【技术干货】蚂蚁办公零信任的技术建设路线与特点

‍

存在的缺点：

●传统边界安全模型认为内网环境是可信的，内部安全防护薄弱，缺乏内部流量检查。

●一但攻破网络边界，整个体系就会处于威胁之中。

●传统安全模型在不断自我发展，例如：纵深防护理念，通过多点防护，利用空间换取检测时间，但主动性防御仍然欠缺。

1.2 零信任安全模型

零信任实质上对于人员、设备、服务器等一切资产身份化，基于身份为中心构建信任评估和动态访问控制体系，确保对业务数据访问安全保护，如下图2，即通过零信任业务访问模型，确保正确的人，使用正确的终端，在任意网络位置使用正确的权限，访问正确的业务，获得正确的数据。零信任的模型针对访问过程的每一个环节进行安全校验，将安全可信评估和防护插入到每个关键的环节。即使一个环节被攻破，其他安全检查点依然有效。

基本原则：

●只要处于网络中，任何用户都不可信。

●零信任模型下，任何时刻任何环境、设备、身份权限都需要被持续验证。

●安全是建立在信任链之上，如果信任链被打破，那么对资源的访问权限则被自动取消。

1.3 零信任典型安全架构

零信任架构落地成功地改善企业安全态势，需要来自企业各利益相关方的输入和合作，为解决这个关键问题美国国家标准与技术研究院NIST在 2020 年提出了《NIST SP800-207：零信任架构草案》，主要提供了风险管理框架的顶层概述及其如何帮助开发实施零信任架构，如下图3。

图3 NIST零信任典型架构

其中访问代理、访问控制引擎和4A系统都是目前大多数企业已经具备的基础能力，难点在于以身份为中心如何清晰地刻画出访问主体和访问客体，对于主体和客体以及访问过程环境进行有效细粒度的感知和准确的信任评估，才可以真正实现可信安全的动态访问控制。核心组件模块具体的功能如下：

●信任评估引擎：增加以前基于边界的架构中缺乏或是不可能实现的动态响应因素，尽可能合理采集企业中访问主体、客体以及访问过程环境中有关资产、网络、文件、进程和通信数据等信息，结合企业安全策略和允许清单进行多维动态信任评估。

●访问控制引擎：每个访问请求默认拒绝连接，必须进行身份验证并证明是符合企业安全策略才被授予访问权限，秉承最小权限原则，对访问请求基于上下文、信任等级和安全策略的动态权限判定。

●代理访问：对于访问统一收口，不可信的拦截，访问请求通过身份认证和可信评估通过的放行。

●身份安全基础平台：对于人员、设备、服务器等一切资产身份化，基于4A（认证、账户、授权、审计）以及端安全客户端等系统平台建立身份统一标识提供人员设备身份安全评估能力。

“去边界化安全理念”早在 2004 年就被提出。2009 年谷歌企业内部面临 APT 攻击率先做出了改变（ BeyondCrop 项目落地），完成了零信任的第一个完整性产品。NIST 在 2020 年提出了零信任的标准架构建设原则， 权威机构 Forrester 和 Gartner 也先后给出了零信任的建设理念。国内厂商也逐步开启行业零信任探索落地，并启动了零信任国内标准的建设。

国内外厂商多数以“身份为中心”展开了零信任的建设，不同的厂商建设零信任的路径不同，围绕各自的优势各有侧重，有自研有收购。网络安全厂商围绕自己的优势领域，以原有的网络硬件体系为基础建设零信任产品，典型厂商如思科，通过收购类似 Duo Security 公司补齐身份安全短板，进行零信任整合。而像谷歌和新兴的零信任厂商大部分都以身份为中心的解决方案为主，部分横向整合涵盖网络安全、数据安全和终端安全。

图4 Google BeyondCorp

目前广为人知的零信任方案，如上图4 为经常被提到的 Google BeyondCorp，将核心组件（信任推断评估引擎、访问代理、单点登录、证书管理）和基础数据与平台（用户/群组数据、证书发放、设备清单数据库）打磨融合，用了将近 6 年多，解决了一些列复杂问题（设备资产数据召回准确率、业务场景适配、性能低、数据容错、高可用容灾保护等），通过将访问权限控制措施从网络边界向内部访问过程进行扩展， 使用户几乎可以在任何地点安全地工作，而不必借助于传统 VPN，就可以安全地访问办公网中的各类系统。

虽然 Google BeyondCorp 方案值得借鉴，但很多企业网络和应用环境不同，零信任适配落地仍然会存在很多限制，比较典型的两类：

●风险行为管控：信任评估引擎会对访问流量进行检测并打标（判定黑/白/灰），对于“灰色”流量，需要用户二次确，且需要零信任和风险行为管控结合评定，才可以对风险进行评定；

●数据保护：国内“三位一体”安全法律法规下，数据保护日益重要，零信任当前主要用于动态访问控制，需要进一步拓展数据保护场景。

3.1 零信任SIM核心技术

对于零信任产品的建设各家厂商和企业各不相同，但是也可以进行简单的归类和分析找到适合自己的路线。目前业界有三个主要技术建设路线（SIM）或者是三者的混合体。

3.1.1 SDP（软件定义边界） 

软件定义边界 ( SDP ) 概念源自美国国防信息系统局 ( DISA )，在过去十年中该概念得到云安全联盟正式认可并普及。SDP 体现了零信任安全架构上核心的动态安全控制，基于零信任的身份边界通过软件定义灵活动态进行安全控制，对系统的请求访问做信任评估并授予最小化的访问权限。如下图5 SDP依赖于控制器来管理对该网络的动态安全访问，在受保护网络上通信的实体(连接发起主机)必须运行SDP客户端软件，并通过SDP控制器和SDP网关进行动态身份验证和访问控制。

图5 SDP模型

核心组件：SDP 客户端（验证身份，请求发给网关）、SDP 控制器（负责动态身份认证及访问控制）、SDP 网关（保护业务系统、防御攻击）

特点：所有应用隐藏、访问者不知道应用具体位置；所有流量加密，点对点通信；持续认证、细粒度上下文管控、信令分离

用于保护：用户到业务的访问安全 

3.1.2 IAM（现代身份及访问管理）

IAM的核心是在用户进入网络之前建立身份，这也是零信任模型的基础。通过IAM系统（如下图6 IAM架构）对身份唯一标识，有利于零信任系统确认用户可信，通过唯一标识对用户身份建立起终端、资源的信任关系，并在发现风险时实施针对关键用户相关的访问连接进行阻断等控制。

图6 IAM

核心组件：认证中心、身份权限中心、审计中心

特点：为网络中的人、应用都赋予逻辑身份，以身份为访问的主体进行最小化动态权限访问控制

用于保护：用户到业务的访问安全

3.1.3 Micro Segmentation（微隔离）

微隔离有多重形式，其中云原生控制在虚拟化平台提供者中比较常见（如图7），在虚拟化平台、hypervisor 或者基础设施中提供，一般属于同一云平台供应商，与云平台系统耦合比较深，支持自动化编排，更适合于隔离，东西向的管理能力有限。

图7 微隔离模型

核心组件：基于云技术、网络虚拟化技术

特点：微隔离是一种在数据中心和云部署中创建安全区域的方法，该方法使企业组织可以分离工作负载并分别保护它们

用于保护：业务到业务的访问安全

3.2 蚂蚁办公零信任安全架构

基于SDP + IAM + MSG零信任核心技术，结合蚂蚁企业实际情况，构建以身份为边界的办公零信任安全管控平台。如下图8 ，终端上安装SDP客户端后，能够实现管控终端、跨网联通、应用隐身、终端可信、病毒检测等诸多功能，保护办公人员和设备安全访问；SDP网关把访问请求收束在指定的链路中，更好地减少南北向对外暴露面；SDP控制器动态集成多维信任评估和有效身份授权。通过蚂蚁SDP客户端 + SDP网关 + SDP控制器三者组合，加持动态访问控制能力，打在多维一体化防护。

