基于零信任架構(gòu)的校園網(wǎng)安全訪問研究

李靜元

(陜西師范大學,信息化建設與管理處,陜西,西安 710119)

0 引言

智慧教室、物聯(lián)網(wǎng)水電表、高性能計算等新興技術(shù)在高校校園網(wǎng)中的大規(guī)模應用,加速了師生在校外辦公學習的需求,導致傳統(tǒng)的校園網(wǎng)邊界劃分更加模糊化。傳統(tǒng)的校園網(wǎng)邊界劃分是基于IP和VLAN隔離的,師生在校外訪問校內(nèi)資源需依靠VPN接入實現(xiàn),VPN在校園網(wǎng)中存在邊界嚴格劃分、網(wǎng)絡管控粗粒度和認證授權(quán)不靈活等問題。在這種新的網(wǎng)絡環(huán)境下,傳統(tǒng)的校園網(wǎng)訪問模型無法滿足當前數(shù)字化校園的網(wǎng)絡安全需求[1-2]。

為了定義無邊界趨勢下的網(wǎng)絡安全問題并尋求解決方案,零信任術(shù)語在2010年正式提出并用來特指對所有網(wǎng)絡連接和流量是不可信任的,通過隔離對網(wǎng)絡進行細粒度的訪問控制避免內(nèi)網(wǎng)淪陷后的橫向攻擊。2014年零信任架構(gòu)由Google內(nèi)部項目BeyondCorp研究成果提出,后續(xù)研究中Gartner將其自適應安全架構(gòu)優(yōu)化為持續(xù)自適應風險與信任評估架構(gòu)。

為了解決校園網(wǎng)訪問中的問題,本文提出一種基于零信任架構(gòu)的高校校園網(wǎng)安全防護方法,構(gòu)建持續(xù)性動態(tài)的身份驗證和訪問授權(quán)策略,不再劃分內(nèi)外網(wǎng)邊界,對任何訪問需求的發(fā)起用戶均不信任[3-4],默認為最小訪問授權(quán)。由此實現(xiàn)校園網(wǎng)中敏感數(shù)據(jù)的細粒度管控和靈活的授權(quán)認證,避免通過外網(wǎng)接入校園網(wǎng)后橫向攻擊的網(wǎng)絡安全事件發(fā)生。

1 傳統(tǒng)校園網(wǎng)的訪問模型

高校中傳統(tǒng)的校園網(wǎng)有嚴格的外網(wǎng)和內(nèi)網(wǎng)邊界,內(nèi)網(wǎng)用戶對于數(shù)據(jù)中心來說是絕對信任的,外網(wǎng)用戶屬于不可信區(qū)域。外網(wǎng)遠程接入訪問校內(nèi)資源一般通過SSLVPN或WebVPN實現(xiàn),一次認證永久訪問,通過VPN接入內(nèi)網(wǎng)后可直接訪問校內(nèi)所有資源。

傳統(tǒng)校園網(wǎng)的訪問模型如圖1所示。由圖1可知,在云計算、物聯(lián)網(wǎng)和信息化飛速發(fā)展的時代,在安全體系架構(gòu)方面存在以下3個問題。

圖1 傳統(tǒng)校園網(wǎng)的訪問模型

(1) 邊界安全風險大

隨著教育信息化的快速發(fā)展和新興技術(shù)物聯(lián)網(wǎng)技術(shù)的大規(guī)模應用,校園網(wǎng)的內(nèi)外網(wǎng)邊界劃分越來越模糊,無邊界網(wǎng)絡占比越來越高。

(2) 網(wǎng)絡管控粗粒度

傳統(tǒng)校園網(wǎng)對內(nèi)網(wǎng)是絕對信任的,內(nèi)網(wǎng)用戶權(quán)限太大會存在橫向漏掃攻擊的風險,訪問權(quán)限為粗粒度控制方式,無法做到動態(tài)評估每次訪問的安全級別,而零信任網(wǎng)關(guān)可以做到數(shù)據(jù)的細粒度訪問控制和動態(tài)授權(quán)訪問。

