京港地鐵基于零信任架構打造一體化身份認證治理體系

文：賀贊賢，寧向宇，張增豹，李曉亮，鄭 凱丨北京京港地鐵有限公司

京港地鐵迅速推進業務的數字化轉型，秉承“以風險為核心，以問題為導向”的核心理念，以“軟件定義邊界（SDP）+身份識別與訪問管理（IAM）”為核心，通過采用“持續信任評估”“動態訪問控制”等技術手段，提出構建以身份為邊界的零信任安全治理理念，營造安全、可信的網絡訪問環境，實現暴露面收縮、訪問權限精細化管理，達到私有程序訪問邊界的動態控制，統一認證和賬號權限管理，全面提升京港地鐵信息系統安全管理水平。

京港地鐵數字化轉型正在快速推進，業務模式也發生了根本性變化。隨著云上業務SaaS 化、敏捷化，用戶對從互聯網端訪問業務系統的訴求逐漸迫切，訪問方式更加多樣化。在業務開放層面，業務多元化讓網絡邊界變得模糊，傳統基于邊界的安全防護手段無法滿足安全合規要求。京港地鐵迅速推進業務的數字化轉型，通過采用“持續信任評估”“動態訪問控制”等技術手段，實現暴露面收縮、訪問權限精細化管理，達到私有程序訪問邊界的動態控制，統一認證和賬號權限管理，全面提升京港地鐵信息系統安全管理水平。

京港地鐵秉承“以風險為核心，以問題為導向”的核心理念，以“軟件定義邊界（SDP）+身份識別與訪問管理（IAM）”為核心，利用多源信任評估、動態訪問控制、可信業務訪問等安全服務能力，結合可擴展移動認證、單點登錄、加密通訊、可視化監管等功能，解決了京港地鐵私有應用程序在混合云環境下的安全訪問需求。同時也由于傳統網絡安全邊界防護手段不足，提出構建以身份為邊界的零信任安全治理理念，營造安全、可信的網絡訪問環境。

一、項目實現的主要目標

一是基于零信任安全構建動態風險監測，打造全方位的風險管控。建設零信任一體化身份認證體系，實現了以人為中心的應用訪問形式，提供動態訪問控制、統一接入門戶、單點登錄(SSO)、統一身份管理、統一身份認證、集中應用授權、審計與分析等功能。讓認證更便捷、身份更安全、管理更高效，也達到了安全可控的連接用戶和資源，一方面以身份管理為核心，結合終端設備、行為分析對用戶進行動態身份認證，驗證身份和設備合規可信后建立加密隧道；另一方面，結合用戶可訪問的資源權限，限制資源可見性，劃分執行任務的最小特權可見資源，最終形成一次安全的資源請求，通過借助可信身份管理平臺對數字身份進行全面、動態、智能的訪問控制，實現企業數字資源訪問的可管可控。

二是采用SSO 身份安全鑒別，實現應用的便捷高效訪問。用戶通過使用SSO 技術實現一次性鑒別登錄，即可獲得訪問單點登錄系統中其他關聯系統和應用軟件的權限，同時這種實現是不需要管理員對用戶的登錄狀態或其他信息進行修改的，這意味著在多個應用系統中，用戶只需一次登錄就可以訪問所有相互信任的應用系統。這種方式減少了由登錄產生的時間消耗，輔助了用戶管理。

三是構建全域用戶統一身份管理，打造一體化身份認證。統一身份安全管理系統以用戶ID 統一、全域用戶畫像建設、身份治理體系建設等為典型特征，具備身份治理共性能力與服務、支持多前臺業務及獨立服務組織或部門進行管理。其一，建設公司全面身份治理體系，該體系涵蓋內外部全域用戶，實現身份集中化管理，通過平臺實現自動化全生命周期管理，同時建設內部完整的、標準的、可持續的公司化管理規范體系；其二，提升信息化管理水平，建立公司員工數字身份管理標準體系，實現用戶及應用系統的統一身份管控，流程自動化管理；其三，提升員工應用體驗，通過身份安全管理平臺建設，提供應用門戶，解決用戶多賬戶、多密碼、多處訪問等痛點，提高用戶滿意度與體驗；四是實現信息化增效降本，提供一套完整的持續的用戶管理規范及運營規范體系，提升信息化平臺建設質量及增效降本。