企业身份认证权限管理中心与零信任新架构融合，从以边界为中心静态认证鉴权升级为以身份为中心的新一代自适应认证和动态鉴权，应用与应用之间通过应用服务鉴权实现微隔离，也降低了内网横向移动的安全风险，同时融合蚂蚁已有的资产/运营/工作流等基础平台数据和能力，丰富零信任访问上下文，构建多维的风险识别和多样化的风险处置能力，确保用户在访问应用和数据的时候更加安全。

图8 蚂蚁零信任安全架构

3.2.1 SDP客户端

蚂蚁办公零信任SDP客户端，主要用于对终端进行信任评估和本地化安全防护，同时与SDP网关和控制器联动，准确识别资产，高效识别风险进行近端访问控制，如下为SDP客户端关键的安全能力：

●远程办公

• 远程办公安全通道，支持多种链接通道，链接公司内网。

• 远程办公网络加速，SSH链接后台服务，进程服务管理与维护。

●终端数据保护

• 对于电脑上软件、系统等设置项进行管理，如病毒查杀、软件管控、U盘管控、文件防护。

• 支持终端健康检测，及时发现安全问题，给企业的电脑安全提供了有力保障。

●违规应用检测

• 识别检查非安全应用。

●资产盘点

• 支持查看硬件信息、快速导出资产信息、及时提醒硬件变更情况，公司所有设备统一安全管理。

• 检查人与设备的关联关系，资产信息核实。

●安全报备

• 支持用户报备安全问题：拷贝与外发报备、账号/设备借用、高风险软件安装申请，更人性化的it管理，及时掌握风险信息。

●用户自管理：

• 可信设备管理，满足用户BYoD的需求，支持添加个人设备，将设备纳入零信任管理体系。

3.2.2 SDP网关

SDP网关处于零信任防护流量入口位置，主要是作为SDP策略执行点，同时用于隐藏应用缩小攻击面，并提供SSL安全链路和动态负载均衡能力。

●SDP策略执行点

• SDP网关是运行资源和安全策略的实施点，网关支持动态插件功能，对请求进行响应处置。

●隐藏应用

• 提供对外访问入口，通过七层HTTP代理，或是四层网络流量代理等方式，实现将内部资源代理到外部访问中。

• 应用端口隐藏防止扫描。

• 将被保护的资源隐藏，外网不可见，极大降低了网络暴露面，有效缓解多种网络攻击。

●动态负载均衡：对于内部服务既提供了内部保护，也提供了对应用负载均衡、分流的能力。

●SSL安全链路：支持SSL卸载

3.2.3 SDP控制器 & IAM

如下图9，对于蚂蚁办公零信任SDP控制器建设，前期主要建立基础组件满足基本管控需求，后续随着安全风险管控升级，先后经历了多版本迭代，从前期基础版零信任脚本化防护规则逐步迭代，完成基于大数据体系安全防护规则引擎统一。目前聚焦在SDP客户端 + 网关 + 控制器 + IAM实现一体化动态防护，零信任访问上下文Context将（端健康度、位置、时间、网络、应用、情报等）信息和数据引入用于持续信任评估引擎进行多维度计算；同时也增加更丰富的风险处置能力（例如: 风险行为管控、审批报备等)；身份认证与访问管理的对接，也提供了自适应认证和基于Context上下文的访问控制能力；支持FIDO2 （Windows HELO/MacOS TouchID）新的认证方式的加持，更好的提升了用户体验。 