(3) 認證授權(quán)不靈活

認證授權(quán)易受地理位置和IP的限制,無法做到身份和設備雙重認證。

2 零信任架構(gòu)的校園網(wǎng)訪問模型

在高校中校園網(wǎng)主要包括無線網(wǎng)絡、有線網(wǎng)絡、物聯(lián)網(wǎng)、監(jiān)控網(wǎng),目前陜西師范大學的網(wǎng)絡體系架構(gòu)已全面實現(xiàn)大二層改造,極大簡化了運營成本。為了滿足高校信息化的快速發(fā)展,后續(xù)將逐步實現(xiàn)四網(wǎng)融合。

零信任架構(gòu)的校園網(wǎng)訪問模型如圖2所示。網(wǎng)絡訪問不再區(qū)分內(nèi)網(wǎng)和外網(wǎng)邊界,所有訪問校內(nèi)資源的用戶設備都通過數(shù)據(jù)中心前端零信任網(wǎng)關(guān)接入,并將請求發(fā)給零信任控制引擎進行評估。如果訪問請求經(jīng)評估后被接受,那么零信任網(wǎng)關(guān)和用戶設備建立加密通信隧道傳輸數(shù)據(jù),當數(shù)據(jù)流出現(xiàn)異常安全問題時將觸發(fā)控制引擎終止加密隧道[5-6]。

圖2 零信任架構(gòu)的訪問模型

用戶的每次訪問都基于動態(tài)安全級別評估后接入,實現(xiàn)網(wǎng)絡管理控制的細粒度化。只有完成身份可信、行為可信和環(huán)境可信的校驗用戶才會認證授權(quán)成功,數(shù)據(jù)傳輸過程中實時監(jiān)測動態(tài)訪問控制,如果出現(xiàn)任何風險會即刻收縮用戶訪問權(quán)限,由此極大減少校園網(wǎng)資源被非法訪問和橫向攻擊的風險。

2.1 零信任架構(gòu)

零信任架構(gòu)以面向?qū)嶋H應用的零信任系統(tǒng)為目標,主要由零信任網(wǎng)關(guān)、動態(tài)訪問控制引擎、信任評估引擎和身份安全基礎設施構(gòu)成。

零信任網(wǎng)關(guān)是確保業(yè)務安全的網(wǎng)關(guān),為動態(tài)訪問控制引擎的策略執(zhí)行提供保障。

動態(tài)訪問控制引擎根據(jù)動態(tài)訪問控制策略與零信任網(wǎng)關(guān)一起完成對所有訪問請求的動態(tài)認證和環(huán)境監(jiān)測,相比傳統(tǒng)的靜態(tài)策略權(quán)限判定更靈活,動態(tài)策略安全性更高。

信任評估引擎和動態(tài)訪問控制引擎聯(lián)動實現(xiàn)信任等級評估并作為訪問授權(quán)的依據(jù),也可與第三方態(tài)勢感知系統(tǒng)進行聯(lián)動,動態(tài)地對用戶身份和訪問連接進行靈活的信任評級授權(quán)認證,提供更為精確的風險評級和安全保障。

身份安全基礎設施主要具備身份管理和權(quán)限管理的功能,實現(xiàn)對身份生命周期的動態(tài)管理以及授權(quán)策略的細粒度管控和風險分析。

2.2 信任評估算法

信任評估算法是零信任的最核心部分,它確保整個網(wǎng)絡的正確運行,對零信任的安全性起到舉足輕重的作用。信任評估算法如圖3所示。通過輸入用戶信息、設備狀態(tài)、訪問信息和行為屬性到基準差算法中,結(jié)合對應基準值βi進行計算,并動態(tài)輸出基準差δi,4個基準差δ1～δ4、已知的漏洞和惡意攻擊等作為風險分析系統(tǒng)的輸入計算出風險分析值γ。

