来源:2022第三届中小金融机构数智化转型优秀案例评选
获奖单位:百年资管
荣获奖项:网络影响力TOP10优秀案例奖
一、项目方案
1.项目需求背景
根据银保监会对于保险资管公司网络安全建设要求,百年保险资产管理有限责任公司(以下简称:“百年保险资管”或“公司”)分别建立了“办公网”网络环境和“生产网”网络环境,且两者物理隔离不互通。其中生产网包含公司生产业务系统,办公网包含邮件、OA、上网、系统测试环境等其他非生产业务系统。
2020年初随着新冠病毒肆虐全球,为了保障公司业务正常流转,减少疫情给公司带来的影响,远程办公已成为不可或缺的办公手段,并日渐成为常态化办公模式,故而公司在疫情期间启用了防火墙VPN,员工通过VPN远程访问内网业务系统。在使用VPN期间,多次发现VPN对于普通用户的日常使用不友好、用户体验差,同时也存在较大的安全风险。为了统筹考虑业务本身发展需求以及类似的疫情事件影响,公司着手远程办公整体规划设计,保证远程访问办公应用、生产应用的安全性及易用性。
经市场调研,公司紧跟当下技术热点,拥抱零信任安全理念,开展远程办公项目建设。
2.技术架构设计
百年保险资管零信任系统,基于零信任安全理念设计,践行零信任网络访问核心原则,包含控制器(Controler)、安全网关(Gateway)、客户端(Client)三大核心组件,采用控制平面与数据平面分离架构,后续扩展,只需单独对控制平面和数据平面的软硬件进行横向扩展即可。系统在用户访问受保护资源之前,通过SPA单包授权机制与多种身份认证手段,先进行身份校验,确保身份合法后才可与安全网关建立加密连接,并赋予最小访问权限;提供统一安全策略配置及下发,基于评分机制,从环境、行为、威胁三大维度对业务访问生命周期进行动态访问控制及持续信任评估,根据安全策略实时检测并对不符合安全基线的终端自动阻断访问或启用二次认证,同时向管理员提供审计日志、系统监测、服务及数据告警、可视化管理视图,可对系统进行可视化统一运维。
控制器(Controler)
控制器是本系统的大脑,提供控制平面的统一控制及管理能力。包含安全引擎、管理模块、运维模块三大核心部分,为整个系统提供统一策略中心、统一管理中心、可信身份认证中心、智能态势中心和日志审计中心。
安全引擎:提供身份认证、统一安全策略管理,动态访问权限控制等核心能力。其中身份认证提供统一身份管理、身份认证、单点登录、最小用户权限管理等能力,确保接入用户身份的合法性,实现基于零信任技术理念的最小访问权限控制。统一安全策略管理模块提供安全网关、PC及移动端统一的策略配置、下发及管控,从设备、用户、应用、数据等多个维度提供安全防护能力。动态访问权限控制模块提供网络访问控制、应用访问控制、用户权限控制、设备访问权限控制多方面的访问控制管理,结合零信任思想,基于ABAC、RBAC模型,基于动态环境感知及评分体系模型,对整体访问实现持续安全监控,动态访问控制,保障业务系统的持续可信访问。
管理模块:提供统一接入设备管理、终端信息采集分析、终端环境安全检查、可视化管理等能力,确保接入的终端设备安全可信,确定哪些客户端可以与哪些业务进行通信,对非法终端禁止接入,同时统一可视化管理减轻对大量终端设备的运维压力。
智能分析中心和日志审计中心:提供身份信任评估、终端环境安全评估、行为分析等持续信任评估及动态权限控制能力,可以对客户端/用户连接状态进行动态控制和授权、可以将所需信息同步方式或中继方式到外部认证服务。同时对所有安全事件进行统一日志审计管理。
安全网关(Gateway)
为访问内网业务系统提供了统一的对外访问入口,终端访问内网应用必须经过安全网关,并且与安全网关之间通过安全隧道进行连接。
所有的内网业务提供,均隐藏在安全网关后面,通过安全网关统一对外发布,实现远程接入场景下,业务系统的隐藏,同时通过SPA预认证技术,拒绝来自控制器以外的所有主机的所有通信。只有在控制器指示后,安全网关才接受来自客户端的连接,实现安全网关本身对外的端口隐藏,有效防止扫描攻击。
