基于零信任架構的校園網安全訪問研究

李靜元

(陜西師范大學,信息化建設與管理處,陜西,西安 710119)

0 引言

智慧教室、物聯網水電表、高性能計算等新興技術在高校校園網中的大規模應用,加速了師生在校外辦公學習的需求,導致傳統的校園網邊界劃分更加模糊化。傳統的校園網邊界劃分是基于IP和VLAN隔離的,師生在校外訪問校內資源需依靠VPN接入實現,VPN在校園網中存在邊界嚴格劃分、網絡管控粗粒度和認證授權不靈活等問題。在這種新的網絡環境下,傳統的校園網訪問模型無法滿足當前數字化校園的網絡安全需求[1-2]。

為了定義無邊界趨勢下的網絡安全問題并尋求解決方案,零信任術語在2010年正式提出并用來特指對所有網絡連接和流量是不可信任的,通過隔離對網絡進行細粒度的訪問控制避免內網淪陷后的橫向攻擊。2014年零信任架構由Google內部項目BeyondCorp研究成果提出,后續研究中Gartner將其自適應安全架構優化為持續自適應風險與信任評估架構。

為了解決校園網訪問中的問題,本文提出一種基于零信任架構的高校校園網安全防護方法,構建持續性動態的身份驗證和訪問授權策略,不再劃分內外網邊界,對任何訪問需求的發起用戶均不信任[3-4],默認為最小訪問授權。由此實現校園網中敏感數據的細粒度管控和靈活的授權認證,避免通過外網接入校園網后橫向攻擊的網絡安全事件發生。

1 傳統校園網的訪問模型

高校中傳統的校園網有嚴格的外網和內網邊界,內網用戶對于數據中心來說是絕對信任的,外網用戶屬于不可信區域。外網遠程接入訪問校內資源一般通過SSLVPN或WebVPN實現,一次認證永久訪問,通過VPN接入內網后可直接訪問校內所有資源。

傳統校園網的訪問模型如圖1所示。由圖1可知,在云計算、物聯網和信息化飛速發展的時代,在安全體系架構方面存在以下3個問題。

圖1 傳統校園網的訪問模型

(1) 邊界安全風險大

隨著教育信息化的快速發展和新興技術物聯網技術的大規模應用,校園網的內外網邊界劃分越來越模糊,無邊界網絡占比越來越高。

(2) 網絡管控粗粒度

傳統校園網對內網是絕對信任的,內網用戶權限太大會存在橫向漏掃攻擊的風險,訪問權限為粗粒度控制方式,無法做到動態評估每次訪問的安全級別,而零信任網關可以做到數據的細粒度訪問控制和動態授權訪問。

(3) 認證授權不靈活

認證授權易受地理位置和IP的限制,無法做到身份和設備雙重認證。

2 零信任架構的校園網訪問模型

在高校中校園網主要包括無線網絡、有線網絡、物聯網、監控網,目前陜西師范大學的網絡體系架構已全面實現大二層改造,極大簡化了運營成本。為了滿足高校信息化的快速發展,后續將逐步實現四網融合。

零信任架構的校園網訪問模型如圖2所示。網絡訪問不再區分內網和外網邊界,所有訪問校內資源的用戶設備都通過數據中心前端零信任網關接入,并將請求發給零信任控制引擎進行評估。如果訪問請求經評估后被接受,那么零信任網關和用戶設備建立加密通信隧道傳輸數據,當數據流出現異常安全問題時將觸發控制引擎終止加密隧道[5-6]。

圖2 零信任架構的訪問模型

用戶的每次訪問都基于動態安全級別評估后接入,實現網絡管理控制的細粒度化。只有完成身份可信、行為可信和環境可信的校驗用戶才會認證授權成功,數據傳輸過程中實時監測動態訪問控制,如果出現任何風險會即刻收縮用戶訪問權限,由此極大減少校園網資源被非法訪問和橫向攻擊的風險。

2.1 零信任架構

零信任架構以面向實際應用的零信任系統為目標,主要由零信任網關、動態訪問控制引擎、信任評估引擎和身份安全基礎設施構成。

零信任網關是確保業務安全的網關,為動態訪問控制引擎的策略執行提供保障。

動態訪問控制引擎根據動態訪問控制策略與零信任網關一起完成對所有訪問請求的動態認證和環境監測,相比傳統的靜態策略權限判定更靈活,動態策略安全性更高。

信任評估引擎和動態訪問控制引擎聯動實現信任等級評估并作為訪問授權的依據,也可與第三方態勢感知系統進行聯動,動態地對用戶身份和訪問連接進行靈活的信任評級授權認證,提供更為精確的風險評級和安全保障。

身份安全基礎設施主要具備身份管理和權限管理的功能,實現對身份生命周期的動態管理以及授權策略的細粒度管控和風險分析。

2.2 信任評估算法

信任評估算法是零信任的最核心部分,它確保整個網絡的正確運行,對零信任的安全性起到舉足輕重的作用。信任評估算法如圖3所示。通過輸入用戶信息、設備狀態、訪問信息和行為屬性到基準差算法中,結合對應基準值βi進行計算,并動態輸出基準差δi,4個基準差δ1～δ4、已知的漏洞和惡意攻擊等作為風險分析系統的輸入計算出風險分析值γ。

