng)關(guān)、管控平臺三大組件，可以基于互聯(lián)網(wǎng)或各類專網(wǎng)分別建立以授權(quán)終端為邊界針對特定應用的虛擬網(wǎng)絡(luò)安全邊界，基于用戶身份提供特定應用的最小訪問權(quán)限；應用網(wǎng)關(guān)、管控平臺具備網(wǎng)絡(luò)隱身功能，特定應用對虛擬邊界以外的用戶屏蔽網(wǎng)絡(luò)連接；此外，建議在傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備上最大化設(shè)置嚴謹?shù)陌踩呗砸詼p少隱患、最小化開放網(wǎng)絡(luò)端口以減少因為網(wǎng)絡(luò)協(xié)議自身漏洞造成的攻擊，有效縮小網(wǎng)絡(luò)攻擊面，提高全域網(wǎng)絡(luò)安全，具有極強的主動安全防護能力。

　　該方案以企業(yè)安全瀏覽器為邊界，結(jié)合應用網(wǎng)關(guān)建立起一塊虛擬安全域，同時結(jié)合應用網(wǎng)關(guān)基于端口動態(tài)授權(quán)的網(wǎng)絡(luò)隱身技術(shù)構(gòu)建起一張隱形的互聯(lián)網(wǎng)（或者在專網(wǎng)中構(gòu)建起一張隱形的虛擬邊界小專網(wǎng)，以下僅以互聯(lián)網(wǎng)應用為例說明），即互聯(lián)網(wǎng)應用只對“特定的用戶+特定的設(shè)備”可見，且該用戶訪問應用的行為可以進行嚴格控制和記錄。這種模式很好地解決了政府部門/企業(yè)移動辦公、上云帶來的應用暴露在公網(wǎng)的問題，同時也可以增強現(xiàn)有內(nèi)網(wǎng)辦公的安全性，即該方案幫助政府部門/企業(yè)構(gòu)建起了一座外界看不見的數(shù)字“地下城”，如圖1所示。此方案和傳統(tǒng)攻防安全并不矛盾，可以疊加使用。

　　本方案所參考的規(guī)范是國際云安全聯(lián)盟CSA提出的SDP（軟件定義邊界）模型，該安全模型已經(jīng)在國外有較多成功案例并發(fā)展迅速，在RSA Conference上已經(jīng)連續(xù)4年懸賞破解但至今無人成功[2]。國外產(chǎn)商目前普遍使用云端代理服務(wù)器或者客戶端代理服務(wù)器方式來實現(xiàn)，該方案的創(chuàng)新在于直接把SDP隱身技術(shù)做進瀏覽器內(nèi)核里面，避免中間過程數(shù)據(jù)被盜。SDP以預認證和預授權(quán)作為它的兩個基本支柱。通過在單數(shù)據(jù)包到達目標服務(wù)器之前對用戶和設(shè)備進行身份驗證和授權(quán)，SDP可以在網(wǎng)絡(luò)層上執(zhí)行最小權(quán)限原則，顯著縮小攻擊面。軟件定義邊界（SDP）架構(gòu)由三個主要組件組成，如圖2所示。

　　國際云安全聯(lián)盟CSA統(tǒng)計的十二大安全威脅（來自《十二大網(wǎng)絡(luò)安全威脅》白皮書）[3]顯示SDP方案對于解決常見的安全威脅都能起到抵御作用。基于SDP模型的方案可有效減少攻擊面，緩解或者徹底消除安全報告中提到的威脅、風險和漏洞，從而幫助政府部門/企業(yè)能夠集中資源于其他領(lǐng)域。

　　3 方案架構(gòu)

　　業(yè)務(wù)應用可信可控訪問解決方案由三部分組成，一是企業(yè)瀏覽器，用來做各種的身份驗證，包括硬件身份，軟件身份，生物身份等；二是管控后臺，用來對所有的企業(yè)瀏覽器進行管理，制定安全策略；三是應用網(wǎng)關(guān)，所有對業(yè)務(wù)系統(tǒng)的訪問都要經(jīng)過應用網(wǎng)關(guān)的驗證和過濾。三大組件的部署架構(gòu)如圖3所示。

　　3.1 應用網(wǎng)關(guān)

　　應用網(wǎng)關(guān)能有效保護用戶業(yè)務(wù)系統(tǒng)端口不在網(wǎng)絡(luò)上暴露，對sniffer端口掃描免疫，可從源頭降低攻擊的來源，達到應用隱身效果。