四是保障信息資產安全，打造數字安全底座。

以保障信息資產安全為宗旨，以數字身份為基石打破應用“孤島”，采用前沿科技，重塑數據流通、應用訪問、業務流程等環節的規范性，防范數據流在灰色地帶游走，將每一項業務在陽光下閉環完成。為京港地鐵信息化環境提供全面風險管控服務，對用戶登錄業務系統的認證安全、鏈路安全等環境風險自動化感知與采集，將發現的風險度量化，對用戶的風險訪問行為做到事前預警、事中監控和事后追溯，并自適應給業務系統賦予各類身份認證的能力，真正做到對于誰來了、誰走了、做了什么一目了然。

二、技術背景

2019年底，Cybersecurity Insiders 聯合Zscaler發布的《2019 零信任安全市場普及行業報告》指出，62%的受訪者表示目前最大的應用程序安全挑戰是確保對分布在數據中心和云環境中的私有應用程序的訪問安全，對此企業所采用的安全措施主要是身份和訪問管理（72%）、數據丟失預防（51%）、BYOD/移動安全（50%）等，這些措施均與零信任相關，但上述安全管控措施目前還處于分散管控狀態，無法實現對風險的實時監測與動態調整的身份訪問的一體策略。

（一）六大關鍵技術，為安全訪問保駕護航

一是軟件定義邊界。零信任一體化身份認證架構的實時計算訪問控制策略的授權決策根據訪問主體的身份、權限等信息進行實時計算，形成訪問控制策略，一旦授權決策依據發生變化，將重新進行計算，必要時將即時變更授權決策。

二是基于多源數據進行信任等級持續評估。零信任一體化身份認證架構中訪問主體的信任等級是根據實時多源數據（如身份、權限、訪問日志等）計算得出，人工智能技術提高了信任評估策略的計算效率，實現零信任架構在安全性、可靠性、可用性及成本方面的綜合平衡。

三是將身份作為訪問控制的基礎（IAM）。零信任一體化身份認證架構對網絡、設備、應用、用戶等所有對象賦予數字身份，基于身份來構建訪問控制體系。

四是將單點登錄（SSO）融合身份訪問控制。憑借一套憑證信息即一次認證，即可通過PC、Pad、手機等各類終端安全訪問所有有權訪問的應用。

五是最小權限原則。零信任一體化身份認證架構中強調資源按需分配使用，授予的是執行任務所需的最小特權，并限制資源的可見性。

六是資源受控安全訪問。零信任一體化身份認證架構對所有業務場景及資源的每一個訪問請求都進行強制身份識別和授權判定，符合安全策略才予以放行，實現會話級別的細粒度訪問控制，同時所有的訪問連接均須加密。

（二）四大技術優勢，助力企業數字化進程

一是采用持續信任評估結果，聯動各類組件實現增強認證、智能降權、聯動阻斷等多種手段，實現風險的動態處置。二是實現用戶無縫融合企業現有安全環境，通過零信任安全身份架構體系，打通全用戶訪問場景。三是通過國密認證實現可信鑒別和安全加密通訊。四是通過身份統一管理，實現資源訪問的持續認證和動態訪問控制。

基于零信任一體化身份認證架構可以很好兼容云計算、大數據、物聯網等各類新興應用場景，支持遠程辦公、多云環境、多分支機構、跨企業協同等復雜網絡架構。如適用于遠程辦公的零信任安全架構，不再區分內外網，在人員、設備及業務之間構建虛擬的、基于身份的邏輯邊界，實現一體化的動態訪問控制體系，不僅可以減少攻擊暴露面，增強對企業應用和數據的保護，還可通過現有工具的集成大幅降低零信任潛在建設成本。

零信任一體化身份認證架構的本質是以身份為中心進行動態訪問控制。零信任對訪問主體與訪問客體之間的數據訪問和認證驗證進行處理，其將一般的訪問行為分解，一是作用于網絡通信控制的控制平面，二是作用于應用程序通信的數據平面。訪問主體通過控制平面發起訪問請求，經由信任評估引擎、訪問控制引擎實施身份認證及授權，獲得數據平面系統動態許可后，訪問代理接受來自主體的數據，從而建立一次可信的安全訪問鏈接。過程中，信任評估引擎將持續進行信任評估工作，訪問控制引擎對評估數據進行零信任策略決策運算，來判斷訪問控制策略是否需要作出改變，若作出改變時，系統將及時通過訪問代理動態調整用戶身份的訪問權限，從而有效實現對資源的保護。

三、技術規劃方案

京港地鐵構建基于零信任架構打造一體化身份認證治理體系主要采用兩大零信任落地技術能力，分別是軟件定義邊界（SDP）、身份與訪問管理（IAM）。

軟件定義邊界技術是通過軟件的方式，在“移動+云”的背景下構建起加密通道，利用基于身份的訪問控制及完備的權限認證機制提供有效的隱身保護。SDP 是由云安全聯盟（CSA）開發的一個安全框架，其體系結構主要包括SDP 客戶端、SDP 控制器及 SDP網關這三個組件，其中客戶端主要負責驗證用戶身份，將訪問請求轉發給網關，控制器負責身份認證及配置策略，管控全過程，網關主要保護業務系統，防護各類網絡攻擊，只允許來自合法客戶端的流量通過。SDP 可將所有應用程序隱藏，訪問者不知應用的具體位置，同時所有訪問流量均通過加密方式傳輸，并在訪問端與被訪問端之間點對點傳輸，其具備的持續認證、細粒度的上下文訪問控制、信令分離等防御理念可有效解決企業業務拓展中的安全問題，成為零信任理念的最佳踐行之一。

全面身份化是零信任架構的基石，零信任所需的IAM 技術通過圍繞身份、權限、環境等信息進行有效管控與治理，從而保證正確的身份在正確的訪問環境下，基于正當理由訪問正確的資源。隨著數字化轉型的不斷深入，業務的云化、終端的激增均使得企業IT 環境變得更加復雜，傳統靜態且封閉的身份與訪問管理機制已不能適應這種變化，因此零信任中的IAM 將更加敏捷、靈活且智能，需要適應各種新興的業務場景，能夠采用動態的策略實現自主完善，可以不斷調整以滿足實際的安全需求。

（一）整體架構設計

零信任控制系統是整個平臺的大腦，并與其他組件對接，可信接入網關和控制系統兩部實現控制面和數據面的分離。基于零信任架構打造的一體化身份認證治理平臺的整體架構（圖1）。控制系統負責授權、策略管理與下發，是整體的調度與管理中心，對接入的身份、終端、環境、行為進行信任評估，基于策略引擎配置的策略結果，決定允許或拒絕會話并讓可信網關進行放通或阻斷。可信接入網關支持HTTPS 代理訪問和SSL 隧道代理訪問。控制系統和可信接入網關均受SPA 單包授權技術對設備本身的服務進行隱身保護。

圖1 基于零信任架構打造的一體化身份認證治理平臺的整體架構

身份認證中心IAM 作為零信任身份管理與認證組件，提供統一賬號管理、統一身份認證與單點登錄能力，實現賬號生命周期管理，并且用戶只需認證一次就可以訪問他所需要訪問的業務系統，提供賬號密碼、企業微信、證書、短信、令牌等多種認證方式，并實現自適應身份認證。

（二）技術架構設計

終端側適配筆記本與移動終端，內網部署可信接入網關與零信任控制中心以及身份認證中心IAM，可信接入網關負責與終端建立安全隧道，進行流量的代理轉發。零信任控制中心則與IAM平臺對接，實現接入用戶的身份校驗，訪問權限的控制以及策略的下發。

（三）業務架構設計

選取較為常用的人員遠程辦公場景的架構方案設計，用戶終端下載安裝零信任客戶端，客戶端創建虛擬網卡和本地路由表，并通過本地路由表或私有DNS 將訪問流量引流至虛擬網卡。同時，客戶端與代理網關構建加密隧道，實現數據包代理轉發，從而實現有端場景下的業務安全訪問。

