今日頭條
官方微信
官方抖音
資訊頻道網(wǎng)絡(luò)準(zhǔn)入控制主要通過(guò)安全認(rèn)證與控制實(shí)現(xiàn)端點(diǎn)的安全接入,各類準(zhǔn)入控制技術(shù)不斷涌現(xiàn)和發(fā)展以解決局域網(wǎng)邊界安全問(wèn)題,然而隨著網(wǎng)絡(luò)復(fù)雜性和部署管理便捷性要求的提升,固定的準(zhǔn)入控制手段已不能適應(yīng)種類繁多的安全場(chǎng)景需求。綜述準(zhǔn)入控制框架及技術(shù)發(fā)展,提出一種基于軟件定義思想的準(zhǔn)入控制體系,闡述其模型、架構(gòu)、主要技術(shù)及應(yīng)用場(chǎng)景,通過(guò)資源編排、資產(chǎn)管理與態(tài)勢(shì)統(tǒng)一呈現(xiàn)等設(shè)計(jì)適應(yīng)不同用戶環(huán)境的安全準(zhǔn)入和資產(chǎn)管理需求。
作為內(nèi)網(wǎng)安全防護(hù)的“第一道關(guān)卡”,網(wǎng)絡(luò)準(zhǔn)入控制依托身份認(rèn)證和安全檢查結(jié)果實(shí)施訪問(wèn)控制措施,阻止身份不合法、狀態(tài)不合規(guī)的對(duì)象接入,解決局域網(wǎng)邊界安全問(wèn)題。隨著網(wǎng)絡(luò)的發(fā)展和信息化程度的提升,各種打印機(jī)、攝像頭、IP電話、BYOD手持設(shè)備等“啞終端”不斷涌現(xiàn),對(duì)傳統(tǒng)安裝代理進(jìn)行入網(wǎng)認(rèn)證的方式提出挑戰(zhàn),于是興起了各種無(wú)代理準(zhǔn)入技術(shù),擺脫對(duì)網(wǎng)絡(luò)通信設(shè)備和客戶端代理的依賴,如李京飛提出的基于終端特征指紋的準(zhǔn)入控制。同時(shí),云平臺(tái)、虛擬化、物聯(lián)網(wǎng)等新技術(shù)逐步使用,網(wǎng)絡(luò)準(zhǔn)入控制也向資產(chǎn)發(fā)現(xiàn)、內(nèi)網(wǎng)資源管控的方向拓展,如劉濤等提出的實(shí)現(xiàn)無(wú)盲區(qū)準(zhǔn)入控制目標(biāo)的解決方案。
面對(duì)未來(lái)愈加復(fù)雜異構(gòu)的局域網(wǎng)環(huán)境,各種應(yīng)用場(chǎng)景和安全要求并存,單一的準(zhǔn)入控制機(jī)制,或者某幾種準(zhǔn)入控制機(jī)制的簡(jiǎn)單堆砌已不能滿足所有的安全防護(hù)和管理運(yùn)維要求,功能完備、自適應(yīng)能力強(qiáng)、部署維護(hù)簡(jiǎn)便、分析展現(xiàn)直觀,無(wú)疑將是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的一個(gè)重點(diǎn)發(fā)展方向。
1 網(wǎng)絡(luò)準(zhǔn)入控制框架
網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)與機(jī)制眾多,但其核心思想和框架模型都是統(tǒng)一的,如圖1所示。
框架中包括三個(gè)實(shí)體:
(1)入網(wǎng)實(shí)體。局域網(wǎng)外部待接入的對(duì)象,包含人和終端。人主要指其身份信息,終端的范疇則涵蓋PC機(jī)、服務(wù)器、打印機(jī)、IP電話、音視頻設(shè)備和BYOD設(shè)備等。在準(zhǔn)入認(rèn)證過(guò)程中通過(guò)身份證書、物理特征、行為基線等來(lái)識(shí)別入網(wǎng)實(shí)體。
(2)鑒別實(shí)體。局域網(wǎng)內(nèi)提供認(rèn)證鑒別服務(wù)的實(shí)體(如AAA服務(wù)器等),與入網(wǎng)實(shí)體進(jìn)行認(rèn)證信息交互,結(jié)合安全策略實(shí)施入網(wǎng)判決,將判決結(jié)果通知控制實(shí)體,并記錄接入狀態(tài)和日志信息。