安全隧道支持采用SSL及国密加密协议,对传输中的数据进行了加密处理,保证应用数据在传输过程中的安全。同时,平台对应用的网络连接做了技术优化,传输性能相比普通直接采用SSL协议的网络请求有了极大的提升。
客户端(Client)
提供PC端终端软件应用,支持Windows、UOS、麒麟操作系统(目前仅使用Windows),为终端用户提供统一的安全门户、登录入口,客户端与控制器通信以请求它们可以连接的安全网关列表及权限列表,接收并执行控制中心下发的安全检查策略,验证终端安全性;并提供终端信息包括但不限于硬件ID、MAC地址、客户端IP、地理位置、计算机名称、操作系统版本、补丁、运行进程、是否安装终端安全相关指定软件等,依据终端信息验证客户端身份,判断应用访问策略控制。
3.逻辑架构设计
结合百年保险资管的实际需求与面临的挑战,建立网络安全零信任平台,具体实施方案如下:
根据“办公网、生产网物理隔离”网络环境特点,在DMZ区部署2台SDP安全网关和1台零信任系统控制器;
SDP安全网关分别访问生产网、办公网区域应用服务器,两台安全网关互不访问;
零信任系统控制器对接2台SDP安全网关,控制器对安全网关进行管理和策略下发;
互联网终端通过SDP安全网关访问零信任系统控制器,通过身份验证获取应用访问列表,访问列表中的应用,业务流量可通过对应的SDP安全网关进行代理,无需用户手动选择。
二、创新点
1.行业首次尝试,总结高效实践方法论
新冠病毒肆虐全球,为了减少疫情给企业带来的影响,保障企业业务正常流转,百年保险资管紧跟当下技术热点,拥抱零信任安全理念,积极开展远程办公项目建设。作为保险资管行业首次尝试零信任安全建设,百年保险资管结合其实际网络特点(办公网和生产网物理隔离)以及业务所需(保障处于互联网状态下的远程办公电脑能安全访问办公网和生产网业务),创新性采用零信任最佳落地实践SDP架构,该架构控制平面和数据平台分离,实现系统架构的灵活性且高度可扩展性。通过在DMZ区部署2台SDP安全网关和1台控制器,在不改变现有企业网络架构的条件下,既突破现有物理隔离的限制,又确保物理隔离的安全,最终实现跨网安全访问业务。
2.无边界的端到端加密私有安全网络
终端接入企业网络需要通过终端安全网关,为企业内网提供了统一的对外访问入口;终端与安全网关之间通过安全隧道进行连接,安全隧道支持SSL加密及国产商用密码加密,对传输中的数据进行了加密处理,保证应用数据在传输过程中的安全。对于安全隧道的使用,要求平台设计以设备、用户及应用三方综合维度的严格身份认证。只有通过认证的调用者才可与安全隧道创建网络连接,保证了隧道使用者的合法性,安全的控制了外部网络对内网应用的访问。
3.建设更为健全的零信任安全体系
百年保险资管当前已经完成非企业网环境下零信任安全接入的建设,但公司对整个零信任安全体系的建设不会止步于此,初步规划如下:
1、联动现有企业安全建设,作为功能性组件,赋能零信任网络访问ZTNA
(1)联动现有准入系统,保障企业网基础设施安全的同时,保证业务资源的安全访问;
准入控制作为设备接入企业网络的安全边界,一直以来都是企业的安全基础设施之一,准入控制以网络为中心,零信任网络访问以企业资源为中心,俩者理念相似,都是默认不相信任何主体,必须进行严格的校验才允许接入。但从企业网络安全的角度来看,俩者解决的问题并不冲突,准入技术用于保障企业网络基础设施安全问题,零信任网络访问用于保障企业资源安全问题。结合Google的零信任实践项目Beyond Corp来看,在企业网环境下,准入控制也是整个内网安全访问流程的第一步。
在借鉴Google的落地实践中,百年保险资管根据自身网络环境落地整个过程,给用户最好的体验和最低的成本,是零信任在保险资管行业的另一大创新实践。
(2)现有端点安全能力,赋能ZTNA