　　應用網(wǎng)關(guān)作為新的安全邊界可以部署在內(nèi)網(wǎng)、DMZ、外部機房或者云端，而管控平臺向瀏覽器客戶端進行用戶授權(quán)，完成認證的客戶端才能通過私有域名解析機制找到網(wǎng)關(guān)保護的業(yè)務(wù)應用系統(tǒng)，而這個業(yè)務(wù)應用對于外部是不可見的?？蛻舳说玫綉玫刂泛?，會通過私密通訊協(xié)議鏈接到設(shè)備身份驗證網(wǎng)關(guān)做驗證，通過后才可以與業(yè)務(wù)系統(tǒng)基于安全信道進行交互。

　　需要特別說明的是，這里的應用網(wǎng)關(guān)采用了最新的SPA單數(shù)據(jù)包授權(quán)技術(shù)，簡單的說，就是網(wǎng)關(guān)服務(wù)器默認情況下是拒絕任何網(wǎng)絡(luò)連接的，就像防火墻設(shè)備的deny all策略一樣。只有在接受到某個終端按照特定數(shù)據(jù)序列發(fā)送的特定UDP數(shù)據(jù)包的情況下，才會針對這個特定的終端打開安全信道，而對于不符合特定規(guī)則的數(shù)據(jù)序列，不進行任何回復，所以一般的掃描工具是掃描不到網(wǎng)關(guān)服務(wù)器的，從根本上避免攻擊的發(fā)生。

　　3.2 管控平臺

　　管控平臺是整個平臺的控制中心，用于幫助管理員了解用戶使用產(chǎn)品的整體概貌，以及統(tǒng)一配置安全辦公平臺相關(guān)的應用、用戶及組織結(jié)構(gòu)、設(shè)備、策略以及各類安全項，并將各項功能配置通過策略下發(fā)到企業(yè)安全瀏覽器。

　　3.3 企業(yè)安全瀏覽器

　　企業(yè)安全瀏覽器是辦公平臺的主要入口，最終用戶通過該瀏覽器進行用戶及設(shè)備登錄驗證，并獲取該用戶對應配置信息及各類參數(shù)后，通過用戶登錄驗證后的企業(yè)安全瀏覽器具有應用匯聚，SWA智能Web認證、兼容性自動處理以及安全保護等功能。支持多種操作系統(tǒng)，如：Windows、MacOS、Linux、Android、iOS，以及國產(chǎn)操作系統(tǒng)，如：銀河麒麟，支持多種硬件平臺，包括Intel、AMD、ARM、國產(chǎn)飛騰等。

　　4 方案價值

　　4.1 統(tǒng)一化工作入口

　　無邊界時代，只有在所有用戶終端上建立統(tǒng)一的應用入口，才能實施統(tǒng)一高效的安全措施。本方案可以幫助用戶解決不同時期開發(fā)的應用需使用不同瀏覽器的兼容性問題，實現(xiàn)統(tǒng)一登錄，并構(gòu)建統(tǒng)一的工作入口，實現(xiàn)跨設(shè)備的統(tǒng)一管理，保障數(shù)據(jù)與應用安全，大幅提升用戶體驗。企業(yè)瀏覽器與常規(guī)瀏覽器使用方式相同，用戶“零 ”學習，只需登陸一次瀏覽器，訪問政府部門/企業(yè)內(nèi)部各個業(yè)務(wù)系統(tǒng)時無需再單獨認證登陸，大大減少重復工作量，并且可以做到更細粒度的安全，幫助做好安全的最后一公里。

　　4.2 網(wǎng)絡(luò)隱身

　　基于私密通訊協(xié)議，通過身份接入驗證、設(shè)備接入驗證、應用訪問權(quán)限控制等，幫助保護業(yè)務(wù)應用，讓應用對外完全不可見，用戶只能通過企業(yè)安全瀏覽器進行授權(quán)后訪問。通過私有DNS、端口動態(tài)授權(quán)、應用級訪問、按需授權(quán)四大功能實現(xiàn)業(yè)務(wù)應用網(wǎng)絡(luò)隱身效果。

　　私有DNS：私有DNS功能隱藏業(yè)務(wù)系統(tǒng)的DNS、IP信息，管控平臺只給合法用戶下發(fā)業(yè)務(wù)系統(tǒng)的地址。