(3)控制實(shí)體。局域網(wǎng)內(nèi)實(shí)施接入控制操作的實(shí)體(如802.1X交換機(jī)等),接收鑒別實(shí)體發(fā)送的判決結(jié)果,在網(wǎng)絡(luò)、端口、協(xié)議、流量等層面施加訪問(wèn)控制。部分場(chǎng)景中控制實(shí)體可與鑒別實(shí)體合二為一(如網(wǎng)關(guān)式準(zhǔn)入)。
不同準(zhǔn)入控制機(jī)制的區(qū)別主要體現(xiàn)在網(wǎng)絡(luò)準(zhǔn)入控制的三類方法中:
(1)認(rèn)證方法。鑒別實(shí)體對(duì)接入實(shí)體進(jìn)行認(rèn)證鑒權(quán)采用的工作模式、部署方式和認(rèn)證技術(shù)的組合,工作模式有旁路模式和串接模式;部署方式包括有代理方式和針對(duì)啞終端的無(wú)代理方式;認(rèn)證技術(shù)有傳統(tǒng)的802.1X、PORTAL、DHCP等,以及基于資產(chǎn)探測(cè)和特征識(shí)別的無(wú)代理認(rèn)證技術(shù)。
(2)聯(lián)動(dòng)方法。鑒別實(shí)體通知控制實(shí)體進(jìn)行入網(wǎng)控制的方法,傳統(tǒng)的準(zhǔn)入技術(shù)其工作流程已包含聯(lián)動(dòng)方法,如支持802.1X和PORTAL協(xié)議的交換機(jī)能解析認(rèn)證消息并自動(dòng)實(shí)施控制;無(wú)代理準(zhǔn)入時(shí)則需要鑒別實(shí)體通過(guò)SNMP、SSH等遠(yuǎn)程管理方式主動(dòng)下發(fā)交換機(jī)配置策略以實(shí)現(xiàn)控制。
(3)控制方法。控制實(shí)體根據(jù)策略對(duì)接入實(shí)體實(shí)施訪問(wèn)控制的方法,有基于終端軟件的控制(如ARP阻斷、終端本地防火墻)、基于網(wǎng)絡(luò)設(shè)備的控制(如交換機(jī)端口控制、ACL控制)和基于網(wǎng)絡(luò)應(yīng)用協(xié)議的控制(策略路由、虛擬網(wǎng)關(guān)、TCP連接)等。
2 軟件定義概念
軟件定義,即用軟件定義系統(tǒng)功能,通過(guò)軟件編程實(shí)施靈活、多樣的功能編排,實(shí)現(xiàn)系統(tǒng)動(dòng)態(tài)賦能,提供用戶化、智能化和定制化的服務(wù)能力。2009年斯坦福大學(xué)首次提出SDN(Software Defined Network,軟件定義網(wǎng)絡(luò))概念,ONF(Open Networking Foundation,開(kāi)放網(wǎng)絡(luò)基金會(huì))在2012年發(fā)布SDN技術(shù)白皮書,并致力于加速其部署,希望通過(guò)軟件編程的形式定義和控制網(wǎng)絡(luò)。
Gartner在2012年提出SDS(Software Defined Security,軟件定義安全)概念,將網(wǎng)絡(luò)安全設(shè)備與其接入模式、部署方式、實(shí)現(xiàn)功能進(jìn)行解耦,底層抽象為安全資源池里的資源,頂層通過(guò)軟件編程方式進(jìn)行智能化、自動(dòng)化的編排和管理,完成相應(yīng)安全功能,實(shí)現(xiàn)一種靈活的安全體系,在復(fù)雜網(wǎng)絡(luò)防護(hù)上表現(xiàn)出更強(qiáng)的適應(yīng)性。
3 軟件定義準(zhǔn)入控制
3.1 模型
由于網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性,局域網(wǎng)準(zhǔn)入的認(rèn)證、聯(lián)動(dòng)和控制方法呈現(xiàn)多樣化發(fā)展,衍生了各種聯(lián)動(dòng)和組合,本文借鑒軟件定義的思想,提出一種準(zhǔn)入控制體系,通過(guò)軟件編程的方式自動(dòng)編排各種準(zhǔn)入控制資源構(gòu)件,實(shí)現(xiàn)靈活智能的組織模式,為用戶提供定制化、自適應(yīng)的準(zhǔn)入控制服務(wù),適應(yīng)不同場(chǎng)景需求。