百年保险资管参考NIST于2020年10月正式发布的《实施零信任架构》,将端点安全作为功能性组件对零信任架构的核心组件策略引擎(PE)进行赋能,通过多源数据信任评估技术,参与终端环境安全评估环节,实现更精准、更可靠的用户授权。初步规划涉及内容如下:
由端点安全组件提供终端环境信息,如设备归属、操作系统类型、是否加入域等终端基础属性,还可提供如终端所处地理位置、网络环境、接入时间段等物理环境属性,零信任策略引擎可根据终端所处环境信息,动态授予接入主体的业务访问权限,贯彻权限最小化原则;
提供终端安全基线情况,不符合安全基线的终端禁止接入/降低权限接入;
根据终端用户行为进行上下文分析,提供用户行为画像。对异常行为用户进行访问阻断。
2、积极响应各监管数据安全制度管理要求,进行业务数据安全防护建设;
从2017年,国家提出“要构建以数据为关键要素的数字经济”,到2021年,国家先后出台了《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,为国家关键数据资源安全和个人信息数据安全提供了法律依据。数据安全已上升到国家主权的高度,是国家竞争力的直接体现,是数字经济健康发展的基础。银保监会等金融监管部门更是明确指出必须夯实保险资管数据基础,推动业务数据、风险数据等标准化建设工作。
百年保险资管在现有数据安全防护建设的基础上,针对远程办公场景,进行数据安全保护。规划如下:
(1)企业网环境下,生产网和办公网终端都属于COPE(Corporate Owned Personally Enabled)设备,企业具备所有的管理权限,可在现有内网数据防泄露建设的基础上,根据数据分类分级情况,采用关键字识别、文档DNA、MD5值等技术,配合外发通道进行业务数据泄露防护;
(2)非企业网环境下,员工在家远程办公终端往往属于BYOD(Bring Your Own Device)设备,为了使企业数据与个人数据完全隔离,计划采用安全沙箱方案,访问带有敏感数据的业务系统时,需在安全沙箱中进行访问,同时业务数据也必须落地在安全沙箱分配的磁盘中。安全沙箱具备以下优势:
本地数据与安全沙箱数据完全隔离;
网络隔离,沙箱内能访问的业务系统,本地无法访问;
剪切板隔离,无法进行沙箱内外数据通过剪切方式进行外泄;
可以辅助数字水印技术,在访问业务系统时,加载屏幕水印。第一可以起到提醒和警示的作用,第二可以进行泄密后的追溯。
三、技术实现特点
1.统一安全门户
随着远程办公的需求越来越多,部分内部应用需要开放到互联网中,但这些应用的安全机制各不相同,没有统一的安全策略,外部威胁对系统和业务数据安全有很大挑战,也难以统一管控。同时应用间互相独立存在,逻辑上也各不相干,导致使用起来很不方便——需要记住地址,以及对应的密码,并且反复登录、操作复杂,从而造成用户体验下降、使用率降低的负面效果。
对于百年保险资管来说,迫切需要一个统一的工作平台。这个平台作为远程办公访问入口,通过这一工作台,确保用户体验一致,为各种应用实现单点登录,提供安全和统一管控能力。
图:零信任企业安全门户
2.网络隐身避免外部攻击
随着疫情的爆发,远程办公的重要性变得更加明显,许多大型企业甚至将全员远程办公列为企业需具备的基本能力。百年保险资管在2020年初启用了VPN远程访问系统,系统上线之初,对外端口时常遭受到外部扫描和攻击,随着远程办公的需求增多,为了确保内网和系统的安全性,百年保险资管采用零信任安全架构体系来保障业务安全,将内网服务器隐藏在安全网关之后,所有内网应用无需向互联网开放任何端口,保障应用安全;另外,基于UDP协议的SPA单包授权认证机制,默认“拒绝一切”请求,仅在接收到合法的认证数据包的情况下,对用户身份进行认证,对非法SPA包默认丢弃。认证通过后,接入终端和网关之间建立基于UDP协议的加密隧道,支持抗中间人攻击、重放攻击等,保证了潜在的网络攻击者嗅探不到SDP安全网关的端口,无法对网关进行扫描,预防网络攻击行为,有效地减少互联网暴露面。
图:SDP SPA“敲门机制”隐藏网络端口和服务
