疫情背景下远程办公安全解决方案设计

［程晓海 严晓华 黎彦玲］

随着业务系统的集约化建设、云化部署，业务应用的数字化、移动化，大量企业开始开放远程办公，尤其是近年来全球受新冠疫情疫情影响，居家、隔离等防疫措施，迫使大规模/全员远程办公成为新常态。在网络安全形势日益严峻的大环境下，远程办公带来的安全风险也逐渐升级，因此，如何安全、便捷地支撑企业远程办公，成为当前亟待重点解决的问题。

2.1 当前现状分析

随着信息化建设不断深入，企业的业务更加开放，访问用户更加多元化；
集团型企业对业务系统采取集约化建设，访问呈现多分支；
云技术发展，使业务部署更分散；
移动化，近50%的业务通过移动化方式发布。技术、应用的演进，尤其是全球新冠疫情爆发后，远程办公模式迅猛发展。据DCMS 称，将近32%的英国企业正在使用VPN 来方便远程访问。

随着业务纵深发展，企业办公网络所处的环境也越来越复杂。端类型，从内网PC 为主，演变为云桌面、笔记本、手机端等移动终端；
业务访问角色，从内部员工为主，演变为内外多重角色；
业务系统类型，从C/S 业务为主，演变为B/S、APP、H5 等多形式业务占绝对主导地位。

2.2 问题与痛点分析

2.2.1 业务暴露面大,被攻击风险高

随着企业网络的物理安全边界越来越模糊，访问需求的复杂性越来越高，企业内部资源的暴露面呈现不断扩大趋势，这非常容易因业务系统本身的脆弱性（如漏洞、弱密码等），遭受黑客攻击。

2.2.2 接入终端缺乏管理，安全不可控

远程办公场景下，存在大量公网终端，因无法加入域控环境，企业难以集中管理，安全状况良莠不齐。当终端同时访问内网与互联网时，容易作为跳板对业务造成威胁。

2.2.3 多重认证，安全性弱、用户体验差

由于缺乏有效的管理和技术手段，账号密码被冒用、泄露风险高，爆破成本低，容易造成业务被入侵。

传统远程接入与业务系统认证相互独立、割裂，用户需多次认证才能使用业务，用户认证体验差。

2.2.4 数据易泄露，后果严重

企业信息化和大数据的快速发展，越来越多重要核心数据在业务系统集中存放，因此成为攻击目标。在远程办公场景下，这些数据更容易被攻破、泄露，给企业或社会造成损失。

2.2.5 安全监管要求越来越高

随着安全形势日趋严峻，国家和行业管理部门对企业安全的监管力度逐步加强，如公安部每年的攻防演练、工信部的安全漏洞扫描，推动企业主动做好防护和加固。

传统企业网络在构建安全体系时，主要是基于边界安全的理念，即：在企业网络的边界部署IPS、防火墙、WAF、等安全设备，用来防范来自企业网络边界之外的攻击。近年来，随着移动化、上云和软件即服务（SaaS）三大趋势，尤其疫情爆发后，远程办公规模化、常态化，传统网络边界模型已无法满足当前新要求，零信任安全策略逐渐被采纳。

3.1 零信任相关概念

零信任既不是技术也不是产品，而是一种安全理念。零信任理念强调：“Never Trust、Always Verify”。根据NIST《零信任架构标准》[1]中的定义：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定网络环境已经被攻陷的前提下，当执行信息系统和服务中的每次访问请求时，降低其决策准确度的不确定性。

3.2 软件定义边界（SDP）

软件定义边界SDP 是实践零信任安全理念的技术架构与方案。企业可以通过部署SDP 产品或者解决方案来实现零信任安全理念中的原则。SDP 的网络隐身技术可以很好实现Never Trust 原则。与传统TCP/IP 网络默认允许连接不同，在没有经过身份验证和授权之前，服务器对于终端用户是完全不可见的，从By Default Trust 变成Never Trust。SDP 是一种快速高效的零信任安全实践技术架构。[2]

3.3 SPA 单包授权

SPA 单包授权是SDP（软件定义边界）的核心功能，在允许访问控制器、网关等相关系统组件所在的网络之前先检查设备或用户身份，实现零信任“先认证再连接”的安全模型。SPA 单包授权的目的是允许服务被防火墙隐藏起来，防火墙默认丢弃所有未经验证的TCP 和UDP 数据包，不响应那些连接请求，不为潜在的攻击者提供任何关于该端口是否正被监听的信息，进而实现“网络隐身”。在认证和授权后，用户被允许访问该服务。[2]

4.1 方案主要目标

基于零信任安全理念，组合网络安全、终端安全、数据安全、身份识别等多种技术，构建新型零信任安全架构。即：将设备信任和用户信任作为架构的基础，通过对访问过程的持续评估，确认访问行为的可信度，并对访问行为进行自适应的访问控制。该架构用于取代逐渐不适应当前安全要求的传统安全架构。

4.2 典型安全方案设计

本设计方案以零信任为原则，重点解决远程办公的“三项安全痛点”：访问控制安全、链路安全和终端安全。将企业网络内部和外部的任何设备、访问者、和业务系统均视为不信任，体系化的设计新型的访问控制，构建新的信任基础。[3]

首先对现网业务系统进行综合评估，根据业务模型和场景，确定方案的主要功能需求；
根据交互量和并发数确定建设规模和能力。本文的场景确定为：企业有一个总部（构建私有云服务）和一个物理上分开的分支机构，并拥有企业自己的内网。主要功能确定为：网络隐身、最小授权和高效访问共三项，系统性能满足4000 用户并发的需求。企业实际运用中，具体设备选型可结合解决方案厂家的产品实际，选择具有集群功能、可平滑升级迭代的产品，并考虑架构能够适配安全技术与措施不断演进发展。

4.2.1 方案架构设计

方案整体架构基于零信任理念的SDP 架构实现（如图1 所示），核心零信任产品组件由控制中心、代理网关、客户端、分析中心四大部分组成。[4]

图1 架构设计图

控制中心：它是调度与管理的中心，负责认证、授权、策略下发与管理。通过给网关发送控制指命，控制建立连接和切断用户与应用之间的通信连接。[3]

代理网关：它位于客户端和应用资源之间，负责建立、监视终端用户与应用资源间的连接，并负责在必要时切断这种连接。上述功能的实现，是通过它与控制中心之间的信息通信，接收控制中心所发出的指令和策略来实现的[3][4]。

客户端：系统在客户端应具备在PC 和移动端两类，并且移动端APP 和PC 客户端均可支持SSL 隧道的访问。开启SPA 服务隐身后，只有授权过的客户端才能连接控制中心和代理网关，才能进行认证、授权、和代理访问。[5]

分析中心：负责日志采集、存储及分析。日志接收存储引擎和安全分析引擎，通过分析，识别系统安全风险，以风险告警形式提示管理员，支持可视化处理。

4.2.2 部署方案设计

购置2 台零信任网关，分别部署在企业所属网络的出口节点和私有云节点，实现内外部网络隔离，并实现对所有访问请求的记录，如：访问资源的URL 路径、源IP 地址和目标IP 地址，同时还可以实现对日志审计的支持。[5]

购置1 台零信任控制中心，部署在零信任网关前，实现对系统的管理、控制和日常维护。如图2 所示。

图2 部署方案设计示意图

主要功能效果：

（1）网络和业务隐身：SPA 单包授权技术与应用访问代理配合，实现网关自身和应用资源的双重隐藏，让企业“网络隐身”。

（2）可信终端管理：①终端身份认证，用户和设备双重认证；
② 可信环境感知，终端安全基线检测；
③动态授权控制，终端威胁异常，禁止访问。

（3）统一入口，集中导航，高效访问。支持

静态密码、动态口令、生物识别等多维身份认证方式，实现单点登录，提升用户认证的安全性和体验性。

表1 性能指标需求表

4.3 主要功能设计

4.3.1 网关和业务隐身功能

支持基于SPA 单包授权技术的隐身功能，服务器仅允许授权用户使用可信客户端访问被保护业务，否则，不可见，也不能连接（如图3 所示）。避免攻击者对服务器进行漏洞扫描、爆破等恶意攻击。

图3 网络/业务隐身示意图

用户通过在安全的网络环境登录获取TOTP 种子，或者通过管理员分发“SPA企业专属客户端”获取TOTP种子。当用户需在不安全网络环境登录系统时，就可以通过种子计算出动态令牌加入https请求中，服务器校验令牌合法性，如不合法，就不响应该请求。

网关隐身：采用控制面和业务面分离，先验证才连接。默认不开放任何TCP 端口，SPA 敲门验证通过后，才开放端口，实现网络隐身。

应用隐身：只允许验证通过的设备和用户连接，否则应用不可见，不可连接，实现应用隐身。

4.3.2 最小授权访问

动态按需最小授权，基于可信的用户身份、访问终端、上下文信息、流量内容等多维信息，按照更精细的颗粒度实施风险度量，并根据度量结果进行授权，以此达到进行动态访问控制的效果，确保只有可信的用户、终端设备，才能实现对应用的可见、可连接和可访问[6]。

在用户和资源之间，综合身份、设备、行为等维度的风险信息，通过智能分析和动态访问控制，进行持续风险和信任等级评估[7]，在业务系统全场景实现放行、阻断、自适应认证、权限收敛等自适应处置。人机绑定，确保用户和设备双重可信，防止账号窃取/仿冒攻击。

4.3.3 高效访问

统一入口：与已有4A 快速对接，一个账号打通所有应用，统一账号登录。与4A 实现单点登录，4A 与应用实现单点登录。登出一键注销，用户应用会话统一管理，无感登出，统一注销。

集中导航：应用集中展示，根据用户权限，自动展现用户应用列表，隐藏无权限的应用，可与现有门户快速集成、复用。

智能自动选路：多数据中心场景，控制器告知终端应用对应网关地址，实现自动选路；
网关集群场景，负载均衡自动选路[8,9]。

图4 高效访问

4.3.4 数据更安全

通过基于SPA 单包授权技术，实现网关、业务隐身，并通过最小授权实现终端可信，大大降低了资源的可见性，实现对业务和服务的有效防护，防止被攻击或成为攻击目标。保障数据更安全的存储、传输和使用。

4.3.5 契合安全监管要求

基于零信任的远程办公安全解决方案，相较于传统案，符合当前的技术演进方向，并显现了更强的安全效果，契合国家和行业管理部门对企业安全的监管的要求。不仅可以在公安部的攻防演练、工信部的安全漏洞扫描中取得良好效果，更可以在实际应用中实现有效的防护。

4.4 方案成效

4.4.1 有效支撑疫情下企业远程办公

零信任作为备受认可的技术趋势，其在远程办公场景下的安全防护效果有目共睹。随着全球疫情爆发并长期持续，远程办公成为企业运转的常态，在此背景下，越来越多的政府、企业在落地应用该技术，据中国信通院调查显示，政府机关、信息技术服务业、金融业、制造业作为排头兵，零信任应用占比靠前，总占比达53%。

4.4.2 最小化暴露面，保障业务安全

暴露面全面收缩，通过“先认证，再接入”将业务收缩到内网，实现客户端准入前，端口暴露数量为0。网络、应用资源的双重隐身[10]，可以有效阻止攻击者/黑客对企业的网络、业务资源的扫描、探测和攻击。

4.4.3 身份可信，终端持续安全

对终端实现集中管控，保证访问业务的终端符合一定的安全基线；
通过对终端环境及用户行为持续安全监测，通过中断访问或进行增强认证，有效保障终端安全。通过以身份为基础的动态访问控制和最小授权原则，构建端到端的逻辑边界，解决了传统边界防护内网被横向击穿隐患。

4.4.4 集中导航，认证体验好

实现零信任与业务的单点登录；
结合动态访问控制策略，配置双因素认证方式，满足等保合规、安全接入要求。减少密码被窃取、爆破等安全风险，支持用户内外网一致访问体验。系统试点应用6 个月，用户满意度提升5.6 个百分点。

本文主要研究设计零信任解决方案，解决当前疫情下多数企业开放远程办公的安全问题。通过部署零信任安全网关和控制中心，实现网络隐身、最小授权、高效访问，通过实际网络应用，方案达到了保障远程办公安全的目标。本方案高效、便捷，可适用于中等规模企业开放远程办公场景的安全保障需求，具有借鉴和推广意义。