　　端口動態(tài)授權(quán)：應用網(wǎng)關(guān)默認拒絕一切連接，只對合法設(shè)備上的合法用戶動態(tài)開關(guān)端口，達到隱身能力。

　　應用級訪問：與VPN訪問不同，只允許B/S架構(gòu)的應用訪問，不會把內(nèi)網(wǎng)完全暴露。即使員工電腦上被安裝了惡意軟件也無法攻擊內(nèi)網(wǎng)。

　　按需授權(quán)：管理員可以在后臺合理限制用戶授權(quán)。例如，只允許財務(wù)部的員工訪問財務(wù)系統(tǒng)，不允許訪問HR系統(tǒng)。避免用戶被攻陷之后攻擊其他系統(tǒng)和資源。

　　4.3 瀏覽器管理

　　企業(yè)瀏覽器作為日常辦公入口，由于員工IT水平不足，使用行為不當，經(jīng)常出現(xiàn)各種問題，給企業(yè)運維人員帶來困擾。該方案中管理員可以對企業(yè)瀏覽器進行統(tǒng)一參數(shù)配置、插件管理、雙內(nèi)核切換、行為管控等設(shè)置，從而降低運維壓力，節(jié)省運維成本。

　　配置管理：瀏覽器的技術(shù)參數(shù)由管理員在安全管控平臺上統(tǒng)一進行配置，然后下發(fā)到用戶的企業(yè)瀏覽器客戶端，實現(xiàn)一次配置，全員生效，讓用戶專注于自己的工作內(nèi)容。

　　插件管理：可以通過管控平臺統(tǒng)一進行下發(fā)，用戶無需自行下載，打開瀏覽器就會自動提示安裝插件，極大地降低了用戶使用的復雜度以及運維成本。

　　雙內(nèi)核切換：支持從IE（6~11）和Chromium雙內(nèi)核，可以有效解決業(yè)務(wù)系統(tǒng)的兼容性問題，可以讓用戶使用企業(yè)安全瀏覽器就能訪問不同時期開發(fā)的所有業(yè)務(wù)系統(tǒng)，而無需來回切換，提高使用體驗，降低使用成本。

　　行為管控：管理員可以統(tǒng)一管理用戶能使用的瀏覽器操作。例如禁止復制、禁止另存為、禁止打印、禁用開發(fā)者工具、禁用地址欄、禁用鼠標右鍵、禁用狀態(tài)欄、文件黑白名單、網(wǎng)站黑白名單等。

　　4.4 數(shù)據(jù)安全

　　該方案支持國際通用加密算法，以及國密算法，能夠大幅度提升網(wǎng)絡(luò)傳輸過程中的安全性，并通過數(shù)字水印、數(shù)據(jù)加密、文檔不落地等多種安全機制保護政府部門/企業(yè)核心數(shù)據(jù)和機密文檔安全，保障客戶端與云端的數(shù)據(jù)存儲及數(shù)據(jù)傳輸安全，解決最后一公里的安全問題，助力政府部門/企業(yè)安全上云。

　　數(shù)字水?。浩髽I(yè)瀏覽器可以將員工的姓名、手機號、郵箱等個人信息作為數(shù)字水印覆蓋在瀏覽器的目標頁上，以達到拍照及截屏泄密方式的震懾及溯源目的。

　　數(shù)據(jù)加密：企業(yè)瀏覽器對緩存到本地的數(shù)據(jù)、緩存、Cookie信息分別進行了加密存取處理，即使數(shù)據(jù)被惡意竊取，也無法得到明文內(nèi)容。

　　文檔不落地：將文檔內(nèi)容通過格式轉(zhuǎn)換服務(wù)轉(zhuǎn)變?yōu)镠TML頁面，讓內(nèi)容通過瀏覽器顯示出來而不是將文檔下載到本地，達到機密文檔不落地的效果。

　　5 關(guān)鍵技術(shù)

　　5.1 軟件定義邊界（SDP）安全模型

　　SDP，即軟件定義邊界（Software Defined Perimeter，SDP），是美國國防信息系統(tǒng)局“全球信息網(wǎng)格黑核網(wǎng)絡(luò)”項目成果的基礎(chǔ)上發(fā)展起來的一種新的安全方法。國際云安全聯(lián)盟（CSA）于2013年成立SDP工作組，定義了SDP網(wǎng)絡(luò)安全模型的國際標準。這種模型是基于“零”信任基礎(chǔ)構(gòu)建安全架構(gòu)，即對網(wǎng)絡(luò)、IP地址不可信，只有在身份和設(shè)備認證之后，SDP才允許對業(yè)務(wù)系統(tǒng)的訪問，即用可控的邏輯組件取代了物理設(shè)備。

