智零盾——下一代VPN

商品介绍

智零盾安全办公解决方案












联通智慧安全科技有限公司
2020.3
目 录
目录
一、 产品背景 1
1.1企业边界的演变 1
1.2企业安全威胁的演变 1
1.3VPN等传统产品面临挑战 2
二、 产品概述 3
2.1系统架构 4
2.2工作流程 4
三、 产品功能亮点 5
3.1实现内网隐身，减少安全开支 5
3.1.1 层层授权、层层防御 5
3.1.2 私有DNS 6
3.1.3 SPA与动态端口 6
3.1.4 端口授权控制 6
3.2更细粒度的安全控制 6
3.2.1访问安全 7
3.2.2应用级访问 7
3.2.3按需授权 7
3.2.4身份认证 7
3.3行为安全与态势感知 8
3.3.1行为审计 8
3.3.2态势感知 8
3.3.3行为控制 9
3.4数据防泄密 10
四、 应用场景 11
4.1远程访问（企业合作伙伴/分公司访问业务系统） 11
4.2企业内网安全加固 11
4.3企业安全上云 12
4.4企业移动办公/远程办公 12



一、 产品背景
1.1企业边界的演变
随着云、移动化、loT等新技术的出现让企业数据不再局限在墙内，传统安全边界在瓦解，企业IT架构正在从“有边界”向“无边界”转变。过去企业IT基础设备及用户办公都是在企业内网，企业IT架构是有边界的。在移动化和云化的大背景下，越来越多的企业用户开始使用云应用、使用移动设备进行移动办公，企业IT基础设施及用户办公的内外边界逐步模糊，企业IT架构正在从“有边界”向“无边界”进行转变。
1） 业务离开内网：越来越多的业务系统上云，企业的网络环境也越来越复杂。
2） 人离开内网：
a) 随着企业云化、移动化将会有越来愈多的企业用户不在企业防火墙内进行办公。
b) 员工更愿意使用自己的设备办公。
c) 企业之间的连接越来越多，供应商、合作伙伴需要访问公司的内网来查看订单或提交销售数据。
1.2企业安全威胁的演变
提起网络安全，人们自然就会想到病毒破坏和黑客攻击，对于网络安全的防护，也大多强调对来自外部的主要攻击进行预防、检测以及处理，其实不然。常规安全防御理念局限于网关级别、网络边界等方面的防御，重要的安全设施大致集中于机房或网络入口处，在诸多设备的严密监控下，网络管理者认为计算机网络面临的安全问题降低，计算机的安全得到保障。
但随着互联网时代的发展，网络边界越来越不清晰，业务应用场景越来越复杂，也有更多的技术手段可以轻易突破网络边界，网络安全不再止于边界安全。近几年频频爆出重大APT攻击事件，发现多个APT攻击组织以及高级持续性威胁活动信息，他们通过先进的攻击手段针对特定对象，有计划地窃取数据，此类攻击行为很难通过传统安全检测系统有效检测发现，一旦被攻击将导致企业、政府、医疗组织等等的大量数据被窃取。此外，近几年勒索病毒横扫世界，包括中国在内的全球百余个国家中招，国内政府、医疗、企业、电力、能源、银行、交通等多个行业也或多或少被波及，广大百姓的日常生活也遭受巨大影响，多地公共事业系统也惨遭停摆，损失惨重。事实证明，隔离不是万能的，不能一隔了之、万事大吉。尤其安全重心逐渐转移到数据安全的今天，应该充分重视起企业内网的网络安全。
外网隔离的指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。外防作为基础，基本已经建立完备，而内网安全是很多客户或是场景应用中所忽视的。当前企业数据安全的防护手段主要集中在对防火墙部署与杀毒软件的应用上，这种传统的企业数据安全防护方式能较好的阻隔来自外部的“技术风险”(如系统漏洞、黑客攻击、病毒木马等)，但对于处在企业数据安全防护体系内部的“人为风险”，却无法进行有效管控。然而，种种信息安全事件显示，“堡垒最容易从内部攻破” ，内网也不是安全的“自留地”。考虑内网的安全，需要假设内网中的各节点——客户端、人员等是不可信任的，就此对内网进行针对性的安全防护。
1.3VPN等传统产品面临挑战
VPN诞生于90年代，但20多年来技术的本质没有任何变化。随着企业IT架构的不断发展，VPN技术已经变得过时。传统VPN产品难以帮助企业走向新时代。
1） 高风险：
a) 最初VPN只是一种网络产品，用于网络接入，天生就缺少安全基因。VPN会将整个内网暴露给用户，一旦某个用户被攻陷，整个内网都陷入危险。
b) 2017年调研机构SITELOCK的安全报告称，每个企业平均每天要遭受到44次的网络攻击。VPN可以保护内网业务系统，但VPN自身的IP、DNS一旦泄露，则极易遭到网络攻击。
2） 体验差：用户在打开应用前，必须打开VPN，才能顺利访问内网；常常要关闭VPN才能访问互联网。但如今用户早已习惯了流畅的互联网体验，对VPN的使用方式肯定是感到厌烦的。
3） 灵活性差：如果企业有多个数据中心，企业将不得不购买多套昂贵的VPN设备。而且多套VPN对管理员和用户来说都是一个灾难。
4） 高度复杂：传统的安全产品是基于IP来配置安全策略的。通常要配置几百条上千条规则，才能形成完善的防护。
5） 无法管理终端安全：浏览器的安全和终端的安全是传统安全产品的一个盲点。严密保护的敏感数据可能在“最后一公里”被窃取。
二、 产品概述
随着信息化的不断深入，基于互联网及各种专网部署的业务应用系统已非常普及，如何确保这些业务应用和数据的安全访问是当前网络安全的基础性问题之一。但现有网络条件下难以避免的各种先天缺陷和日趋复杂的应用场景，以及网络协议自身的广泛脆弱性和安全策略配置不严谨所带来的安全隐患成为常态。而一味地堵漏洞、打补丁、防病毒等被动式防御和局部式治理、增量式修复的防护策略，已不能适应多变的网络安全形势。基于传统网络安全模型、以边界防护为核心的防护理念和措施已不能满足应用和数据保护的需求，需要建立强信任、强可控、强防护的全域安全。
智零盾产品解决方案是一个基于零信任网络安全理念和软件定义边界（SDP）网络安全模型构建的业务系统安全访问解决方案。智零盾产品包含智零盾安全大脑、智零盾专用浏览器客户端、智零盾网关三大组件，该产品可以基于互联网或各类专网分别建立以授权终端为边界的针对特定应用的虚拟网络安全边界，基于用户身份提供特定应用的最小访问权限；同时智零盾网关具备网络隐身功能，特定应用对虚拟边界以外的用户屏蔽网络连接，同时在传统网络安全设备上最大化设置严谨的安全策略以减少隐患、最小化开放网络端口以减少因为网络协议自身漏洞造成的攻击，这样可有效缩小网络攻击面，提高全域网络安全。
智零盾产品以智零盾专用浏览器客户端为边界，结合智零盾网关建立起一块虚拟安全域，同时结合智零盾网关基于端口动态授权的网络隐身技术构建起一张隐形的互联网（或者在专网中构建起一张隐形的虚拟边界小专网，以下仅以互联网应用为例说明），即互联网应用只对“特定的用户+特定的设备”可见，对其他人完全不可见，并且该用户访问应用的行为可以进行严格控制和记录。这种模式很好地解决了政府部门/企业移动办公、上云带来的应用暴露在公网的问题，同时也可以增强现有内网办公的安全性。
2.1系统架构

1） 智零盾浏览器：智零盾浏览器基于chromium浏览器内核开发，但是区别于市面上其他浏览器，智零盾浏览器主要面向企业办公场景，为保护数据安全、提升工作效率而设计。在智零盾产品中，专用浏览器客户端用来做各种类型的身份验证，包括硬件身份，软件身份，生物身份等。
2） 智零盾安全大脑：智零盾安全大脑是一个管理控制台，用来对所有的智零盾客户端进行管理，制定安全策略。智零盾安全大脑还可以与企业已有的身份管理系统对接。
3） 智零盾网关：所有对业务系统的访问都是要经过智零盾网关的验证和过滤。

2.2工作流程
1） 智零盾客户端用SPA技术向智零盾安全大脑发送访问请求。
2） 智零盾安全大脑验证用户信息，返回授权、网关信息、策略信息；同时，智零盾安全大脑将用户信息、策略信息发给智零盾网关。
3） 智零盾客户端用SPA技术带着授权向智零盾网关发送访问请求。
4） 智零盾网关检查从智零盾安全大脑获取的安全策略，验证客户端授权，建立双向加密链接。
5） 智零盾安全大脑会随时监控连接是否符合安全策略，即时调整。
三、 产品功能亮点
3.1实现内网隐身，减少安全开支
3.1.1 层层授权、层层防御

层层授权，层层防御，智零盾产品在TCP/IP数据通信的各层都进行授权控制，防止非法数据进入，不再惧怕IP对外开放，不再惧怕多端口对外开放。
网络层：智零盾网关默认deny all一切IP访问，只有智零盾客户端经过SPA授权后，才会针对授权过的客户端开放访问通道；此外通过智零盾独有的私有DNS功能，实现域名内部解析，无需将域名暴露在公网，实现IP地址网络隐身。
传输层：默认端口deny all一些连接请求，通过SPA动态端口授权技术，动态授权智零盾客户端进行端口访问，非法连接无法进入，让开放端口不再是企业的安全隐患，开放再多端口也不怕。
安全传输层：智零盾客户端与智零盾网关之间采用SSL（安全套接层）加密通信技术，防止通讯数据被非法人员监听、篡改或破坏。
应用层：智零盾网关对进入的每一个http请求进行HMAC（哈希运算消息认证码）动态验证，防止非法http数据以及非授权http数据通过，最大化保障企业业务系统安全访问。
3.1.2 私有DNS
私有DNS功能可以隐藏业务系统的DNS、IP信息，用户可以不在外网做DNS地址解析，只需在智零盾安全大脑设置业务系统的域名与IP的对应关系。用户在登录智零盾客户端时，从智零盾安全大脑获取业务系统的IP，进而访问业务系统。因为业务系统的DNS、IP没有暴露在互联网上，所以黑客无从发起网络攻击。
3.1.3 SPA与动态端口
智零盾客户端与智零盾网关通信会用到SPA（单包授权）技术。智零盾网关默认“拒绝一切（deny all）”连接，只会接收智零盾客户端发来的第一个带身份信息的包。智零盾网关验证通过后，才会允许智零盾客户端建立连接。
SPA和动态端口技术保证了黑客无法检测到智零盾网关开放的端口，无法对智零盾网关进行扫描。而且，黑客看不到服务器的内容，也就看不到攻破服务器的价值，减小了黑客进攻的意愿。
3.1.4 端口授权控制
企业在外网开放TCP端口时总是谨小慎微，担心被恶意黑客进行诸如TCP SYN flood、端口扫描等攻击。通过智零盾产品的SPA端口敲门技术，对网关开放的每一个端口进行授权控制，每一个客户端的TCP端口连接都会先经过SPA授权验证，验证通过后才可访问，不需要担心开放大量端口，让开放端口数量变得跟安全无关。
3.2更细粒度的安全控制
因为智零盾中包含了专用浏览器客户端，智零盾专用浏览器客户端是基于浏览器开发的，所以可以做到传统产品很难做到的终端安全管控，实现更细粒度的安全控制。
3.2.1访问安全
智零盾产品符合零信任（Zero-Trust）安全访问模型，符合零信任网络安全理念：
1） 不自动信任网络的安全性（内网 ≠ 可信）
2） 对任何接入系统的人和设备都进行验证
3） 每次访问都要进行身份验证和行为审计
4） 细粒度访问控制策略Need-To-Know（最小权限原则）
3.2.2应用级访问
智零盾产品只允许应用级访问，不暴露内网。即使员工电脑上被安装了恶意软件也无法扫描、窃取内网上的资源。最小授权原则和基于身份确认授权，可以保证用户只能看到被授权的应用或资源。
3.2.3按需授权
管理员可以根据用户的身份和具体的需求，在后台合理限制用户可以访问哪些应用。例如，只允许财务部的员工访问财务系统，不允许访问HR系统。越权访问会被网关拦截。这样，就避免了用户过度授权的问题，大大减少了网络攻击面，也减少了员工泄密数据的可能。除了应用的维度之外，还可以对用户的访问位置（即所处的地理位置）、访问时间，访问设备等维度进行限制。
3.2.4身份认证
智零盾可以对用户身份进行管理，保证用户身份和设备的合法性，包括：
1） 创建账户体系，或依照现有身份管理系统如AD域、OpenLDAP、CAS等同步账户和组织架构信息。
2） 通过智零盾浏览器客户端设备绑定功能，确保用户在合法的设备上使用正确的账号登录，同时可以对账户的登录时间、登录地点及IP地址进行严格控制，以防止非法人员以非法的方式接入业务系统。
3） 智零盾安全大脑可以远程清除用户设备上的账号信息及使用痕迹。有效保障企业员工认证信息在泄漏、设备遗失等异常情况下的企业数据安全。
4） 实时的清除设备数据，即使该设备正在登录，也可以令用户立即登出。
5） 智零盾移动端浏览器还可以设置指纹、人脸识别、手机短信等多因子认证方式，保障身份安全。
3.3行为安全与态势感知

3.3.1行为审计
智零盾浏览器客户端对用户的操作行为进行审计记录，如网页访问时间、网页内容复制、网页打印或者保存、文件下载等等。同时，智零盾浏览器客户端将审计信息上传至智零盾安全大脑平台，通过平台态势感知模块对信息进行大数据分析并动态展示。
智零盾网关对用户的非法访问请求进行拦截并记录，同时对用户的访问次数以及应用的请求次数进行记录，并将所有信息传送至智零盾安全大脑平台，通过平台态势感知模块对大量数据进行统计分析，形成可视化数据。
3.3.2态势感知
智零盾安全大脑可以汇聚每个智零盾网关以及所有智零盾浏览器客户端发送过来的日志及审计信息，对汇聚信息进行大数据智能统计分析，以满足企业的运维及安全需求：
1） 智零盾安全态势感知平台汇聚数据，统计并展示实时活跃用户、系统激活用户及设备数量、当前在线用户数、用户访问次数以及拦截访问次数，协助运维人员快速了解员工访问情况。
2） 智零盾安全态势感知平台从多个维度对用户访问数据进行统计分析，展示企业业务应用访问排名，帮助运维了解业务系统访问及运营情况，展示企业用户访问频率排名帮助企业管理者了解员工工作情况，展示智零盾网关拦截的非法请求数量帮助运维人员核查异常用户访问情况，及时发现企业内部风险。
3） 智零盾安全态势感知平台通过对每日、每周或每月数据对比，展示每日访问量变化最大的应用系统和活跃度变化最大的用户，以此帮助企业了解业务应用系统访问压力变化，及时发现业务应用异常，及时根据实际情况调节业务系统性能。
4） 智零盾安全态势感知平台可以实时检查业务系统及智零盾组件的状态，第一时间发现业务应用或智零盾网关故障并生成报警信息，降低企业运维压力及风险。
3.3.3行为控制
管理员可以统一管理用户能使用的客户端操作。例如禁止复制、禁止另存为、禁止打印、禁用开发者工具、禁用地址栏、禁用鼠标右键、禁用状态栏、文件黑名单、网站黑白名单等。

3.4数据防泄密
智零盾安全大脑可以统一设置智零盾浏览器客户端数字水印功能，做到泄密可溯源。通过智零盾浏览器客户端，可以将员工的姓名、手机号、邮箱等个人信息作为数字水印覆盖在浏览的目标页面上，以达到拍照及截屏泄密方式的震慑及溯源目的，在发生信息泄露时可以做到有效的追责。


智零盾安全大脑可以设置水印的信息是登录名，还是邮箱地址，以及是否需要添加时间戳。并且，水印的颜色和透明度也可以进行自定义。
四、 应用场景
4.1远程访问（企业合作伙伴/分公司访问业务系统）

1） 身份、设备均验证合法的合作伙伴才能访问业务系统。
2） 智零盾实现了基于身份的“按需授权”安全策略，合作伙伴只能访问完成工作授权的应用，不暴露其他内网资源。
4.2企业内网安全加固

1） 病毒无法突破网关进入到应用服务器，每个用户都基于身份做了“微分段”，即使某个用户被“攻陷”，也只会影响到其权限范围内的应用。
2） 只有智零盾专用客户端浏览器才能访问应用，这使得传统攻击工具都无效了。
4.3企业安全上云

1） 智零盾网关屏蔽了基于网络向业务应用系统发起的攻击，网关的“网络隐身”效果有效减小了攻击面。
2） 只有身份、设备验证合法的授权用户才能正常访问业务系统。企业既享受了上云的好处，又一定程度上避免了上云带来的安全风险。
4.4企业移动办公/远程办公

1） 无论在政府机关/公司、咖啡厅、还是分公司/门店。用户无需配置即可访问内网应用，使用更便捷。
2） 内外网统一验证用户、验证设备、限制授权，帮助企业实现了“零信任”网络安全理念。