【零信任落地案例】启明星辰中国移动某公司远程办公安全接入方案

1方案背景

电信运营商作为大体量通信骨干企业，承担着国家基础设施建设责任，具备 为全球客户提供跨地域、全业务的综合信息服务能力和客户服务渠道体系。电信 运营商安全体系建设相对于其他行业，具有专业深、覆盖广、安全能力丰富等特 点，整体覆盖数据安全、应用安全、网络安全、基础安全等多方面。始终以搭建 体系化、常态化、实战化的安全防护体系为抓手。尤其是在账号、权限的统一管 理上，已经搭建了一套4A平台上，建设了一套适合电信运营商自身业务发展的 统一安全管理平台。

但随着互联网与电信网的融合、新技术新业务的发展、传统业务模式与新业 务模式并存使得业务网络复杂性增加、人员的复杂性增加，进而显现了诸多安全 隐患。同时电信运营商安全体系面临的外部网络攻击事件数量持续上升，外部网 络攻击的方式愈加智能化、体系化、有组织化。这两方面因素，给电信运营商安 全体系建设带来的巨大的挑战，如： 1. 终端接入风险，终端的安全防护能力参差不齐，由于未安装或及时更新安 全防护软件，未启用适当的安全策略，被植入恶意软件等原因，可能将权限滥用、 数据泄露、恶意病毒等风险引入内部网络。 2. 人员结构复杂风险，内部业务系统越来越多，人员访问造成的泄密风险增 加。 3. 对外业务风险，部分业务暴露在会联网上的同时，也会暴露一些高危的漏 洞，因此很有很能危及内部业务系统。 4. 对内业务风险，数据的集中，大数据技术的应用，使数据成为更容易被“发 现''的大目标，数据安全成为安全防护的重点，如用户的的非授权操作、越权操 作、脱库、爬库等行为将会导致数据中心的敏感数据被非法获取。

2方案概述和应用场景

电信运营商很早就意识到数据安全防护的重要性，在面临接入人员结构复杂、 对接的设备和应用多、分布范围广、数据量巨大的问题上，通过抓住第一道安全 访问关口，即：对人员身份、接入设备的身份进行验证，确保每一个接入平台人 员和设备都是安全可信，拒绝未通过认证的任何人员或实体设备入网，此4A安 全管控平台的诞生。

4A安全管控平台自2008年建立，通过与绕行阻断结合，建设一套以身份为 中心的，基于身份的认证、授权、审计体系，使得所有账号以及操作可管、可控、 可审。电信运营商4A访问层次主体为人员和设备，客体为应用、服务器、数据 库。整体架构分为控制层和能力执行层，控制层主要以安全统一管理为主，包括 统一证管理、统一账号管理、统一授权管理、统一资源管理、统一策略管理、统 一金库管理、统一审计管理、安全运营管理。执行层主要体现到具体的用户的执 行操作。比如某用户执行某个敏感操作，会触发某某金库的动作，其操作是由执 行层去执行的。

​4A安全管控平台：

1.统一认证，先认证，后连接，作为主体访问客体的唯一路径，包括单点登录、强身份认证、集中认证、认证安全性控制；

2. 统一账号管理，客体账号管理，包括主从账号管理、特权账号管理、密码 策略管理、账号安全性控制；

3. 统一授权控制，按照RBAC权限管理，原子授权、实体级授权、角色级授 权、细粒度授权，以及针对高危数据操作场景和敏感数据访问场景的二次化授权 金库控制、基于敏感操作的敏感数据实时脱敏控制、水印等；

4. 统一审计管理，基于规则分析、关联分析、统计分析、实施分析、建模分 析技术，以数据为中心，针对所有在网用户操作审计。

零信任架构，可解释“从零开始建立信任”，“零”是“尽可能小”的相对概 念，而非“无或没有"这样的绝对概念。零信任架构打破了传统的认证即信任、 边界防护、静态访问控制、以网络为中心等防护思路，建立起一套以身份为中心, 以识别、持续认证、动态访问控制、授权、审计以及监测为链条，以最小化实时 授权为核心，以多维信任算法为基础，认证达末端的动态安全架构。

零信任架构的关键在于持续不断的去分析终端、环境、行为的风险或是证明 网络中“我是我“（这个“我''指的是网络中存在的访问主体）的问题。它通过 一系列的动作或参数去评估网络中的“我“是否是“我"，是否是“我“在操作, “我“所处的网络环境存在怎样的安全风险，“我“是否有权限操作等的问题。 总体概括就是一个持续认证和动态授权的过程。

零信任架构通过改变原有的静态认证和静态的权限控制的方法，用一种新的 持续的可度量的风险参数作为评判的依据，加入到访问主体的过程中，以达到网 络访问的可信，实现整个零信任架构的建设。

零信任架构与电信运营商建设的4A平台的建设理念如出一辙，电信运营商 限制所有账号的登录路径，这使得管控的访问入口更集中，用户必须通过先认证 后连接的方式才能访问到具体的资源权限，其次，4A针对每个实体账号设置独 立的细粒度化的访问权限，为了操作的安全性，在敏感操作或是高危操作情况下 需要进行二次授权金库控制，最后，4A对所有的用户行为进行审计，及时发现 未授权操作违规行为、越权操作行为、未经金库审批行为、非涉敏人员访问涉敏 权限违规行为等。通过事前、事中、事后多维控制，建设构建面向关键信息基础 设施的集中化安全管理。