　　Google的BeyondCorp以及美國國防部、中情局都已經(jīng)采用SDP軟件實現(xiàn)了安全辦公；Zscaler是2018年3月上市的獨角獸公司，專注于SDP產(chǎn)品，同時老牌安全公司Cisco和Symantec等都有相應的SDP安全產(chǎn)品。

　　5.2 移動適配技術(shù)

　　移動適配技術(shù)可以在零接口支持，零代碼改造的情況下實現(xiàn)B/S架構(gòu)應用的移動化適配。移動適配技術(shù)基于瀏覽器底層擴展開發(fā)實現(xiàn)的雙層智能渲染引擎，整個解決方案完全在移動設(shè)備端部署運行。該技術(shù)不需要原系統(tǒng)提供API支持，整個實施過程中也不需要對原系統(tǒng)進行改造，在客戶系統(tǒng)正常運行過程中就完成了移動化。達到客戶已有系統(tǒng)的重復使用，避免了信息化建設(shè)的浪費；更是從根本上杜絕了業(yè)務(wù)系統(tǒng)在實施過程中的安全隱患；也避免了對正常業(yè)務(wù)和生產(chǎn)的影響。

　　5.3 多瀏覽器內(nèi)核數(shù)據(jù)共享

　　在瀏覽器中內(nèi)置多種瀏覽器內(nèi)核，并將用戶在不同瀏覽器內(nèi)核中的緩存、Cookie以及其他共享數(shù)據(jù)經(jīng)過內(nèi)置格式轉(zhuǎn)換為標準數(shù)據(jù)格式并存儲至內(nèi)置共享數(shù)據(jù)庫，在任意瀏覽器內(nèi)核進行數(shù)據(jù)讀取時，再將標準數(shù)據(jù)格式轉(zhuǎn)化為相應瀏覽器內(nèi)核可以讀取的數(shù)據(jù)格式，從而實現(xiàn)任意瀏覽器內(nèi)核都可以從統(tǒng)一數(shù)據(jù)庫中獲取到用戶在任意瀏覽器內(nèi)核中輸入的數(shù)據(jù)。

　　5.4 cookie和緩存加密

　　從外網(wǎng)訪問內(nèi)網(wǎng)的過程中，訪問內(nèi)部業(yè)務(wù)系統(tǒng)，會產(chǎn)生Cookie數(shù)據(jù)和緩存數(shù)據(jù)。Cookie數(shù)據(jù)中有登錄信息、登錄狀態(tài)，如果在不加密的情況下，只要獲取Cookie數(shù)據(jù)，在無需輸入登錄賬號和密碼的情況下，即可進行操作。緩存數(shù)據(jù)中有一些用戶訪問過的頁面信息，如果在不加密的情況下，只要獲取緩存數(shù)據(jù)，在無需輸入登錄賬號和密碼的情況下，也可查看用戶訪問過的信息。

　　一般情況下，外網(wǎng)訪問內(nèi)網(wǎng)的訪問過程中產(chǎn)生的Cookie和緩存，并未進行加密，大部分情況是僅僅隱藏。不加密僅隱藏的后果就是，在網(wǎng)上很容易查到Cookie和緩存存放的隱藏路徑，這樣很容導致政府/企業(yè)信息泄露，造成很大的安全隱患。加密效果如圖4所示。

　　5.5 遠程擦除/刪除設(shè)備

　　在移動辦公的前提下，人員會有設(shè)備丟失的可能，一旦遇到這種情況，移動設(shè)備被不法分子拿到，只要聯(lián)網(wǎng)的情況，點擊辦公軟件客戶端，即可自動登錄，很容易就能看到各種辦公信息甚至政府部門/企業(yè)機密信息。該方案可解決設(shè)備丟失后的辦公信息泄露問題。具體步驟如下：

　　第一步：管理員可針對特定設(shè)備進行遠程擦除或者刪除。

　　第二步：企業(yè)安全瀏覽器接到擦除指令后，會將之前使用產(chǎn)品生成的所有數(shù)據(jù)文件進行隨機數(shù)據(jù)寫入，如緩存、Cookie等信息進行隨機數(shù)據(jù)寫入，然后再將寫入后的文件進行刪除。