基于軟件定義的準(zhǔn)入控制模型如圖2所示。
資源編排、控制檢測(cè)和管理呈現(xiàn)三個(gè)方面形成一個(gè)動(dòng)態(tài)、閉環(huán)的工作模型,體現(xiàn)靈活組織、統(tǒng)一管理的特點(diǎn)。
(1)資源編排:根據(jù)統(tǒng)一管理和配置,由軟件編程的方式實(shí)現(xiàn)認(rèn)證、聯(lián)動(dòng)和控制方法的按需組合,達(dá)到準(zhǔn)入資源靈活聯(lián)動(dòng)和協(xié)同作用的目標(biāo)。
(2)控制檢測(cè):在實(shí)施準(zhǔn)入控制的同時(shí),檢測(cè)局域網(wǎng)邊界及內(nèi)部的異常情況和薄弱環(huán)節(jié),實(shí)施安全審計(jì),并向統(tǒng)一管理平臺(tái)上報(bào)日志、告警數(shù)據(jù)。
(3)管理呈現(xiàn):集中管理各類準(zhǔn)入控制資源,實(shí)施統(tǒng)一注冊(cè)、池化管理、彈性分配和動(dòng)態(tài)加載;集中展示當(dāng)前局域網(wǎng)準(zhǔn)入態(tài)勢(shì),通過(guò)分析預(yù)測(cè),針對(duì)當(dāng)前態(tài)勢(shì)演化出針對(duì)性的解決方案并指導(dǎo)自適應(yīng)編排過(guò)程,實(shí)現(xiàn)閉環(huán)體系。
3.2 架構(gòu)
軟件定義準(zhǔn)入控制體系的核心是資源按需編排、快速靈活部署和態(tài)勢(shì)統(tǒng)一呈現(xiàn),實(shí)現(xiàn)自適應(yīng)的準(zhǔn)入控制能力和內(nèi)網(wǎng)資產(chǎn)及準(zhǔn)入態(tài)勢(shì)展現(xiàn)能力,其架構(gòu)如圖3所示。
整個(gè)架構(gòu)包含四個(gè)層面:
(1)管理層。位于最頂層,用于人機(jī)交互,它基于編排層提供的API下發(fā)準(zhǔn)入功能需求策略描述,由編排層進(jìn)行解析和處理。同時(shí),從當(dāng)前運(yùn)行的準(zhǔn)入資源構(gòu)件中收集終端資產(chǎn)和網(wǎng)絡(luò)拓?fù)湫畔⑦M(jìn)行展現(xiàn),匯總準(zhǔn)入日志和告警信息進(jìn)行統(tǒng)計(jì)分析,提供內(nèi)網(wǎng)終端準(zhǔn)入態(tài)勢(shì)的可視化呈現(xiàn),為管理人員掌握內(nèi)網(wǎng)安全狀態(tài)和系統(tǒng)自適應(yīng)調(diào)整安全策略提供數(shù)據(jù)支撐和預(yù)測(cè)素材。
(2)編排層。整個(gè)體系的核心功能層,根據(jù)管理層下發(fā)的功能及場(chǎng)景需求描述,通過(guò)語(yǔ)義解析、特征識(shí)別、編排組織等流程生成針對(duì)性的策略模板(包括工作模式、部署方式、認(rèn)證方式、控制粒度和聯(lián)動(dòng)機(jī)制等要素),滿足用戶對(duì)準(zhǔn)入控制的能力定制要求,適應(yīng)網(wǎng)絡(luò)的應(yīng)用場(chǎng)景特點(diǎn)。編排完成后向管理層反饋編排結(jié)果,并向控制層下發(fā)模板和策略。
(3)控制層。根據(jù)編排部署策略模板,實(shí)現(xiàn)對(duì)資源層功能構(gòu)件的編排和管理。通過(guò)解析編排策略為資源調(diào)度提供依據(jù);通過(guò)資源管理實(shí)現(xiàn)插件化的準(zhǔn)入資源構(gòu)件注冊(cè)、注銷和維護(hù);通過(guò)統(tǒng)一調(diào)度實(shí)現(xiàn)各功能插件的協(xié)調(diào)運(yùn)行和功能互補(bǔ);通過(guò)狀態(tài)監(jiān)控實(shí)現(xiàn)插件工作狀態(tài)監(jiān)管和異常沖突等的處理。
