业务应用可信可控访问解决方案

　　摘要：业务应用可信可控访问解决方案是一个基于零信任网络安全理念和软件定义边界（SDP）网络安全模型构建的安全可控的业务系统安全访问解决方案。该方案可应用于各个行业，其中在能源、勘察设计、服装制造等行业已有多个应用案例。该方案包含企业安全浏览器、应用网关、管控平台三大组件，可以基于互联网或各类专网分别建立以授权终端为边界的针对特定应用的虚拟网络安全边界，根据用户身份提供特定应用的最小访问权限。应用网关、管控平台具备网络隐身功能，对虚拟边界以外的用户屏蔽网络连接，同时建议在传统网络安全设备上最大化设置严谨的安全策略以减少隐患、最小化开放网络端口以减少因为网络协议自身漏洞造成的攻击，这样可有效缩小网络攻击面，提高全域网络安全。

　　关键词：零信任；软件定义边界；浏览器；单包数据授权；网络隐身；安全域

　　中图分类号：TP393 文献标识码：A

　　1 引言

　　随着信息化的不断深入，基于互联网及各种专网部署的业务应用系统已非常普及，如何确保这些应用和数据的可信可控访问是当前网络安全的基础性问题之一。但现有网络条件下难以避免的各种先天缺陷和日趋复杂的应用场景，网络协议自身的广泛脆弱性以及安全策略配置不严谨所带来的安全隐患成为常态。而一味地堵漏洞、打补丁、防病毒等被动式防御和局部式治理、增量式修复的防护策略，已不能适应多变的网络安全形势。基于传统网络安全模型、以边界防护为核心的防护理念和措施已不能满足应用和数据保护的需求，需要建立强信任、强可控、强防护的全域安全。由此，红芯提出业务应用可信可控访问解决方案。

　　2 方案概述

　　业务应用可信可控访问解决方案是一个基于零信任网络安全理念和软件定义边界（SDP）网络安全模型[1]的安全可控业务系统安全访问解决方案。该方案包含企业安全浏览器、应用网关、管控平台三大组件，可以基于互联网或各类专网分别建立以授权终端为边界针对特定应用的虚拟网络安全边界，基于用户身份提供特定应用的最小访问权限；应用网关、管控平台具备网络隐身功能，特定应用对虚拟边界以外的用户屏蔽网络连接；此外，建议在传统网络安全设备上最大化设置严谨的安全策略以减少隐患、最小化开放网络端口以减少因为网络协议自身漏洞造成的攻击，有效缩小网络攻击面，提高全域网络安全，具有极强的主动安全防护能力。

　　该方案以企业安全浏览器为边界，结合应用网关建立起一块虚拟安全域，同时结合应用网关基于端口动态授权的网络隐身技术构建起一张隐形的互联网（或者在专网中构建起一张隐形的虚拟边界小专网，以下仅以互联网应用为例说明），即互联网应用只对“特定的用户+特定的设备”可见，且该用户访问应用的行为可以进行严格控制和记录。这种模式很好地解决了政府部门/企业移动办公、上云带来的应用暴露在公网的问题，同时也可以增强现有内网办公的安全性，即该方案帮助政府部门/企业构建起了一座外界看不见的数字“地下城”，如图1所示。此方案和传统攻防安全并不矛盾，可以叠加使用。

　　本方案所参考的规范是国际云安全联盟CSA提出的SDP（软件定义边界）模型，该安全模型已经在国外有较多成功案例并发展迅速，在RSA Conference上已经连续4年悬赏破解但至今无人成功[2]。国外产商目前普遍使用云端代理服务器或者客户端代理服务器方式来实现，该方案的创新在于直接把SDP隐身技术做进浏览器内核里面，避免中间过程数据被盗。SDP以预认证和预授权作为它的两个基本支柱。通过在单数据包到达目标服务器之前对用户和设备进行身份验证和授权，SDP可以在网络层上执行最小权限原则，显著缩小攻击面。软件定义边界（SDP）架构由三个主要组件组成，如图2所示。

　　国际云安全联盟CSA统计的十二大安全威胁（来自《十二大网络安全威胁》白皮书）[3]显示SDP方案对于解决常见的安全威胁都能起到抵御作用。基于SDP模型的方案可有效减少攻击面，缓解或者彻底消除安全报告中提到的威胁、风险和漏洞，从而帮助政府部门/企业能够集中资源于其他领域。