圖3 信任評估算法

將風險分析系統輸出的風險分析值γ和庫中的待訪問資源作為信任評估判斷的輸入條件,判斷是否允許訪問。

2.3 無邊界安全訪問

零信任的校園網架構提出無邊界訪問控制方法,將不再區分傳統的內外網邊界,對網絡中任何人、設備和應用都默認為不信任。對所有訪問請求實行靈活的認證授權控制和細粒度網絡管控措施,通過信任評估算法動態計算訪問主體的風險度量,以此決定是否允許訪問。

2.4 細粒度網絡管理

從傳統的“訪問行為審計”升級為“動態訪問控制和灰度處置”,對所有的訪問請求進行細粒度的權限管控和身份驗證。基于身份與訪問行為制定動態安全的基線,識別異常風險的行為并做出有效的處理,最終達到用戶設備行為的可信目的。

動態安全評估體系是零信任架構實現安全閉環的重要環節,基于信任等級實現分級的業務訪問能力,從“靜態權限”升級為“動態權限”。零信任架構下的動態安全訪問可以在發現環境、行為和身份存在風險時實時調整用戶權限、降低信任評級來達到及時干預的目的。

2.5 認證授權靈活化

零信任架構的校園網訪問基于用戶身份和設備環境的雙重認證,不再受IP地址和地理位置的限制,以身份而非物理位置來構建訪問控制架構。默認情況下為網絡中的身份和設備授權最低權限,用戶僅在需要的時候獲得特權,具有較強的動態性和風險感知能力。從“靜態雙因素認證”升級為“動態自適應身份認證”,通過多因素身份認證確保身份可信,基于設備環境等因素的變化自動調整平衡安全。從終端的“基礎準入”升級為“持續動態環境監測與全局業務準入”,針對設備終端進行持續、動態的環境監測,避免終端成為安全接入的薄弱環節。

3 零信任架構的安全訪問方法

高校師生遠程辦公越來越常態化,學術研究的開放性等因素使得校園網的內外網邊界更加模糊化。傳統VPN的“一次認證,永久在線”的遠程接入方式給校園網的網絡安全帶來極大的挑戰,通過校內態勢感知、大數據監測,以及陜西省進行高校網絡攻防演練的最終報告來看,校內二級單位網站存在的漏洞攻擊以及挖礦病毒感染終端的原因大部分是VPN系統弱密碼導致的。攻擊者通過暴力破解方式獲得VPN賬號的弱密碼,再通過漏掃等軟件進行校園網內橫向攻擊。高校的網絡群體龐大、學生安全意識薄弱、校園網內橫向攻擊成本低等因素特別容易成為挖礦劫持和勒索軟件的目標,造成嚴重的資源浪費和財力損失[7-8]。

零信任架構的安全訪問不再受物理位置和IP地址的限制,不區分內網和外網的邊界,秉承“持續驗證,永不信任”的原則。系統默認不信任網絡中任何用戶設備,基于身份認證授權和動態訪問控制策略的安全通信,對于解決邊界模糊的高校校園網非常合適。零信任安全訪問在校園中的應用主要體現在3個方面:圖書館文獻資源的無感知訪問、校園內網資源的安全訪問和敏感資源的安全訪問。

3.1 圖書資源的無感知訪問

零信任訪問控制可實現校外對圖書館資源的安全訪問,解決校外訪問電子資源的認證授信問題,全程無須安裝客戶端插件是純Web訪問,即開即用、即關即走。通過資源動態捕捉技術實現圖書館的資源訪問,不用擔心數據庫站點地址的變更,可對接CAS和Ldap等認證系統實現無感知訪問,并審計圖書館資源訪問記錄日志,為圖書資源維護提供數據支撐?？蓪崿F動態自適應的身份認證、校外訪問、非授信終端訪問、異地登錄等場景進行強制二次認證,避免賬號盜用導致的惡意訪問下載資源。

3.2 校園內網資源的安全訪問

無須安裝任何客戶端插件即可實現安全接入訪問校園內網數字化資源,并結合校內統一認證系統構建以身份為中心的可信訪問、智慧權限、極簡運維的零信任安全接入平臺。

具體流程為瀏覽器訪問數字化校園域名,跳轉到統一認證登錄界面,輸入學號或工號和密碼認證,認證通過后進入數字化校園資源整合頁面,點擊對應的校內資源可免認證直接訪問所需的電子資源。

3.3 敏感資源的安全訪問

敏感資源包括OA、財務、網絡管理系統等重要平臺,這些具有敏感信息的資源訪問需要通過安全隧道和權限控制基線接入,提供終端安全、身份安全、傳輸安全、權限安全和日志審計的端到端可靠性防護。

基于信任引擎的動態權限和動態自適應的身份認證,當環境行為等存在風險或非授信終端訪問時強制進行二次認證或收縮訪問權限。同時也支持對接第三方態勢感知等安全設備進行聯動,增強行為分析和安全防護的能力,提高動態訪問控制的細粒度管控和認證授權的靈活性。

4 總結

本文提出基于零信任架構的校園網安全訪問方法,可以有效解決傳統校園網中存在的粗粒度訪問控制、網絡邊界嚴格劃分、認證授權不靈活等問題。通過在校內搭建零信任平臺替代傳統的VPN系統,實現用戶訪問不再受限于物理位置的限制,并實時動態持續性監測和調整用戶的權限,規避惡意用戶通過VPN進入校園網進行橫向滲透的安全風險。為了提高零信任訪問的風險分析能力,后續將對接校內態勢感知平臺提升信任評估的精確度,加強校園網的網絡安全防護水平。