　　第三步：隨機寫入是為防止不法分子通過恢復文件的形式來竊取信息，這樣的話，即使對方恢復文件，打開的也都只是隨機寫入的數(shù)據(jù)。

　　遠程擦除效果如圖5所示。

　　5.6 URL及文件類型過濾

　　利用用戶訪問釣魚網(wǎng)站是一種常見的攻擊手段，黑客通過偽裝網(wǎng)站將腳本植入用戶的操作系統(tǒng)，從而將威脅帶入政府部門/企業(yè)內(nèi)部。針對這種情況，該方案提供了URL和文件類型過濾的功能，可以幫助政府部門/企業(yè)將攻擊阻擋在業(yè)務(wù)系統(tǒng)外部，也就是常說的黑名單和白名單機制。

　　以黑名單舉例來說，管理員可以通過管控平臺將有可能存在安全隱患的網(wǎng)站統(tǒng)一配置并發(fā)送給用戶，當用戶使用瀏覽器進行訪問的時候，相應的URL會通過界面?zhèn)鬟f給瀏覽器內(nèi)核準備頁面的請求工作，瀏覽器會在發(fā)起頁面請求前檢查該網(wǎng)址是否符合設(shè)置的過濾條件，當符合過濾條件時瀏覽器將終止打開網(wǎng)頁的操作，將威脅阻擋在外。并且，瀏覽器還可以對網(wǎng)站的反饋內(nèi)容進行檢查，自動分析下載內(nèi)容中是否有被政府部門/企業(yè)禁止的文件類型，比如exe，js等可執(zhí)行文件，當發(fā)現(xiàn)這些文件的時候，禁止文件的下載，防止惡意代碼進入用戶的電腦。

　　5.7 私有DNS

　　業(yè)務(wù)應用暴露在公網(wǎng)，通過公網(wǎng)DNS服務(wù)器進行域名解析，這樣黑客通過公網(wǎng)域名解析服務(wù)就可以輕松拿到企業(yè)業(yè)務(wù)應用IP地址，進而對IP展開端口掃描、漏洞掃描、漏洞利用等滲透操作。

　　業(yè)務(wù)應用可信可控訪問解決方案可以為企業(yè)構(gòu)建一個私有DNS解析平臺，對于已經(jīng)設(shè)置過私有DNS解析的域名，企業(yè)管理員可以在傳統(tǒng)DNS Server中取消對該域名的解析，也就不會將域名及公網(wǎng)IP暴露在企業(yè)員工之外，從而達到隱藏業(yè)務(wù)應用訪問域名的目的。

　　通過管控平臺可以設(shè)定企業(yè)應用內(nèi)部域名與IP地址的對應關(guān)系，并將映射結(jié)果保存至數(shù)據(jù)庫，當企業(yè)安全瀏覽器通過用戶及設(shè)備校驗后，管控平臺將域名關(guān)系映射表下發(fā)至企業(yè)安全瀏覽器，并加載到內(nèi)存中，當用戶通過企業(yè)安全瀏覽器訪問某個url地址時，會先在本地內(nèi)存中查詢該目標url是否有對應的私有DNS解析記錄，如果匹配成功則使用從匹配結(jié)果中所獲取到的目標IP進行訪問，如沒有匹配成功，則認為目標url中所包含的域名未啟用私有域名解析，既而采用傳統(tǒng)DNS服務(wù)查詢機制獲取結(jié)果。

　　6 結(jié)束語

　　本方案是一個基于零信任網(wǎng)絡(luò)安全理念和軟件定義邊界（SDP）網(wǎng)絡(luò)安全模型構(gòu)建的安全訪問解決方案，已經(jīng)應用于多個行業(yè)、多個領(lǐng)域，取得了非常好的實踐效果，為企業(yè)建立強信任、強可控、強防護的全域安全。

　　參考文獻

　　[1] CSA Introduction to the Software Defined Perimeter Working Group：Software Defined Perimeter 2013.

　　[2] CSA Introduction to the Software Defined Perimeter Working Group ： SDP Hackathon Whitepaper 2014.

　　[3] CSA Introduction to the Top Threats Working Group：The Treacherous 12 2017.

　　[紅芯時代（北京）科技有限公司，北京100089]

　　陳本峰，霍海濤，冀托，楊鑫冰

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……