一是實現用戶可信。零信任控制中心與IAM 平臺對接，對用戶進行身份可信認證，通過多種認證方式、多因子身份認證以及動態調整認證強度的方式，保證用戶身份可信的同時也保證了使用體驗。

二是實現終端可信。零信任控制中心收集用戶終端信息，生成終端硬件特征碼（設備指紋），并設置用戶授信終端，從而實現用戶的授信終端認證及授信終端免二次認證等能力。另外，客戶端對系統環境及軟件環境進行動態檢測，實時發現終端環境風險，并及時阻斷。

三是實現進程可信。用戶在使用任意進程訪問應用時，零信任客戶端采集進程的信息及指紋，并形成進程訪問報表，根據進程的使用情況、簽名信息，給出處置建議給管理員，以此實現應用進程識別。另外，管理員根據采集到的進程信息及零信任控制中心給出的處置建議，將進程標記為可信/不可信，并通過動態 ACL 規則允許或阻止訪問。

四是實現數據可信。通過終端側零信任沙箱構建安全工作空間，實現一臺終端同時兼并個人空間及安全工作空間，并在工作空間提供數據隔離、網絡隔離、文件加密、外設管控及屏幕水印/審計能力。

五是實現權限可信。通過向用戶個人、角色、群組、組織架構授權應用權限的方式，實現權限精細化控制，并在系統環境發生變化且觸發ACL 策略規則時，動態收縮用戶權限，實現權限可信。

六是實現連接可信。終端客戶端與代理網關在構建連接隧道傳輸業務數據時，實現隧道SSL 加密。同時，因為安裝零信任客戶端，客戶端提供SPA 單包授權網絡隱身能力，在接收到合法的SPA 敲門數據包前，服務端不響應來自客戶端的任何連接請求。

四、項目實施場景及建設成效

當用戶通過企業微信統一入口訪問內網應用時會調用SSO 系統認證，系統發現訪問來源是SDP 網關時，則由SSO 和SDP 進行OAuth2 對接，從而使得各業務系統(如OA、郵件等)能實現登錄。用戶通過使用動態風險控制、統一接入門戶、單點登錄(SSO)、統一身份管理、統一身份認證、集中應用授權、審計與分析等能力訪問企業應用的兩種場景如下：

場景一互聯網訪問郵箱系統：用戶訪問郵箱系統，被攔截到郵箱認證服務。待郵箱認證服務重定向到IAM 認證登錄頁面，用戶通過密碼、短信等多種認證方式進行認證。認證完成后返回郵箱認證服務，由郵箱認證服務根據人員信息判斷應重定向至云端郵箱系統或是本地郵箱系統。

場景二互聯網訪問內網應用：用戶訪問內網應用，被攔截到SDP 網關。SDP 網關重定向至IAM認證服務進行認證，用戶通過密碼、短信等多種認證方式進行認證。 認證完成后返回SDP 網關，由網關將訪問請求轉發至內網應用。

項目建設成效如下：

一是提高了系統服務水平和效率。通過零信任架構身份認證服務，對各種應用信息進行整合和利用，用戶可以實現內外網一次登錄即可訪問所有應用，極大地提高了工作效率。二是縮小企業業務資源暴露面。將原本暴露在互聯網上的內部業務系統資源有效收縮至企業內網環境。三是實現了部門共享應用信息資源，提升服務水平。通過統一身份安全管理系統，可以對各部門的應用統一管理，并實現統一入口，提高各級各部門的協同工作效率。通過平臺的統一和整合，實現信息、知識、人才以及管理理念、管理制度、管理方法等各種資源的共享，提高資源的利用效率。四是建立用戶訪問管理等規范。通過建立用戶統一標識命名、用戶身份及訪問管理等規范，進一步提高公司信息系統建設與管理的規范性。五是實現大規模遠程安全辦公。采用大規模遠程辦公場景的實踐，實現企業員工在任何地點可以安全動態地遠程訪問混合云及公有云上的OA、財務、人力、郵箱、工程等業務系統的使用場景。

京港地鐵打造零信任架構一體化身份認證的優點在于“持續驗證，永不信任”的安全體系，主要應用領域集中在安全訪問混合云和公有云環境中的私有應用程序，項目場景應用效果較好，具備一定的可推廣性。