3.安全便捷身份认证机制
传统的VPN身份验证,员工只需安装VPN客户端,填写包括VPN地址、账号和密码即可成功接入内网。一旦VPN账号等相关信息泄露,任何人都可以通过此方式接入内网中,并获取相应的内网资源访问权限,故当前采用的身份验证方式存在一定的安全风险。另外每次登录VPN需要输入账号密码,员工时常忘记密码,联系管理员对密码进行重置,账号密码的管理方式加重了管理负担,同时用户的使用体验也不佳。考虑安全和体验双重要求,百年保险资管采用二维码来替代传统的账号密码,员工打开手机专有APP,通过手势或人脸识别进行APP访问身份校验,然后通过APP内“扫一扫”工具扫描零信任系统登录界面二维码完成身份验证,此种方式既能提升安全(多因素要求)又能免去员工记账号密码的烦恼,极大提升了远程办公的用户体验度;
4.终端威胁感知
疫情居家期间,百年保险资管远程办公的用户众多,其接入终端多样化也对内部安全提出考验。虽然员工基本采用公司派发笔记本终端进行远程办公,但是终端的安全基线要求也无法得到统一;另外在疫情紧张的形势下,有时员工忘记带电脑回家被隔离在小区内无法返回公司,需要借助于家里电脑进行远程办公,家里设备复杂多样,终端存在病毒感染、系统漏洞、系统密码设置简单、易破解等情况,所带来的管理复杂度激增。这些因素叠加,导致公司IT管理人员要管理的设备复杂度会以几何级增长,亟需一个高安全的方案对接入终端自身的安全性进行管理。
零信任客户端可对终端设备环境进行威胁感知,包含:安装防病毒软件检查、系统漏洞检查等,也可检测使用设备为公司派发或家里终端,访问位置信息检测,访问网络信息检测,访问时间信息检测,并根据综合检查结果评估是否满足远程办公的要求,通过平台动态调整其员工访问权限。
5.业务最小化授权
随着远程办公的业务要求,远程可访问的应用系统越来越多,在实际的生产环境中,网络权限的最小化管理还需要防火墙配合,防火墙的规则是基于IP、端口配置的。因此对于网络管理员来说,远程办公方式给网络配置工作带来了很重负担,且容易出现配置不当的情况,如果配置权限过小将影响用户正常使用,配置过大又可能存在越权访问的风险。
根据“零信任”的安全理念,通过强大的身份服务来确保每个用户的访问,一旦身份验证通过,并能证明自己设备的完整性,赋予对应权限访问资源,系统对于同一个用户需要设定其最小业务集及最大业务集,对于每次访问,基于用户属性、职务、业务组进行安全等级评估,按照其安全等级,进行对应的业务系统访问。
6.安全性更高的架构
传统VPN远程接入访问,缺乏覆盖终端、网络传输通道与业务系统访问管理的统一管控技术架构,无法实施统一的高细粒度业务系统安全访问管理,无法保障业务访问数据流的完整性与安全性防护,无法对访问业务系统的全部终端进行统一的安全基线管理,也无法掌握网络边界安全态势,为百年保险资管整体网络安全工作管理带来巨大困难。
新的远程办公平台依托零信任安全架构,通过基于身份的访问控制,来应对边界模糊化带来的控制力度粗,有效性差的问题,以此达到保护业务系统安全的目的,为企业构建起一个虚拟的安全边界,解决传统VPN粗粒度的访问控制,用户体验不佳等问题,帮助公司由网络中心的安全体系架构转变为以用户为中心的安全体系架构,使企业在保证安全的前提下,满足远程办公的多样化需求。
四、项目过程管理
1.立项阶段
基于公司业务特点,对于信息系统远程访问不是必须的,故而公司先前仅建立了传统的VPN用于应急使用。但是2020年初的新冠疫情时期,却遇到了两个主要问题:
稳定性差,用户拨号后时常出现掉线或卡顿,对于用户体验和系统连续性造成较大影响;
安全性差,传统VPN仅通过虚拟网卡对数据进行加密从而达到数据传输的安全性,但对于终端本体的安全性没有保障。
综合以上两条原因,结合公司“办公网、生产网物理隔离”网络环境特点,经过大量调研,公司初步制定了零信任系统三期项目规划,分别如下:
一期:生产网零信任,通过办公网电脑互联网环境下可以正常及安全的访问生产网资源;