图9 蚂蚁办公零信任SDP控制器&IAM

3.3 蚂蚁办公零信任落地实践

蚂蚁办公零信任构建以身份为边界的一体化的办公零信任安全管控平台，打磨融合SDP（客户端+网关+控制器）+EIAM+MSG零信任核心技术，实现对每次访问请求进行持续验证 ，可以识别各类异常行为、敏感数据展示、未授权访问、身份盗用、文件外发、威胁攻击等多类风险，解决主体访问客体过程中的访问控制风险问题并可针对数据进行加固防护。

蚂蚁办公落地零信任新安全架构，融合多维信任源（人员、端、网络和应用等），构建多维立体零信任评估能力，针对各类风险具备动态多样化多维度管控手段，提供应用/URL零信任管控、办公数据保护、零信任一体化防护能力。

图10 蚂蚁办公零信任一体化防护

零信任产品落地的难点在于针对不同企业的环境与IT设施的差异，如何实现用一套产品快速满足不同企业的安全需求。蚂蚁办公零信任分别从请求发起端、内部引擎、处置手段和基础平台入手，将零信任系统核心模块组件化，外部对接标准化、终端设备可信化，并将依赖的基础服务轻量化。如上图10，系统支持多种可信的终端，并将端信息在Context层数据模型标准化、内部以规则引擎为核心对风险流量进行处置、以大数据的评估引擎和风险分析引擎为依托，支持零信任防护规则动态化，并为运营人员提供多样化策略配置，满足可扩展的、多样的处置手段。

针对难以界定风险“灰”流量，支持二次核身/审批报备等差异化风险确认行为管控能力，可以识别并拦截员工恶意的访问行为，防止越权访问。零信任系统还可以对接不同企业的原有员工系统、基础平台、资产系统等，这些系统都为零信任提供多样化的访问上下文数据依据，进而支撑引擎提供更完备的可信评估判断。蚂蚁办公零信任系统打通了人员、端、管和云的全链路安全动态防护，保障企业内部网络和新环境下的安全。

针对企业数据保护接入使用成本高 & 覆盖容易遗漏等难点问题，零信任防护拓展数据保护场景，敏感数据识别、网页水印等与零信任融合，提供业务无侵入的安全防护能力植入，支持数据保护能力无感极简接入和快速低成本防护能力覆盖。 

国内零信任目前处于从概念到落地阶段，聚焦客户需求、价值和实效尤为重要，聚焦更简 & 更安全 & 更快速的零信任防护，反对零信任的泛化、滥化和概念化。不同行业在零信任的应用上有着不同的关注点，远程访问是当前企业实施零信任的主要驱动和优先选择，行业大部分产品大多数聚焦在该领域，远程办公、远程分支机构接入、远程运维三大场景占比居于前三，落地中需要重点打磨。

在实践中，蚂蚁办公零信任产品设计以身份为边界SDP（客户端+网关+控制器）和企业现代身份访问管理EIAM、信任评估决策准确与完备、安全防护组件能力丰富和灵活为核心，将身份、系统、数据、端深度融合，构建多维立体零信任评估体系满足新环境下的安全水位要求。将接口与数据标准化、特定业务脚本化，低成本横向拓展，提高安全组件快速集成能力，提升防护水位和极致的用户体验，构建一体化主动安全防护体系。

在零信任安全的路上，蚂蚁将持续探索。

参考文献

[1] Jeffr Pack, Betsy Beyer, Colin Beske and Max Saltionstall.Migrating to BeyondCorp[EB/OL].USENIX.2018

[2] Rory Ward and Betsy Beyer.A New Approach to Enterprise Security[EB/OL].USENIX.2018

[3] Barclay Osborn, Justin McWillias, Betsy Beyer and Max Saltionstall.Design to Deployment at Google[EB/OL].USENIX.2018

[4] Luca Cuttadinim, Batz Spear, Betsy Beyer and Max Saltonstall.The Access Proxy[EB/OL].USENIX.2018

[5] Victor Escobedo, Batz Spear, Max Saltonstall and Filip Zyzniewski.The User Experience.[EB/OL].USENIX.2018