　　3 方案架构

　　业务应用可信可控访问解决方案由三部分组成，一是企业浏览器，用来做各种的身份验证，包括硬件身份，软件身份，生物身份等；二是管控后台，用来对所有的企业浏览器进行管理，制定安全策略；三是应用网关，所有对业务系统的访问都要经过应用网关的验证和过滤。三大组件的部署架构如图3所示。

　　3.1 应用网关

　　应用网关能有效保护用户业务系统端口不在网络上暴露，对sniffer端口扫描免疫，可从源头降低攻击的来源，达到应用隐身效果。

　　应用网关作为新的安全边界可以部署在内网、DMZ、外部机房或者云端，而管控平台向浏览器客户端进行用户授权，完成认证的客户端才能通过私有域名解析机制找到网关保护的业务应用系统，而这个业务应用对于外部是不可见的。客户端得到应用地址后，会通过私密通讯协议链接到设备身份验证网关做验证，通过后才可以与业务系统基于安全信道进行交互。

　　需要特别说明的是，这里的应用网关采用了最新的SPA单数据包授权技术，简单的说，就是网关服务器默认情况下是拒绝任何网络连接的，就像防火墙设备的deny all策略一样。只有在接受到某个终端按照特定数据序列发送的特定UDP数据包的情况下，才会针对这个特定的终端打开安全信道，而对于不符合特定规则的数据序列，不进行任何回复，所以一般的扫描工具是扫描不到网关服务器的，从根本上避免攻击的发生。

　　3.2 管控平台

　　管控平台是整个平台的控制中心，用于帮助管理员了解用户使用产品的整体概貌，以及统一配置安全办公平台相关的应用、用户及组织结构、设备、策略以及各类安全项，并将各项功能配置通过策略下发到企业安全浏览器。

　　3.3 企业安全浏览器

　　企业安全浏览器是办公平台的主要入口，最终用户通过该浏览器进行用户及设备登录验证，并获取该用户对应配置信息及各类参数后，通过用户登录验证后的企业安全浏览器具有应用汇聚，SWA智能Web认证、兼容性自动处理以及安全保护等功能。支持多种操作系统，如：Windows、MacOS、Linux、Android、iOS，以及国产操作系统，如：银河麒麟，支持多种硬件平台，包括Intel、AMD、ARM、国产飞腾等。

　　4 方案价值

　　4.1 统一化工作入口

　　无边界时代，只有在所有用户终端上建立统一的应用入口，才能实施统一高效的安全措施。本方案可以帮助用户解决不同时期开发的应用需使用不同浏览器的兼容性问题，实现统一登录，并构建统一的工作入口，实现跨设备的统一管理，保障数据与应用安全，大幅提升用户体验。企业浏览器与常规浏览器使用方式相同，用户“零 ”学习，只需登陆一次浏览器，访问政府部门/企业内部各个业务系统时无需再单独认证登陆，大大减少重复工作量，并且可以做到更细粒度的安全，帮助做好安全的最后一公里。

　　4.2 网络隐身

　　基于私密通讯协议，通过身份接入验证、设备接入验证、应用访问权限控制等，帮助保护业务应用，让应用对外完全不可见，用户只能通过企业安全浏览器进行授权后访问。通过私有DNS、端口动态授权、应用级访问、按需授权四大功能实现业务应用网络隐身效果。

　　私有DNS：私有DNS功能隐藏业务系统的DNS、IP信息，管控平台只给合法用户下发业务系统的地址。

　　端口动态授权：应用网关默认拒绝一切连接，只对合法设备上的合法用户动态开关端口，达到隐身能力。

　　应用级访问：与VPN访问不同，只允许B/S架构的应用访问，不会把内网完全暴露。即使员工电脑上被安装了恶意软件也无法攻击内网。

　　按需授权：管理员可以在后台合理限制用户授权。例如，只允许财务部的员工访问财务系统，不允许访问HR系统。避免用户被攻陷之后攻击其他系统和资源。

　　4.3 浏览器管理

　　企业浏览器作为日常办公入口，由于员工IT水平不足，使用行为不当，经常出现各种问题，给企业运维人员带来困扰。该方案中管理员可以对企业浏览器进行统一参数配置、插件管理、双内核切换、行为管控等设置，从而降低运维压力，节省运维成本。