二期:办公网零信任,办公网电脑互联网环境下可以同时访问办公网和生产网的资源;
三期:内网零信任,内网环境下所有终端电脑访问内网资源均需要通过零信任安全检测;
2.选型阶段(2021年1月-5月)
项目测试阶段,公司对于市面上主流的网络安全公司“零信任系统”进行了调研学习和本地测试,经比对各家厂商系统总体遇到如下几个问题:
系统用户体验差,系统拨号流程长,过多的系统自检或建立链接等步骤手工完成,对于普通用户的日常使用不友好;
网络安全性差,与传统VPN相比没有过多的改变,仅对于经过互联网的数据进行加密保护保障其安全性,对于终端的安全防护能力不达标,也无法对安全策略进行动态调整;
系统功能较少,系统仅支持BS网页架构的内部资源开放,不支持CS架构的安装文件保护,无法满足基本要求。
最终,经过商务和技术的综合评比,公司规避了以上问题,通过与外部安全厂商的合作,建立了自己的网络安全零信任平台。
3.实施阶段
环境调研和需求沟通
首先,公司在2016年上线了带有安全准入功能桌面管理系统,使用桌管客户端进行入网身份认证、终端行为管控;由于终端已安装客户端数量过多造成终端负载过高,所以一期零信任系统建设,统一客户端成为了本项目的关键需求;其他重点需求包括身份认证扫码登录、终端接入环境自检等,提升用户体验和安全等级。
实施方案敲定
基于环境和需求调研结果,设计架构采用桌管系统+零信任系统整合方案,将零信任功能组件集成到桌管客户端,根据终端接入场景区分企业内网和非企业网,通过不同的认证流程去区分内网准入和外网远程办公的使用场景;采用统一的身份认证源进行首次认证鉴别合法和非法用户,认证完成后弹出二维码进行双因素认证,通过移动客户端进行扫码二次认证后进行终端安全性环境检查,合法、合规终端用户可通过零信任统一客户端访问内网资源,其中用户可访问资源为管理员发布的特定资源,从而达到最小化资源访问控制。
系统上线
从2021年初项目需求环境调研,到同年7月底项目功能验证落地交付和系统上线,其过程并非一帆风顺,遇到的问题包括整合方案落地前的桌管系统的改造升级、统一客户端版本升级、客户端的认证流程异常、双因素认证客户端有概率无法显示二维码等一系列问题,在整个项目组的共同努力下,厂商克服重重难关最终完成了项目的预期上线和投产。
五、运营情况
公司的安全网络零信任平台可以根据用户的办公、业务需求,对于内网资源进行授权开放,如发布虚拟桌面,或发布指定的业务系统,给予用户充足的灵活性。同时在服务层面实现了公司办公、业务系统统一门户、统一管理、统一发布,无需切换网络可同时访问业务和生产系统,使用户在使用中更加方便快捷。在数据层面实现了公司业务数据的高强度加密,同时提供安全可靠的密钥管理,确保企业数据在多终端复杂网络环境下的安全,为业务发展提供了有力支持,成为公司业务发展不可或缺的技术支柱。
六、项目成效
随着各金融机构逐步启动数字化转型,以及国家在网络安全监管方面的力度加强,网络安全的边界越来越模糊,而公司此次零信任理念探索和建设,将为各中小金融机构远程办公场景提供成功案例和探索空间。虽然公司零信任系统不面向社会开放服务,但在2021年7月正式上线后承担起百年保险资管远程访问生产网络的基础支撑,并在2022年疫情期间通过与虚拟桌面的有效融合,为公司提供一个安全的居家远程办公环境。
七、经验总结
根据Gartner数据显示,零信任理念已经是未来企业尤其是金融机构网络安全防护体系的重要发展方向。虽然目前零信任的实施路径和业务覆盖主要依托于远程访问,但是依托于终端安全检测、安全态势感知和动态安全策略等智能化安全技术手段,紧密结合用户的应用场景不断迭代动态访问控制策略,零信任将形成一套独立的、全新的、有效的网络安全体系,能够为国家的网络安全强国战略提供技术支持,为数字化转型提供安全保障。
更多金融科技案例和金融数据智能优秀解决方案,请登录数字金融创新知识服务平台-金科创新社官网案例库、选型库查看。返回搜狐,查看更多
责任编辑: