白皮書下載1、概述
在傳統的安全模型中,將網絡劃分為不可信(untrust)和可信(trust)兩個區域。在這個安全思想下,安全是基於網絡的位置來定義的。用防火墻或網絡設備上ACL將網絡切分邊界,進行隔離,從不可信網絡進入到可信網絡的數據包,要經過防火墻的檢查,規則允許下才會被放行。如果遠程辦公用戶或分支機構等需要接入企業內部網絡,需要通過VPN的方式。
這類方式在初期的時候是有效的,因為當時的網絡規模不大,業務也不復雜,很好的阻斷了蠕蟲類攻擊傳播和一些未授權的訪問內網用戶默認享有較高的網絡權限,VPN在整個網絡系統中也發揮着積極的作用。但隨着雲計算、移動互聯、物聯網、人工智能、大數據等新技術的不斷湧現和發展,更多的安全問題也接連不斷,再加之網絡攻擊的手段不斷變化,網絡安全面臨着空前的挑戰,主要有以下問題:
1)邊界模糊化
在傳統範式下,網絡邊界相對固定,受信任的內網有防火墻之類的安全設備進行保護,但這個範式已被虛擬網絡所取代,並且過去的網絡協議也被認為不是原生安全的,在護網行動中,傳統的VPN設備多次暴露安全漏洞,就是最能直接說明問題的。此外,大量的移動和物聯網設備對傳統固定邊界網絡的本質帶來了挑戰。加之雲的引入,BYOD的發展應用、機器到機器的連接、遠程訪問的增加,使得網絡邊界越來越模糊化。
2)集中控製面臨挑戰
當前,集中控製需收集多種日誌數據,然後通過SIEM或者SOAR技術進行分析實現,另外網絡連接的初始信任很難實現,在防火墻允許通過訪問之前集成身份管理是一項非常消耗資源的任務,通過訪問控製、身份管理、令牌管理、防火墻管理等多種手段為單個應用程序提供安全控製的能力是目前一個巨大的挑戰。
3)信任評估能力缺失
現有安全監測手段不具備匯聚端側、網絡側、工作負載側等的以綜合風險分析和信任評估為基礎的縱深安全評估的能力,傳統的方式多為靜態的事後審計,無法在威脅情況出現初期就立刻做出有效應對,亡羊補牢的安全防護方法給用戶帶來了巨大損失。
4)缺少統一的認證機製
現有網絡系統中,幾乎所有內網接入和外網接入都使用不同的網絡設備和安全接入機製,賬號管理獨立、混亂,認證機製混雜,邊界接入點分散,認證授權不統一,容易發生單點突破風險。
為了解決上述問題,零信任安全架構應運而生。2010年,Forrester 分析師約翰.金德維格正式提出零信任安全概念,其核心思想是企業不應自動信任內部或外部的任何人/事/物,應在授權前對任何試圖接入企業內部的人/事/物進行驗證。其核心原則是“從不信任、始終驗證”。谷歌在2011-2017年間,在內部實施落地 Beyond Corp 項目,落地零信任,引發眾多公司效仿。Gartner 在2017 年安全與風險管理峰會上發布CARTA模型,後續兩年又發布了 ZTNA 市場指南;2020 年8月美國國家標準技術研究院發布 SP800-207零信任架構正式版。
迪普科技自2019年開始,就投入大量研發持續研究零信任解決方案和相關產品,以軟件定義邊界(以下簡稱:“SDP”)為核心理念,以五個假設為前提:1)應該始終假設網絡充滿威脅;2)外部和內部威脅每時每刻都存在;3)不能僅僅靠網絡位置確認信任關系;4)所有設備、用戶和應用都應被認證和授權;5)訪問控製策略不能固定不變,應盡量基於多的數據源進行動態評估。實現了具備基於身份統一權限劃分、訪問控製動態調整、信任等級持續評估等功能的零信任安全系列產品。
2、產品介紹
2.1整體架構
圖 2-1 ZTS整體框架圖
如圖2-1,ZTS整體架構由零信任安全客戶端ZTS-C、統一安全管理平臺ZTS-M以及安全應用代理系統ZTS-APX組成,結合可擴展的終端環境感知管理平臺XDR-M和統一身份認證中心ZTS-ID可實現基於身份、終端、環境的統一授權以及動態權限調整等功能。用戶訪問內網資源需要安裝ZTS-C客戶端,輸入接入地址、用戶名、密碼進行單包敲門認證,除此之外,客戶端還具備數據加密和環境感知等終端安全功能;ZTS-M負責校驗ZTS-C的單包敲門認證信息,以及對ZTS-APX進行有效的策略調度,其自身具備賬戶管理和校驗功能。ZTS-M還可以和外置身份認證系統進行對接,實現統一身份認證和單點登錄等功能。為了增加對應用的安全防護能力,ZTS-APX和ZTS-C之前也同樣采取單包敲門認證的方式,認證成功前,不開啟任何業務端口,認證通過後,依據用戶的角色、信用、終端安全情況等級多維度信息進行動態調整的策略調整,判別用戶的可訪問資源和產品部件。
圖 2-2 ZTS客戶端界面圖
零信任安全客戶端:簡稱ZTS-C,如圖2-2所示,目前支持Android 、IOS、MACOS、Windows系列等主流操作系統,可實現終端統一身份認證、數據安全加密、終端環境感知、終端黑白名單感知等功能、同時配合XDR-M可擴展實現終端桌面管控以及終端數據防泄漏等功能。
統一安全管理平臺:簡稱ZTS-M,是零信任解決方案的大腦,默認只對客戶端開放一個特定UDP端口,只接受SPA單包敲門報文,然後根據用戶信息、終端信息、接入時間、接入位置等信息進行身份認證,認證接入後,在整個訪問過程中都會對用戶行為進行實時監控和信用等級的持續評估,比如:連續輸錯用戶密碼、規定的應用軟件被卸載或沒有安裝、非工作時間接入網絡、接入位置從常駐工作地換到其他位置等;ZTS-APX會根據不同信用等級區分不同的訪問資源,訪問主體每次訪問資源時,系統都會根據身份標記判斷信用等級,依據信用等級的高低,對可訪問資源進行動態的調整。
安全應用代理系統:簡稱ZTS-APM,是軟件定義邊界中負責邊界安全的產品,所有用戶流量經過安全應用代理系統進行轉發,安全應用代理系統針對每個用戶的防護進行安全校驗,與客戶端建立SSL隧道,實現用戶數據的安全傳輸,安全應用代理系統支持硬件和軟件兩種形態,支持不同環境下的零信任安全防護部署。
圖 2-3 ZTS-ID功能框架圖
身份認證系統:簡稱ZTS-ID,身份認證系統支持多種安全認證方式,具備身份管理、權限管理、單點登錄等功能,單點登錄支持Oauth、SAML、openID、base、form、httpheader、CAS等多種協議的對接實現。
2.2 工作流程
圖 2-4 ZTS產品工作流程圖
迪普零信任安全安全代理系統使用SDP方式實現,采用兩次SPA單包敲門來保障內網業務的安全性,具體流程如下描述:
1)客戶單安裝ZTS-C客戶端,客戶端下載流程通過郵箱方式發布。
2)客戶端在敲門之前唯一可達的端口為ZTS-M的敲門端口,使用UDP方式實現,在敲門成功之前管理平臺和代理系統不對客戶端開放任何TCP端口,以保障系統自身以及內網資源的安全。
3)ZTS-M解析單包敲門的內容,用於校驗敲門終端是否合法,敲門內容包含用戶唯一ID、終端環境信息、終端風險信息等。
4)在有4A系統的情況下,和4A系統進行交互,校驗用戶名密碼。
5)4A系統根據用戶信息返回認證結果,4A系統不采用標準的Radius協議,也支持通過定製開發的方式和4A系統對接。
6)校驗通過後,ZTS-M根據客戶端信息選擇合適的ZTS-APX,將代理系統信息通知客戶端,同時將認證通過的客戶端信息也告知代理系統,代理系統臨時打開針對此IP地址的敲門端口。
7)ZTS-C第二次發送敲門信息,敲門成功後,代理系統開放建立隧道的端口,客戶端和代理系統建立加密隧道。
8)代理系統基於用戶身份放通最小權限的資源,同時根據終端信息和安全日誌信息動態調整用戶安全策略。
3、功能介紹
3.1統一身份認證
支持內、外網使用同一套身份賬號進行統一的身份認證方式,零信任解決方案的核心功能實現主要包括:身份驗證和用戶數據加密,加密技術則采用隧道方式,在內網實際使用環境中,實現隧道加密投資成本較高,ZTS-C支持針對不同接入用戶動態調整加密策略,可自動選擇采取隧道或是數據加密方式進行接入,用戶接入全程采用動態授權方式,自動綁定用戶終端信息,針對終端的變更、用戶的異常行為能夠實時感知,進而實現統一身份認證、動態準入、精準安全,具體認證流程如下圖3-1所示,每次單包敲門認證都需要用戶主機信息進行校驗,在主機環境發生變化的情況下,會依據動態信用機製,調整用戶信用等級,當異常行為達到上限用戶信用等級下降到阈值時,即使用戶名和密碼正確,訪問接入也會被限製。
圖 3-1 終端認證流程
3.2集成TOTP令牌二次校驗
圖 3-2 動態令牌管理
系統使用過程中,靜態用戶名和密碼很容易泄露或仿冒,簡單的靠靜態用戶名、密碼則無法有效保障用戶接入的安全性,采取動態口令認證的方式則可有效的解決此類問題,動態口令有多種方式,包括:短信口令驗證、基於事件的動態口令HOTP、基於時間的動態口令TOTP等,ZTS-ID和ZTS-M支持與外部動態口令系統等進行對接,進而實現多因素身份認證(MFA)。
ZTS-M自身還集成了基於TOTP的口令分發和校驗功能,可通過用戶綁定郵箱,動態下發二維碼口令,如圖3-2所示,每個用戶的二維碼口令均是獨一無二的。如采用類似Google的身份驗證器可以生成基於TOTP的動態令牌,進而減少用戶建設二次動態口令系統的成本。
3.3終端環境感知
傳統安全防護方案主要是針對網絡流量進行識別防護,建立安全邊界,缺少端到端的安全保障機製,ZTS-C支持全息終端環境感知,包括:終端基本信息采集、終端進場感知、黑白名單信息、終端漏洞、終端補丁信息、終端殺毒軟件信息等,並可通過XDR技術,發現終端未知威脅行為,通過XDR-M和ZTS-M聯動,實現終端環境的全方位探測。
3.4終端桌面管控
通過ZTS-M和XDR-M聯動,可實現對終端桌面的安全管控,針對終端的異常行為等第一時間進行處理處置。
集中管控:策略統一下發,數據統一匯總,終端統一升級,桌面壁紙屏保統一設置,終端漫遊管理。
安全管理:支持補丁管理、安全基線管理、權限管控等功能。
外聯管控:支持網絡訪問控製、違規外聯管理、移動存儲管理等管控策略。
行為審計:支持主機監控、上網審計、即時通訊審計、文件操作行為審計等功能。
補丁管理:檢查速度快,結果準確;補丁安裝速度快,智能安裝與重試機製,成功率高;支持補丁回退與藍屏自動回退修復;大數據量情況下,報表與查詢速度穩定;支持隔離網絡環境下的補丁自動下載安裝;支持與WSUS集成,支持Win10;能自動統計終端補丁程序安裝率。
3.5持續安全等級評估
ZTS-M針對終端可以配置多種調整信用等級的規格,根據不同的時間、動態調整安全等級,安全等級和安全事件的規則支持用戶自定義,支持的安全事件包括:
密碼錯誤:多次密碼輸入錯誤後,系統會降低用戶的信用等級,避免暴力破解。
接入位置變更:單位時間內連續發生位置變更,為避免利用肉雞越權訪問,進行非法訪問,系統會降低用戶的信用等級。
僵屍用戶:針對本地配置的用戶,如果常時間不使用,系統會自動註銷用戶訪問權限,可通過信用等級的調整直接註銷,也可以逐步縮小用戶權限。
二次認證失敗:在沒有令牌身份或短信驗證的情況下進行身份仿冒,即使用戶名、密碼泄露也不能認證通過,可以有效防止窮舉攻擊。
必要程序未安裝:當用戶終端在必須安裝的殺毒軟件或者安全程序沒有安裝時進行業務訪問,會對內網資源造成一定的威脅。
超時訪問資源:在未授權時間進行資源的訪問。
掃描行為:掃描是攻擊的首要步驟,ZTS-APX支持發現終端掃描行為並產生告警,如果持續掃描多個終端,有可能是感染木馬或者被非法利用。
訪問未授權資源:對多次嘗試越權訪問未授權資源的行為進行審計和考核。
告警日誌:針對累積超過一定數量或者連續發生告警的用戶進行信用等級調整。
3.6動態策略調整
圖 3-3 動態策略配置
如圖3-3,ZTS-M支持基於用戶、用戶組、用戶網關、時間、信用等級進行策略匹配,針對相同的用戶可以配置不同的信用等級,不同的信用等級可以對應不同的資源,比如用戶A,信用等級為A時,可以訪問財務系統、OA系統、ERP 系統;信用等級為B時可以訪問OA系統、ERP 系統;信用等級為C時只可以訪問OA系統;信用等級為D時則不能訪問任何系統,即使有合法的身份,但因為違規行為發生較多,導致無法正常訪問業務系統,客戶可根據不同系統的重要程度,配置不同的安全等級,在保障安全的前提下,實現動態控製訪問。
3.7RBAC權限管控
ZTS-M系統支持RBAC(Role-Based Access Control,基於角色的訪問控製),融合了基於多屬性的角色授權管理機製,可將角色賦予給不同的用戶組,用戶組可關聯多維屬性及多維策略,實現健全的以身份為中心的權限管控機製。
3.8單點登錄
ZTS-M和ZTS-ID相結合,可實現單點登錄功能,根據具體的業務需求,基於OAuth2.0協議實現與統一用戶身份中心的認證授權對接,支持單點登錄的方式包括:
■ Form_Base方式:通過模擬用戶的輸入,完成用戶名和密碼的代填。
■ CAS方式:一種開放認證協議,為用戶提供基於令牌式的安全認證,支持跨域和單點登錄,一般用於移動應用單點登錄實現。
■ SAML方式:標準聯邦認證協議,通過IDP和SP進行單點登錄,支持跨域認證和單點登錄。
■ Http Header方式:通過HTTP Header傳輸用戶名、組到應用,應用要獲取USER ID 或其他信息完成登錄。
4、產品優勢
4.1網絡真隱身
有別於其他廠商的SPA單次敲門技術,我司ZTS產品基於兩次SPA單包敲門技術,將首次安全訪問放入安全緩沖區,不直接由ZTS網關兼管,可實現應用真隱身,極大的縮小了應用的網絡暴露面,能夠大幅消減端口掃描、DDoS等多種網絡攻擊。
4.2 融合客戶端
提供融合集成EDR、ZTS的融合客戶端功能,可兼容信創、Windows、Linux、Android、iOS等操作系統。
4.3 持續信任評估
可將終端環境信息進行實時上報能力,並結合上報信息、用戶行為等綜合計算訪問主體安全級別,對訪問主體進行風險評估及信任打分。
4.4 動態訪問控製
可依據持續信任評估結果,聯動身份、權限等模塊,生成動態訪問控製策略,並下發至ZTS網關執行。
4.5 雲管平臺聯動
ZTS管控系統可與雲管平臺做聯動,通過持續的信任評估以及用戶行為分析等對雲管平臺其他安全產品進行動態策略下發。
5、產品部署說明
統一安全管理平臺ZTS-M建議采取旁路方式部署於DMZ區域或安全管理區,需在防火墻上開啟特定UDP端口,並做端口映射。
安全應用代理系統ZTS-APX采取串聯模式部署在應用前端,配置需要代理訪問的應用URI或IP地址和端口號等。
統一安全管理平臺ZTS-M,主要進行主機認證和策略下發,通過安全控製信道與安全應用代理系統ZTS-APX進行交互。
6、服務支持
|
支持方式 |
聯系方式 |
支持時間 |
|
服務專員 |
專屬服務 |
7x24小時響應 |
|
電話支持 |
400-6100-598 |
5x8小時響應 |
|
遠程支持 |
通過遠程協助解決 |
7x24小時響應 |
7、公司簡介
杭州迪普科技股份有限公司(簡稱“迪普科技”) 以“讓網絡更簡單、智能、安全”為使命,聚焦於網絡安全及應用交付領域,是一家集研發、生產、銷售於一體的高科技上市企業(股票代碼:300768)。
作為國內信息安全產業的重要廠商之一,迪普科技是國家信息安全漏洞庫一級技術支撐單位、信息安全標準化技術委員會成員單位、中國網絡安全產業聯盟常務理事單位。同時,公司獲得國家知識產權優勢企業、國家重點軟件企業、國家高新技術企業等多項榮誉。
自成立以來,迪普科技堅持技術創新。公司擁有一支專業的軟件開發及硬件邏輯開發團隊,打造了獨有的高性能分布式轉發硬件架構和L2~7融合式操作系統。在此基礎上,依托於安全研究團隊十多年以來在攻防研究、漏洞挖掘、威脅情報分析、安全事件響應等技術積累,公司開發了具有自主知識產權的安全大數據處理引擎與AI智能分析引擎,結合主/被動安全檢測、威脅情報、攻擊建模等先進技術,構建了包括自安全網絡、安全檢測、安全分析、安全防護、安全服務、應用交付在內的產品體系,為客戶提供全場景網絡安全解決方案。
在雲計算、大數據、物聯網、工業互聯等新技術蓬勃發展的當下,迪普科技憑借在產品研發、安全研究及服務方面的深厚積累,率先推出高性能、高融合的雲級業務核心平臺及以此為基礎的雲安全解決方案;率先推出以“接入可信、行為可控”為理念的物聯網安全管控解決方案;創新性的推出了“可視、可防、易運維”的自安全園區網解決方案。迪普科技致力於幫助各行各業客戶構建新一代網絡安全威脅感知及防護體系,實現威脅可視、智能溯源、自動防護;通過風險評估、安全保障、安全加固、應急響應、攻防演練、安全培訓等專業服務,為客戶提供全生命周期的安全運營保障。
迪普科技的用戶覆盖了政府、運營商、電力、能源、金融、交通、教育、醫療、企業等在內的各行各業,並承擔了G20、APEC峰會、世界互聯網大會等重大活動的網絡安全保障支持。未來,迪普科技將繼續在網絡安全及應用交付領域持續投入,不斷完善產品與解決方案,為客戶創造更大價值。