圖3 信任評估算法

將風險分析系統(tǒng)輸出的風險分析值γ和庫中的待訪問資源作為信任評估判斷的輸入條件,判斷是否允許訪問。

2.3 無邊界安全訪問

零信任的校園網(wǎng)架構(gòu)提出無邊界訪問控制方法,將不再區(qū)分傳統(tǒng)的內(nèi)外網(wǎng)邊界,對網(wǎng)絡中任何人、設備和應用都默認為不信任。對所有訪問請求實行靈活的認證授權(quán)控制和細粒度網(wǎng)絡管控措施,通過信任評估算法動態(tài)計算訪問主體的風險度量,以此決定是否允許訪問。

2.4 細粒度網(wǎng)絡管理

從傳統(tǒng)的“訪問行為審計”升級為“動態(tài)訪問控制和灰度處置”,對所有的訪問請求進行細粒度的權(quán)限管控和身份驗證。基于身份與訪問行為制定動態(tài)安全的基線,識別異常風險的行為并做出有效的處理,最終達到用戶設備行為的可信目的。

動態(tài)安全評估體系是零信任架構(gòu)實現(xiàn)安全閉環(huán)的重要環(huán)節(jié),基于信任等級實現(xiàn)分級的業(yè)務訪問能力,從“靜態(tài)權(quán)限”升級為“動態(tài)權(quán)限”。零信任架構(gòu)下的動態(tài)安全訪問可以在發(fā)現(xiàn)環(huán)境、行為和身份存在風險時實時調(diào)整用戶權(quán)限、降低信任評級來達到及時干預的目的。

2.5 認證授權(quán)靈活化

零信任架構(gòu)的校園網(wǎng)訪問基于用戶身份和設備環(huán)境的雙重認證,不再受IP地址和地理位置的限制,以身份而非物理位置來構(gòu)建訪問控制架構(gòu)。默認情況下為網(wǎng)絡中的身份和設備授權(quán)最低權(quán)限,用戶僅在需要的時候獲得特權(quán),具有較強的動態(tài)性和風險感知能力。從“靜態(tài)雙因素認證”升級為“動態(tài)自適應身份認證”,通過多因素身份認證確保身份可信,基于設備環(huán)境等因素的變化自動調(diào)整平衡安全。從終端的“基礎準入”升級為“持續(xù)動態(tài)環(huán)境監(jiān)測與全局業(yè)務準入”,針對設備終端進行持續(xù)、動態(tài)的環(huán)境監(jiān)測,避免終端成為安全接入的薄弱環(huán)節(jié)。

3 零信任架構(gòu)的安全訪問方法

高校師生遠程辦公越來越常態(tài)化,學術(shù)研究的開放性等因素使得校園網(wǎng)的內(nèi)外網(wǎng)邊界更加模糊化。傳統(tǒng)VPN的“一次認證,永久在線”的遠程接入方式給校園網(wǎng)的網(wǎng)絡安全帶來極大的挑戰(zhàn),通過校內(nèi)態(tài)勢感知、大數(shù)據(jù)監(jiān)測,以及陜西省進行高校網(wǎng)絡攻防演練的最終報告來看,校內(nèi)二級單位網(wǎng)站存在的漏洞攻擊以及挖礦病毒感染終端的原因大部分是VPN系統(tǒng)弱密碼導致的。攻擊者通過暴力破解方式獲得VPN賬號的弱密碼,再通過漏掃等軟件進行校園網(wǎng)內(nèi)橫向攻擊。高校的網(wǎng)絡群體龐大、學生安全意識薄弱、校園網(wǎng)內(nèi)橫向攻擊成本低等因素特別容易成為挖礦劫持和勒索軟件的目標,造成嚴重的資源浪費和財力損失[7-8]。