　　配置管理：浏览器的技术参数由管理员在安全管控平台上统一进行配置，然后下发到用户的企业浏览器客户端，实现一次配置，全员生效，让用户专注于自己的工作内容。

　　插件管理：可以通过管控平台统一进行下发，用户无需自行下载，打开浏览器就会自动提示安装插件，极大地降低了用户使用的复杂度以及运维成本。

　　双内核切换：支持从IE（6~11）和Chromium双内核，可以有效解决业务系统的兼容性问题，可以让用户使用企业安全浏览器就能访问不同时期开发的所有业务系统，而无需来回切换，提高使用体验，降低使用成本。

　　行为管控：管理员可以统一管理用户能使用的浏览器操作。例如禁止复制、禁止另存为、禁止打印、禁用开发者工具、禁用地址栏、禁用鼠标右键、禁用状态栏、文件黑白名单、网站黑白名单等。

　　4.4 数据安全

　　该方案支持国际通用加密算法，以及国密算法，能够大幅度提升网络传输过程中的安全性，并通过数字水印、数据加密、文档不落地等多种安全机制保护政府部门/企业核心数据和机密文档安全，保障客户端与云端的数据存储及数据传输安全，解决最后一公里的安全问题，助力政府部门/企业安全上云。

　　数字水印：企业浏览器可以将员工的姓名、手机号、邮箱等个人信息作为数字水印覆盖在浏览器的目标页上，以达到拍照及截屏泄密方式的震慑及溯源目的。

　　数据加密：企业浏览器对缓存到本地的数据、缓存、Cookie信息分别进行了加密存取处理，即使数据被恶意窃取，也无法得到明文内容。

　　文档不落地：将文档内容通过格式转换服务转变为HTML页面，让内容通过浏览器显示出来而不是将文档下载到本地，达到机密文档不落地的效果。

　　5 关键技术

　　5.1 软件定义边界（SDP）安全模型

　　SDP，即软件定义边界（Software Defined Perimeter，SDP），是美国国防信息系统局“全球信息网格黑核网络”项目成果的基础上发展起来的一种新的安全方法。国际云安全联盟（CSA）于2013年成立SDP工作组，定义了SDP网络安全模型的国际标准。这种模型是基于“零”信任基础构建安全架构，即对网络、IP地址不可信，只有在身份和设备认证之后，SDP才允许对业务系统的访问，即用可控的逻辑组件取代了物理设备。

　　Google的BeyondCorp以及美国国防部、中情局都已经采用SDP软件实现了安全办公；Zscaler是2018年3月上市的独角兽公司，专注于SDP产品，同时老牌安全公司Cisco和Symantec等都有相应的SDP安全产品。

　　5.2 移动适配技术

　　移动适配技术可以在零接口支持，零代码改造的情况下实现B/S架构应用的移动化适配。移动适配技术基于浏览器底层扩展开发实现的双层智能渲染引擎，整个解决方案完全在移动设备端部署运行。该技术不需要原系统提供API支持，整个实施过程中也不需要对原系统进行改造，在客户系统正常运行过程中就完成了移动化。达到客户已有系统的重复使用，避免了信息化建设的浪费；更是从根本上杜绝了业务系统在实施过程中的安全隐患；也避免了对正常业务和生产的影响。

　　5.3 多浏览器内核数据共享

　　在浏览器中内置多种浏览器内核，并将用户在不同浏览器内核中的缓存、Cookie以及其他共享数据经过内置格式转换为标准数据格式并存储至内置共享数据库，在任意浏览器内核进行数据读取时，再将标准数据格式转化为相应浏览器内核可以读取的数据格式，从而实现任意浏览器内核都可以从统一数据库中获取到用户在任意浏览器内核中输入的数据。

　　5.4 cookie和缓存加密

　　从外网访问内网的过程中，访问内部业务系统，会产生Cookie数据和缓存数据。Cookie数据中有登录信息、登录状态，如果在不加密的情况下，只要获取Cookie数据，在无需输入登录账号和密码的情况下，即可进行操作。缓存数据中有一些用户访问过的页面信息，如果在不加密的情况下，只要获取缓存数据，在无需输入登录账号和密码的情况下，也可查看用户访问过的信息。

