一、方案背景
中国航空工业集团有限公司(简称“航空工业”)是由中央管理的国有特大型企业,是国家授权的投资机构,于2008 年11 月6 日由原中国航空工业第一、第二集团公司重组整合而成立。集团公司下辖百余家成员单位及上市公司,员工逾40 万人。
2019 年,航空工业深入贯彻落实习总书记关于网络安全和信息化工作的系列重要讲话精神,推动集团内部各成员单位之间的办公协同和数字化转型,建设了覆盖全集团所有成员单位的商密网移动办公平台。平台使用阿里专有云架构建设,企业OA、邮件、即时通、招采平台等内部应用业务系统相继上云,促进跨地区、跨部门、跨层级的数据资源共享和业务协同。随着移动办公和业务系统的逐渐云化,商网的业务架构和网络环境随之发生了重大的变化,访问主体和接入场景的多样化、网络边界的模糊化、访问策略的精准化等都对传统基于边界防护的网络安全架构提出了新的挑战。目前在商网移动办公安全架构中存在的问题主要包括:个人移动办公终端从注册、使用到删除的设备全生命周期难掌控,移动办公终端中的运行环境监控、恶意应用安装和数据保护难管理;使用移动办公终端的人员身份冒用和越权访问难预防;现有的移动终端一次性认证通过后即取得了安全系统的默认信任,而移动终端的运行环境是随时可能发生变化的,第三方恶意应用系统的安装和病毒感染随时可能造成正在访问的敏感数据被窃取;业务系统采用云化部署,以容器化和API 化提供服务,但对API 接口和服务的访问防护仍停留在访问认证层面,尚无对API 和服务调用进行权限控制;业务系统中存储的敏感数据访问尚未有明确的分级分类访问机制,对于访问敏感数据的应用和用户无从控制和审计。
针对商网移动办公应用中存在的上述新安全风险和新安全挑战,航空工业坚持新问题新解决思路的原则,引入全新的网络安全理念-零信任解决方案。从新的角度出发,零信任解决方案以“持续信任评估”、“动态访问控制”和“软件定义边界”的理念应对集团商网新的网络挑战,创造新的安全模式,构建零信任与传统安全防御互相协同的安全技术新体系。
二、 方案概述和应用场景
零信任安全模型
零信任的本质是在访问主体和客体之间构建以身份为基石的动态可信访问控制体系,通过以身份为基石、业务安全访问、持续信任评估和动态访问控制的关键能力,基于对网络所有参与实体的数字身份,对默认不可信的所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限进行调整,最终在访问主体和访问客体之间建立一种动态的信任关系。
图1 零信任安全模型
项目总体架构设计
图2 零信任架构设计
1)密码基础设施
依托商网现有的密码基础设施对其网络平台提供密码密钥管理服务;电子认证基础设施(PKI/CA)对不同对象,如人员、设备、应用、服务等提供基于国产商用密码算法的数字证书管理服务。
2) 可信身份管控平台(身份管理基础设施)
依托密码支撑体系,以身份为中心,提供不同对象的规范化统一管理服务、多类型实体身份鉴别服务、细粒度的授权管理与鉴权控制服务、安全审计服务。
3) 零信任网关管理平台
支持多因子认证机制,结合动态上下文环境监测,实现不同接入通道下为用户提供细粒度的统一访问控制机制,支持多台分布式部署网关的集中管理和统一调度。自动编排策略并下发至各网关执行点,实现动态访问控制和内部网络隐藏,支持前端(客户端到网关)流量加密、后端(网关到应用)流量加密。
4) 环境感知中心
负责对终端身份进行标识,对终端环境进行感知和度量,并传递给策略控制中心,协助策略控制中心完成终端的环境核查。通过用户行为分析中心和环境感知中心,建立信任评估模型和算法,实现基于身份的信任评估能力。
5) 策略控制中心
