一种采用零信任架构的微隔离防护系统及其防护方法与流程

1.本发明属于网络安全维护技术领域，具体涉及一种采用零信任架构的微隔离防护系统及其防护。


背景技术：

2.随着云计算等新的it技术涌现，越来越模糊的网络安全边界，复杂的网络接入环境、数量庞大的网络资产也对企业安全带来了全新的挑战；东西向流量难以管控、庞大的网络策略难以维护、南北向流量缺乏完善准入、接入环境安全程度与网络策略脱钩等，传统基于固定边界的防护方案已经开始逐渐失效。
3.无论是对于传统内网网络环境还是当前的云主机网络环境来说，当前的网络安全防护方法，至少存在如下三个问题：一、南北向流量缺乏完善的准入机制问题，包括内外网远程连接问题、tcp/ip的先连接后验证问题、不同角色之间访问应用服务和资源权限划分问题等等，传统互联网本身也存在这些问题，只是云计算的快速发展，将这些问题凸显的更为严峻；二、东西向流量难以管控问题，传统网络边界还可以依靠防火墙、waf、ids、ips等一系列产品串接进行安全防护，而一旦绕过这些边界安全产品，在网络内部反而缺乏相应的网络安全保障机制，众多的内网主机处于“裸跑”状态；三、网络用户身份认证只验证账号而不会校验接入设备的安全性，对于接入云计算网络或传统内网网络的用户来说，一般仅在接入时进行一次账号校验，一旦通过校验，则意味着除非该用户主动放弃，否则将一直具备相应的网络访问权限，且接入时和接入期间，也不会对接入设备的安全性进行校验。


技术实现要素：

4.针对现有技术中的上述不足，本发明提供的采用零信任架构的微隔离防护系统及方法解决了现有的网络中难以实现南北向流量准入控制及业务应用资源准入控制；东西向流量难以管控，易引发跳板攻击；网络接入设备一次性身份校验，缺乏设备安全环境实时校验机制。
5.为了达到上述发明目的，本发明采用的技术方案为：一种采用零信任架构的微隔离防护系统，包括逻辑架构和物理架构，其中，所述逻辑架构包括执行层、采集层、持久层、逻辑功能层和展示层；物理架构包括策略控制中心、安全网关和agent插件；
6.所述执行层用于执行策略控制中心指定的安全策略；所述采集层用于采集网络接入设备的资产；所述持久层用于格式化存储资产信息，并为策略控制中心提供数据基础；所述逻辑功能层用于网络授信准入、访问策略的制定及维护，进行设备环境风险评估和微隔离策略的制定和维护；所述展示层用于导出设备风险评估报告并展示网络流量拓扑图；
7.所述策略控制中心用于负责持久层、逻辑功能层以及展示层的功能执行；所述安全网关用于负责执行层的身份验证；所述agent插件用于负责采集层和执行层中除身份验证外的其他功能。
8.进一步地，所述采集层采集的资产包括设备的资产信息、网络流量信息、病毒查杀
信息，以及系统和应用漏洞信息。
9.一种采用零信任架构的微隔离防护方法，所述微隔离防护方法应用于所述微隔离防护系统中，所述采用零信任架构的微隔离防护方法具体为：
10.实时监控网络运行中的东西向流量、南北向流量以及网络接入设备安全状态，并在需进行东西向流量自适应管控、南北向流量安全准入以及网络接入设备安全状态实时关联网络中任意一项及一项以上时，采用对应策略实现微隔离防护。
11.进一步地，需进行东西向流量自适应管控的条件为：用于提供主机或业务间的东西向流量超过设定阈值；
12.需进行南北向流量安全准入的条件为：用户请求访问网络及网络资源；
13.需进行网络接入设备安全状态实时关联网络的条件为：接入网络的可信评估分数低于设定阈值。
14.进一步地，东西向量流量自适应管控对应的微隔离防护策略具体为：
15.a1、通过管理员在策略控制中心启动网络流量采集策略；
16.a2、基于网络流量采集策略，通过agent插件采集全平台的网络流量信息；
17.a3、基于采集的网络流量信息，通过策略控制中心生成可信网络策略；
18.a4、通过管理员确认及优化生成的可信网络策略，并下发至agent插件中；
19.a5、通过agent插件接收并在各主体之间执行可信网络策略；
20.a6、通过agent插件捕获主体间的流量是否符合当前可信网络策略；
21.若是，则进入步骤a7；
22.若否，则进入步骤a6；
23.a6、允许根据当前流量进行访问，实现东西向流量自适应管控；
24.a7、拒绝根据当前流量进行访问，并上报至策略控制中心，返回步骤a3。
25.进一步地，所述步骤a5中，执行可信网络策略的主体包括各主机之间和各安全域之间。
26.进一步地，南北向流量安全准入对应的微隔离防护策略具体为：
27.b1、当用户发起网络访问请求时，通过agent插件向策略控制中心发送安全认证请求；
28.b2、通过策略控制中心对接收到的安全认证请求相关的用户进行身份验证，并判断是否验证通过；
29.若是，则进入步骤b3；
30.若否，则进入步骤b6；
31.b3、通过agent插件接收策略控制中心发送的加密连接信息，并向安全网关发起tls隧道连接请求；
32.b4、通过安全网关对当前用户进行身份验证，并判断是否验证通过；
33.若是，则进入步骤b5；
34.若否，则进入步骤b6；
35.b5、根据策略控制中心当前下发的可信网络策略，控制agent插件与后端资源连接，南北向流量安全准入；
36.b6、拒绝用户的访问请求。
37.进一步地，所述步骤b3中，所述agent插件接收的加密连接信息包括策略控制中心通过加密通道向agent插件发送的安全网关及资源，以及动态发送的安全网关准入用户及其所访问的资源信息。
38.进一步地，网络接入设备安全状态实时关联网络对应的微隔离策略具体为：
39.c1、在网络运行过程中，通过agent插件实时采集接入设备的安全要素；
40.c2、基于采集到的安全要素结合策略控制中心的可信网络策略，对当前接入设备进行可信评估打分；
41.c3、判断当前接入设备的可信评估分数是否低于设定阈值；
42.若是，则进入步骤c4；
43.若否，则进入步骤c8；
44.c4、判断当前接入设备处于外网环境还是内网环境；
45.若为内网环境，则进入步骤c5；
46.若为外网环境，则进入步骤c6；
47.c5、控制agent插件自动联动可信网络策略，隔离当前接入设备，进入步骤c7；
48.c6、控制agent插件自动联动安全网关，阻断当前设备的网络接入行为，进入步骤c7；
49.c7、完成接入设备环境感知，实现安全环境校验；
50.c8、将当前接入设备的可信评估分数上报至策略控制中心。
51.进一步地，所述步骤c1中安全要素包括系统及应用的漏洞、病毒查杀情况、硬件配置变化以及上网环境行为。
52.本发明的有益效果为：
53.本发明主要基于对云计算环境的充分了解，在零信任安全的理念下，融合网络微隔离、安全网关及系统环境感知等多项技术，实现了：
54.(1)采用安全网关技术，避免网络资产直接暴露在互联网环境中，以用户权限为中心，实现应用级的安全准入；
55.(2)采用自适应微隔离防护技术，智能创建东西向流量隔离规则，有效简化了网络隔离管理方式；
56.(3)采用设备安全环境感知技术，动态管理安全网关和微隔离功能，实时监控网络接入设备自身安全性，有效阻断恶意行为通过不安全设备对内部网络的侵害。
附图说明
57.图1为本发明提供的采用零信任架构的微隔离防护系统结构示意图。
具体实施方式
58.下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。
59.在描述本发明的具体实施例之前，为使本发明的方案更加清楚完整，首先对本发
明中出现的缩略语和关键术语定义进行说明：
60.南北向流量：通常画网络拓扑图时，习惯上把服务器和客户端之间画成上下方向，因此叫南北流量
61.东西向流量：网络图拓扑图中将服务器之间的流量喜欢画在水平方向，因此叫东西流量，也叫横向流量；
62.微隔离技术：微隔离技术(micro
‑
segmentation)是vmware在应对虚拟化隔离技术时提出来的，能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求，重点用于阻止攻击者进入企业数据中心网络内部后的横向平移(或者叫东西向移动)。
63.零信任：零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，用一句通俗的话来概括，就是“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则，可以保障办公系统的三个“安全”：终端安全、链路安全和访问控制安全。
64.安全网关：安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤，设置的目的是防止internet或外网不安全因素蔓延到自己企业或组织的内部网，安全网关在应用层和网络层上面都有防火墙的身影，在第三层上面还能看到vpn作用。
65.实施例1：
66.如图1所示，一种采用零信任架构的微隔离防护系统，包括逻辑架构和物理架构，其中，所述逻辑架构包括执行层、采集层、持久层、逻辑功能层和展示层；物理架构包括策略控制中心、安全网关和agent插件；
67.所述执行层用于执行策略控制中心指定的安全策略；所述采集层用于采集网络接入设备的资产；所述持久层用于格式化存储资产信息，并为策略控制中心提供数据基础；所述逻辑功能层用于网络授信准入、访问策略的制定及维护，进行设备环境风险评估和微隔离策略的制定和维护；所述展示层用于导出设备风险评估报告并展示网络流量拓扑图；
68.所述策略控制中心用于负责持久层、逻辑功能层以及展示层的功能执行；所述安全网关用于负责执行层的身份验证；所述agent插件用于负责采集层和执行层中除身份验证外的其他功能。
69.上述采集层采集的资产包括设备的资产信息、网络流量信息、病毒查杀信息，以及系统和应用漏洞信息。
70.基于上述系统结构，本实施例实现微隔离网络防护时，对于南北向流量，采用安全网关模块进行身份验证和访问授权；对于东西向流量，采用微隔离模块进行自适应网络流量管控；采用安全环境感知模块，对网络接入设备的安全性进行实时校验，一旦感知到设备异常，立即中断网络接入行为。
71.实施例2：
72.基于上述实施例1中的系统结构，本实施例提供了一种采用零信任架构的微隔离防护方法，所述微隔离防护方法应用于所述微隔离防护系统中，所述采用零信任架构的微隔离防护方法具体为：
73.实时监控网络运行中的东西向流量、南北向流量以及网络接入设备安全状态，并在需进行东西向流量自适应管控、南北向流量安全准入以及网络接入设备安全状态实时关联网络中任意一项及一项以上时，采用对应策略实现微隔离防护。
74.在上述方法中，需进行东西向流量自适应管控的条件为：用于提供主机或业务间的东西向流量超过设定阈值；
75.需进行南北向流量安全准入的条件为：用户请求访问网络及网络资源；
76.需进行网络接入设备安全状态实时关联网络的条件为：接入网络的可信评估分数低于设定阈值。
77.在本实施例中，东西向量流量自适应管控对应的微隔离防护策略具体为：
78.a1、通过管理员在策略控制中心启动网络流量采集策略；
79.a2、基于网络流量采集策略，通过agent插件采集全平台的网络流量信息；
80.a3、基于采集的网络流量信息，通过策略控制中心生成可信网络策略；
81.a4、通过管理员确认及优化生成的可信网络策略，并下发至agent插件中；
82.a5、通过agent插件接收并在各主体之间执行可信网络策略；
83.其中，执行可信网络策略的主体包括各主机之间和各安全域之间。
84.a6、通过agent插件捕获主体间的流量是否符合当前可信网络策略；
85.若是，则进入步骤a7；
86.若否，则进入步骤a6；
87.a6、允许根据当前流量进行访问，实现东西向流量自适应管控；
88.a7、拒绝根据当前流量进行访问，并上报至策略控制中心，返回步骤a3。
89.上述策略主要用于提供主机或业务间的东西(横向)网络流量控制，首先根据业务或组织结构等终端属性，将平台下的所有终端划分为不同的安全域，然后利用位于终端上的代理程序，自动采集全平台网络流量信息，并由管理中心以流量可视化的形式，直观展示在不同安全域之间、不同逐渐之间的网络流量访问情况；结合策略控制中心强大的计算能力，智能分析，自动生成域与域之间、主机与主机之间的可信网络策略，最终实现平台内部主机之间网络侧面、业务层面的微隔离，从根本上盖板原有主机版防火墙策略僵化、难以维护的问题。
90.本实施例中，南北向流量安全准入对应的微隔离防护策略具体为：
91.b1、当用户发起网络访问请求时，通过agent插件向策略控制中心发送安全认证请求；
92.b2、通过策略控制中心对接收到的安全认证请求相关的用户进行身份验证，并判断是否验证通过；
93.若是，则进入步骤b3；
94.若否，则进入步骤b6；
95.其中，对于通过验证的用户会发送响应报文；
96.b3、通过agent插件接收策略控制中心发送的加密连接信息，并向安全网关发起tls隧道连接请求；
97.其中，agent插件接收的加密连接信息包括策略控制中心通过加密通道向agent插件发送的安全网关及资源，以及动态发送的安全网关准入用户及其所访问的资源信息；且
当在agent插件接收到响应报文后，再想完全网关发送tls隧道连接请求；
98.b4、通过安全网关对当前用户进行身份验证，并判断是否验证通过；
99.若是，则进入步骤b5；
100.若否，则进入步骤b6；
101.具体地，安全网关收到agent插件的tls隧道连接请求时，核对agent身份以及控制器下发的关于agent的信息，核对通过后，agent与安全网关建立安全tls隧道连接；
102.b5、根据策略控制中心当前下发的可信网络策略，控制agent插件与后端资源连接，南北向流量安全准入；
103.其中，后端资源是指用户请求访问资源的业务服务端等资源；
104.b6、拒绝用户的访问请求。
105.上述策略基于零信任安全模型，以用户权限为中心实现应用及的安全准入，用过形成按需、动态的权限矩阵，结合iam认证技术对用户身份进行管理，在用户认证基础上，对访问资源范围进行策略预设立，有效控制访问资源列表范围。
106.本实施例中网络接入设备安全状态实时关联网络对应的微隔离策略具体为：
107.c1、在网络运行过程中，通过agent插件实时采集接入设备的安全要素；
108.其中，安全要素包括系统及应用的漏洞、病毒查杀情况、硬件配置变化以及上网环境行为；
109.c2、基于采集到的安全要素结合策略控制中心的可信网络策略，对当前接入设备进行可信评估打分；
110.c3、判断当前接入设备的可信评估分数是否低于设定阈值；
111.若是，则进入步骤c4；
112.若否，则进入步骤c8；
113.c4、判断当前接入设备处于外网环境还是内网环境；
114.若为内网环境，则进入步骤c5；
115.若为外网环境，则进入步骤c6；
116.c5、控制agent插件自动联动可信网络策略，隔离当前接入设备，进入步骤c7；
117.c6、控制agent插件自动联动安全网关，阻断当前设备的网络接入行为，进入步骤c7；
118.c7、完成接入设备环境感知，实现安全环境校验；
119.c8、将当前接入设备的可信评估分数上报至策略控制中心。