　　一般情况下，外网访问内网的访问过程中产生的Cookie和缓存，并未进行加密，大部分情况是仅仅隐藏。不加密仅隐藏的后果就是，在网上很容易查到Cookie和缓存存放的隐藏路径，这样很容导致政府/企业信息泄露，造成很大的安全隐患。加密效果如图4所示。

　　5.5 远程擦除/删除设备

　　在移动办公的前提下，人员会有设备丢失的可能，一旦遇到这种情况，移动设备被不法分子拿到，只要联网的情况，点击办公软件客户端，即可自动登录，很容易就能看到各种办公信息甚至政府部门/企业机密信息。该方案可解决设备丢失后的办公信息泄露问题。具体步骤如下：

　　第一步：管理员可针对特定设备进行远程擦除或者删除。

　　第二步：企业安全浏览器接到擦除指令后，会将之前使用产品生成的所有数据文件进行随机数据写入，如缓存、Cookie等信息进行随机数据写入，然后再将写入后的文件进行删除。

　　第三步：随机写入是为防止不法分子通过恢复文件的形式来窃取信息，这样的话，即使对方恢复文件，打开的也都只是随机写入的数据。

　　远程擦除效果如图5所示。

　　5.6 URL及文件类型过滤

　　利用用户访问钓鱼网站是一种常见的攻击手段，黑客通过伪装网站将脚本植入用户的操作系统，从而将威胁带入政府部门/企业内部。针对这种情况，该方案提供了URL和文件类型过滤的功能，可以帮助政府部门/企业将攻击阻挡在业务系统外部，也就是常说的黑名单和白名单机制。

　　以黑名单举例来说，管理员可以通过管控平台将有可能存在安全隐患的网站统一配置并发送给用户，当用户使用浏览器进行访问的时候，相应的URL会通过界面传递给浏览器内核准备页面的请求工作，浏览器会在发起页面请求前检查该网址是否符合设置的过滤条件，当符合过滤条件时浏览器将终止打开网页的操作，将威胁阻挡在外。并且，浏览器还可以对网站的反馈内容进行检查，自动分析下载内容中是否有被政府部门/企业禁止的文件类型，比如exe，js等可执行文件，当发现这些文件的时候，禁止文件的下载，防止恶意代码进入用户的电脑。

　　5.7 私有DNS

　　业务应用暴露在公网，通过公网DNS服务器进行域名解析，这样黑客通过公网域名解析服务就可以轻松拿到企业业务应用IP地址，进而对IP展开端口扫描、漏洞扫描、漏洞利用等渗透操作。

　　业务应用可信可控访问解决方案可以为企业构建一个私有DNS解析平台，对于已经设置过私有DNS解析的域名，企业管理员可以在传统DNS Server中取消对该域名的解析，也就不会将域名及公网IP暴露在企业员工之外，从而达到隐藏业务应用访问域名的目的。

　　通过管控平台可以设定企业应用内部域名与IP地址的对应关系，并将映射结果保存至数据库，当企业安全浏览器通过用户及设备校验后，管控平台将域名关系映射表下发至企业安全浏览器，并加载到内存中，当用户通过企业安全浏览器访问某个url地址时，会先在本地内存中查询该目标url是否有对应的私有DNS解析记录，如果匹配成功则使用从匹配结果中所获取到的目标IP进行访问，如没有匹配成功，则认为目标url中所包含的域名未启用私有域名解析，既而采用传统DNS服务查询机制获取结果。

　　6 结束语

　　本方案是一个基于零信任网络安全理念和软件定义边界（SDP）网络安全模型构建的安全访问解决方案，已经应用于多个行业、多个领域，取得了非常好的实践效果，为企业建立强信任、强可控、强防护的全域安全。

　　参考文献

　　[1] CSA Introduction to the Software Defined Perimeter Working Group：Software Defined Perimeter 2013.

　　[2] CSA Introduction to the Software Defined Perimeter Working Group ： SDP Hackathon Whitepaper 2014.

　　[3] CSA Introduction to the Top Threats Working Group：The Treacherous 12 2017.

　　[红芯时代（北京）科技有限公司，北京100089]

　　陈本峰，霍海涛，冀托，杨鑫冰

关注读览天下微信， 100万篇深度好文， 等你来看……