负责风险汇聚、信任评估和指令传递下发;根据从环境感知中心、权限管理中心、审计中心和认证中心等获取的风险来源,进行综合信任评估和指令下发;指令接收及执行的中心是认证中心,以及安全防护平台和安全访问平台。
项目逻辑架构设计
图3 零信任逻辑架构
零信任服务体系架构分为主体区域、安全接入区、安全管理区、及客体。整个逻辑结构展示了主体访问到客体的动作,通过安全接入区对主体的访问进行安全接入控制与策略管理。最终实现动态、持续的访问控制与最小化授权。
总体部署结构
图4 总体部署结构
业务应用场景
1) 基于数字证书的移动办公场景
本项目中有超过20 万的用户使用移动终端访问商网移动办公系统,如何保证移动终端用户身份认证安全和重要数据完整性安全是移动办公安全的基础和重点。通过在内部云建设部署PKI/CA 体系,为移动终端提供移动发证服务。用户通过PKI/CA 体系提供的密钥分离、协同签名等防护技术,可自助申请个人证书和设备证书,实现基于密码技术的数字证书认证和数据完整性保护。移动终端中不会存储完整的密钥信息,可以防止个人移动终端丢失造成的身份冒用、数据泄密等风险。
2) 基于终端环境感知的持续信任评估场景
通过终端设备安装的环境感知模块,零信任平台可持续感知终端设备的物理位置、基础环境、系统环境、应用环境等多维度的安全环境,并根据终端环境变化和安全策略配置,评估终端设备的可信任程度,根据信任程度对终端执行二次认证、升级认证及阻断连接等访问控制行为。
3) 纵深防御场景
在纵深防御场景下,在每个执行点都要进行动态鉴权。动态鉴权主要提供权限的动态自动授予,动态鉴权综合考虑终端环境、用户行为、身份强度等多种因素进行动态计算,为访问控制引擎提供动态的授权因子。权限系统根据动态的授权因子,对外部授权请求进行实时授权处理,基于授权库的多维属性和授权信息引擎提供的实时信息反馈进行授权判断。
三、 优势特点和应用价值
方案实现效果
方案采用领先的零信任安全架构解决集团数据访问的安全性问题,为集团树立行业安全标杆,重构信息安全边界,从根源上解决数据访问的安全性问题。在建设完成之后,可以实现如下的安全能力:
1)具备终端环境风险感知能力
办公终端安装终端环境感知Agent(Windows 版本、VMware 云桌面版本),通过终端环境感知Agent 对员工的办公终端提供覆盖基础安全、系统安全、应用合规、健康状况的四大类感知,一旦检测到安全风险,立即上报至智能身份分析系统。
2)具备多维度身份安全分析能力
通过构建智能身份分析引擎,结合各类系统的登录日志、访问日志、态势感知平台的异常事件、终端环境感知中心报送的环境风险等信息,提供信任评估能力。依据建立的行为基线,对所有用户的访问请求进行综合分析、持续评估。
3)具备动态访问控制能力
通过构建安全认证网关作为数据层面业务访问的统一入口、动态访问控制策略的执行点;构建零信任网关控制台作为控制层面的访问控制策略决策点;通过环境感知Agent 对用户的终端进行全方位多维度感知,确保用户的终端环境安全及安全风险感知上报;构建智能身份分析系统的用户行为进行多维度分析,进行信任评估并上报至零信任网关控制台进行决策,实现动态访问控制的整体逻辑,具备动态访问控制能力。
4)具备全链路的访问安全加密授权能力
所有的访问请求都会被加密,采用TLS 传输加密技术,可通过传输数据的双向认证防止中间人攻击。所有的访问请求都需要认证,每个访问请求都需要携带token 进行身份的认证,认证通过后在下一次访问仍然会重新认证,避免了原有的一次认证就可以访问所有资源带来的安全风险,达到持续认证持续授权,实现访问的最小化原则。
项目运行状态
1)业务持续优化
自2020 年2 月航空工业商网零信任安全管理平台正式投入使用以来,截至目前,平台注册单位四百余家,覆盖全部三级(含)以上单位,注册用户已超过20 万人,日活(每天登录平台使用)超10 万人。疫情防控期间,更是通过云报送功能,时刻掌握每位员工疫情期间的体温信息。
2)安全防护提升
航空工业商网零信任管理平台部署投入使用后,互联网的攻击接踵而至,绝大部分是针对移动办公业务系统的。截止目前,共处置突发事件3 起,均对攻击行为完美监控并及时阻断和持续监测。在事件处理过程中,基于零信任技术架构的主动防护体系提供了较传统网络安全防护架构所不具备的安全性。其中,基于密码技术的身份鉴别与数据保全起到重要作用。攻击者针对业务系统及数据库,从身份上已经不具备访问业务系统及数据库的权限。即使通过数据库注入的方式,产生注入的行为流量被数据库审计及态势感知平台第一时间定位告警。其次,通过密码技术对重要数据进行了机密性和完整性保护,使攻击者即使成功完成注入,也无法获取业务系统数据信息及篡改商网的数据内容。
对各类攻击的源IP 地址进行分析后发现,大部分为国外IP 地址,明显的说明国外的黑客组织视我国军工行业敏感数据为首要攻击目标。而零信任技术的应用,针对的就是用户主体对客体的持续信任评估和动态的访问控制,有效的保证了集团数据的安全性和业务应用的持续性。
项目推广价值
1)首个零信任应用示范项目
航空工业商网零信任管理平台作为中航工业集团乃至军工行业及大型中央企业集团总部内首个采用新型“零信任”技术部署应用来统一支撑全集团日常办公的平台,为军工行业和中央企业响应落实国家“数字化转型”战略,迈出了坚实的第一步,其示范意义重大。
各军工集团和大型中央企业集团总部通过借鉴“零信任”架构的应用模式,结合自身集团的业务现状、管理手段、生产管控机制、信息化建设及防护措施,将新技术应用到集团的业务工作开展中,提高企业的办公效率。同时,加快推进全行业的数字化转型进度,为未来新型基础设施建设中的大数据中心及工业互联网建设中,提供更加安全的主动防御网络架构。
2)支撑疫情常态化防控
疫情防控期间,航空工业依托商网办公平台、视频会议系统等数字化技术为集团提供有效沟通联络渠道,充分运用信息化手段,提升信息传达能力,快速支撑集团掌握全员基本信息、分布区域及身体状况;为响应疫情防控要求,减少召开现场会议,降低人员聚集感染风险,实现随时音视频连线功能,快速掌握疫情防控、复工复产等情况;帮助各单位有效落实疫情防控部署、支持各单位快速有序推进复工复产。
商网零信任架构模式可在各军工集团和大型中央企业集团总部推广,在疫情防控常态化的态势下,推行零信任安全架构建设,改造提升传统产业,培育数字产业,落实落地数字化转型战略,围绕办公、党建、教育培训、业务协同等场景,开发实施云会议、在线学习、云直播、云党建、云工会、移动考勤、安全巡检、访客登记管理等应用,满足远程办公、移动办公、业务协同等高效、便捷的工作场景需求。
四、经验总结
本项目完全践行零信任理念开展建设,工期短、任务重、可借鉴经验少,对集团信息化建设部门和格尔公司都是极大地挑战,同时也是完善集团商网全新安全架构体系的最佳机遇。在集团和格尔公司的共同努力下,在规定建设时间内完成了零信任体系的全面建设,实现了集团商网用户的统一身份管理、统一授权、统一认证、统一审计,同时融合PKI 体系,提供移动端APP 证书签发、签名验签、证书登录等功能。零信任平台整合了商网资源及业务系统,打造成为统一身份中台功能,给集团及成员单位提供应用上云的身份集成服务,实现以商网办公平台为基础的安全可靠的业务访问,在实际使用中获得了领导和同事的一致好评。
在零信任平台建设成功的同时,我们也总结经验,展望新的技术实现和新的业务拓展。商网零信任平台后期将向平台容器化部署模式逐步转化,同时也考虑与应用的深度联动,实现应用敏感操作的二次认证等拓展业务,更好的为商网提供安全、便捷、贴心的服务。
以上案例由CSA大中华区理事单位格尔软件提供