4A到零信任架构，能力进一步提升，主要体现在：

1. 在4A认证的基础上+访问网络隐藏、通道加密、可信接入组件 4A的认证管理模块包括了强身份认证、单点登录、基于IP、Mac地址和时 间段的认证安全访问方式，以及先认证后连接的机制。零信任主要在4A的认证 基础上进行了扩展，增加了网络隐藏机制，将被保护的资源隐藏，通道加密，缓 解了中间人渗透攻击、数据泄露等风险，零信任中的可信接入，将原有4A基于 IP、MAC、时间信息的认证访问方式，进行了强化，通过一种可度量的计算方法, 应用到认证过程中，实现对访问主体运行状态的周期性信任评估，从而确定账号 的唯一性和有效性。如，当终端开发高危端口时，或是未安装杀毒软件，信任评 估中心根据终端环境持续做分析，当安全分值未达标时，则不允许进行访问。

2. 在账号的基础上+终端环境感知 零信任架构中，判断用户的信息不再以账号和密码为唯一基准，在日常运维 和业务操作中，单一的判断标准会出现账号共用的行为，即多个用户使用同一账 号，共享账号会给审计带来很大的影响，同时如果用户终端出现问题，存在病毒 之类，会将风向带入内网。零信任正是摒弃了这种单一的判断依据，通过针对访 问客体建立详细的终端指纹信息，终端环境状态的判断，从而判断其访问客体的 有效性。终端环境包括，采集运行进程状态、注册表、系统版本、关键文件存在 与否等环境信息。

3. 在静态权限基础上+动态权限控制 4A的权限控制都是基于静态的授权或是策略进行控制。零信任主要通过改变原有的静态的权限控制的方法，用一种新的持续的可度量的风险参数作为评判 的依据，加入到访问主体中，作为客体访问的依据，以达到网络访问的可信，实 现整个零信任架构的建设。

4. 在审计基础上+基于用户行为的实时分析能力 4A的审计都属于事后行为审计，即违规行为已经发生，而零信任的本质是 将事后行为审计提前，通过大数据分析技术，针对每个访问主体提前预制行为基 线，将访问行为框定到具体的操作行为范围内，当访问主体发生异常操作时候, 通过用户行为实时分析模块，针对访问主体操作进行控制，已达到动态授权的行 为。由于电信运营商各自的业务特点，以及业务访问需求，需结合自身实际情况, 以及管理要求，酌情进行控制。

通过差距分析，再结合4A平台，构建了电信运营商独有的零信任架构，打 破传统以“人"为中心的认证方式，构建以“人+设备+环境"的认证体系，即统 一安全管理平台（4A） +持续、动态的“用户+设备（环境）“的检测与授权，实 现访问主体的身份可信，确保数据安全访问，达到对数据“可用可见、可用不可 见、不可用不可见''等状态的统一安全管控。

零信任架构包括零信任客户端、零信任网关、安全管控中心（4A）、以及信 任评估中心。

1） 零信任客户端，实现单点登录、终端采集和链路加密；

2） 零信任网关，执行组件，包括可信接入网关、可信运维网关、可信API 网关，提供网络隐藏和应用系统访问入口，主要做认证和访问策略执行，提供身 份的零信任策略执行、访问的零信任策略执行、提供动态访问控制处置和应用系 统访问代理，以保证应用访问的安全性；

3） 安全管控中心，在原有4A的账号、认证、授权、审计基础上，增加访问 控制服务，以实现动态身份管理控制、动态权限控制、终端访问控制等策略；

4） 信任评估引擎，零信任架构中实现持续信任等级评估能力的核心组件， 和访问控制引擎联动，持续为其提供主体信任度评估，作为访问控制策略判定依 据。

3优势特点和应用价值

1. 让数据更安全 针对业务访问、办公访问、运维访问等不同场景，零信任从数据的采集、存 储、传输、处理、交换、销毁等维度，采用能够根据数据的敏感程度和重要程度 进行细粒度的授权，并结合人员的行为分析和访问的环境状态动态授权，在不影 响效率的前提下，确保数据访问权限最小化原则，避免因为权限不当导致的数据 泄露，从而让数据更安全。

2. 让办公更便捷 随着全球化进程的推进，大型公司全球多地协同办公的现象很普遍，零信任 通过分布式、弹性扩容、自动容灾、终端环境感知等技术，解决了多地办公性能 问题、时差问题及安全与用户体验的矛盾，从而让办公更便捷。

3. 应对演习更从容 近年来，网络演习活动在各监管机构、主管部门的组织下，呈现出常态化趋 势。社工、近源攻击等高级渗透手段也屡见不鲜，红方攻击人员一旦进入蓝方内 网，或拿到了蓝方人员的弱口令，将对蓝方的防守工作造成巨大威胁。演习期间， 蓝方人员往往杯弓蛇影，压力巨大，甚至不惜下线正常业务。

零信任架构立足于SPA+默认丢包策略，网络连接按需动态开放，体系设计满足先认证后连接原则，在网络上对非授权接入主体无暴露面，极大的消减网络 攻击威胁。除此之外，需合法用户使用合法设备，且在合法设备的安全基线满足 预设条件的情况下，接入主体的身份才被判定为可信。可有效防护多种网络攻击 行为，从而让蓝方防守更有效。

4经验总结

目前项目已经完成实施部署，但是还存在一些问题，一方面主要体现到持续 的动态授权认证和授权方面，还需要针对具体的场景进行分析、细化数据访问控 制，比如远程登录访问敏感数据场景、批量下载敏感数据场景等，在落地实施时 候，需要同时关注针对数据的分级分类，制定相应的策略防护，同时结合行为实 时分析，才共同支撑零信任动态授权；一方面是在推广层面，零信任会增加针对 终端的信任评估内容，依据终端采集的信息进行相应评分，评估终端是否能够按 照要求接入。所以在推广时，会遇到各种登录不上去的问题，解决办法，需要制 定相关的制度要求，以及相应的手段进行落地。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集 终稿（无水印版）