零信任架構(gòu)的安全訪問不再受物理位置和IP地址的限制,不區(qū)分內(nèi)網(wǎng)和外網(wǎng)的邊界,秉承“持續(xù)驗證,永不信任”的原則。系統(tǒng)默認不信任網(wǎng)絡中任何用戶設備,基于身份認證授權(quán)和動態(tài)訪問控制策略的安全通信,對于解決邊界模糊的高校校園網(wǎng)非常合適。零信任安全訪問在校園中的應用主要體現(xiàn)在3個方面:圖書館文獻資源的無感知訪問、校園內(nèi)網(wǎng)資源的安全訪問和敏感資源的安全訪問。

3.1 圖書資源的無感知訪問

零信任訪問控制可實現(xiàn)校外對圖書館資源的安全訪問,解決校外訪問電子資源的認證授信問題,全程無須安裝客戶端插件是純Web訪問,即開即用、即關(guān)即走。通過資源動態(tài)捕捉技術(shù)實現(xiàn)圖書館的資源訪問,不用擔心數(shù)據(jù)庫站點地址的變更,可對接CAS和Ldap等認證系統(tǒng)實現(xiàn)無感知訪問,并審計圖書館資源訪問記錄日志,為圖書資源維護提供數(shù)據(jù)支撐。可實現(xiàn)動態(tài)自適應的身份認證、校外訪問、非授信終端訪問、異地登錄等場景進行強制二次認證,避免賬號盜用導致的惡意訪問下載資源。

3.2 校園內(nèi)網(wǎng)資源的安全訪問

無須安裝任何客戶端插件即可實現(xiàn)安全接入訪問校園內(nèi)網(wǎng)數(shù)字化資源,并結(jié)合校內(nèi)統(tǒng)一認證系統(tǒng)構(gòu)建以身份為中心的可信訪問、智慧權(quán)限、極簡運維的零信任安全接入平臺。

具體流程為瀏覽器訪問數(shù)字化校園域名,跳轉(zhuǎn)到統(tǒng)一認證登錄界面,輸入學號或工號和密碼認證,認證通過后進入數(shù)字化校園資源整合頁面,點擊對應的校內(nèi)資源可免認證直接訪問所需的電子資源。

3.3 敏感資源的安全訪問

敏感資源包括OA、財務、網(wǎng)絡管理系統(tǒng)等重要平臺,這些具有敏感信息的資源訪問需要通過安全隧道和權(quán)限控制基線接入,提供終端安全、身份安全、傳輸安全、權(quán)限安全和日志審計的端到端可靠性防護。

基于信任引擎的動態(tài)權(quán)限和動態(tài)自適應的身份認證,當環(huán)境行為等存在風險或非授信終端訪問時強制進行二次認證或收縮訪問權(quán)限。同時也支持對接第三方態(tài)勢感知等安全設備進行聯(lián)動,增強行為分析和安全防護的能力,提高動態(tài)訪問控制的細粒度管控和認證授權(quán)的靈活性。

4 總結(jié)

本文提出基于零信任架構(gòu)的校園網(wǎng)安全訪問方法,可以有效解決傳統(tǒng)校園網(wǎng)中存在的粗粒度訪問控制、網(wǎng)絡邊界嚴格劃分、認證授權(quán)不靈活等問題。通過在校內(nèi)搭建零信任平臺替代傳統(tǒng)的VPN系統(tǒng),實現(xiàn)用戶訪問不再受限于物理位置的限制,并實時動態(tài)持續(xù)性監(jiān)測和調(diào)整用戶的權(quán)限,規(guī)避惡意用戶通過VPN進入校園網(wǎng)進行橫向滲透的安全風險。為了提高零信任訪問的風險分析能力,后續(xù)將對接校內(nèi)態(tài)勢感知平臺提升信任評估的精確度,加強校園網(wǎng)的網(wǎng)絡安全防護水平。