(4)資源層。包含各類準(zhǔn)入控制功能模塊,這些模塊在控制層注冊(cè)后成為準(zhǔn)入資源池的公共資源,接受集中管理和統(tǒng)一調(diào)度,實(shí)現(xiàn)協(xié)同工作,發(fā)揮單一準(zhǔn)入控制功能無(wú)法達(dá)到的防護(hù)效能;同時(shí),各功能模塊也按照統(tǒng)一的數(shù)據(jù)規(guī)范向管理層上報(bào)端點(diǎn)接入信息、網(wǎng)絡(luò)拓?fù)湫畔⒑腿罩靖婢畔ⅲ┢溥M(jìn)行綜合統(tǒng)計(jì)與分析展示。
3.3 主要技術(shù)
(1)準(zhǔn)入資源自動(dòng)編排技術(shù)
資源編排是軟件定義準(zhǔn)入控制體系的核心技術(shù),是實(shí)現(xiàn)功能適配、場(chǎng)景兼容和能力自適應(yīng)的關(guān)鍵,工作機(jī)制如圖4所示。
資源自動(dòng)編排過(guò)程如下:
第一步,根據(jù)準(zhǔn)入語(yǔ)義庫(kù)的規(guī)則對(duì)用戶的需求及應(yīng)用場(chǎng)景的描述進(jìn)行語(yǔ)義解析和轉(zhuǎn)換,形成可供后續(xù)處理的標(biāo)準(zhǔn)化特征描述,如終端類型、網(wǎng)絡(luò)規(guī)模、組網(wǎng)方式、接入要求、安全級(jí)別等;
第二步,將特征描述與準(zhǔn)入特征庫(kù)的特征數(shù)據(jù)進(jìn)行匹配,識(shí)別出有效的特征;
第三步,直接從準(zhǔn)入模板庫(kù)中匹配和提取滿足需求的成熟模板,或者從資源池中讀取功能構(gòu)件的注冊(cè)描述信息,基于需求的特征進(jìn)行智能編排組織,形成新的自定義模板;
第四步,向底層下發(fā)編排模板和部署策略;
第五步,編排結(jié)束后,通過(guò)編排時(shí)的上下文關(guān)聯(lián)學(xué)習(xí),對(duì)準(zhǔn)入語(yǔ)義庫(kù)、準(zhǔn)入特征庫(kù)和準(zhǔn)入模板庫(kù)進(jìn)行更新,包括庫(kù)內(nèi)容和匹配模式的更新等。
(2)資產(chǎn)發(fā)現(xiàn)與拓?fù)淅L制技術(shù)
通過(guò)資產(chǎn)發(fā)現(xiàn)與識(shí)別可以形成局域網(wǎng)的IP資產(chǎn)清單,通過(guò)網(wǎng)絡(luò)拓?fù)浞治雠c繪制可以形成局域網(wǎng)的物理拓?fù)浜瓦壿嬐負(fù)洌瑸楣芾磉\(yùn)維和應(yīng)急處置等提供有力支撐。資產(chǎn)發(fā)現(xiàn)與拓?fù)淅L制的工作機(jī)制如圖5所示。
針對(duì)資產(chǎn)的掃描識(shí)別與網(wǎng)絡(luò)拓?fù)涞睦L制分析包括主動(dòng)發(fā)現(xiàn)和被動(dòng)發(fā)現(xiàn)兩種方式。
主動(dòng)發(fā)現(xiàn)依托終端上安裝的代理軟件獲取終端硬件的詳細(xì)指紋特征、準(zhǔn)入認(rèn)證信息和網(wǎng)絡(luò)會(huì)話信息;依托網(wǎng)絡(luò)掃描嗅探獲取無(wú)代理終端的資產(chǎn)指紋特征并檢測(cè)非法接入終端,依托與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)獲取終端和網(wǎng)絡(luò)設(shè)備間的連接關(guān)系。
被動(dòng)發(fā)現(xiàn)依托交換機(jī)鏡像口等方式獲取內(nèi)網(wǎng)流量,通過(guò)流量分析獲取終端間的網(wǎng)絡(luò)會(huì)話關(guān)系。
更進(jìn)一步的,通過(guò)資產(chǎn)指紋與特征庫(kù)的匹配識(shí)別資產(chǎn)的類型、廠家、型號(hào)等信息,通過(guò)網(wǎng)絡(luò)連接關(guān)系分析繪制網(wǎng)絡(luò)的物理拓?fù)洌ㄟ^(guò)終端會(huì)話關(guān)系分析繪制網(wǎng)絡(luò)的邏輯拓?fù)洌罱K由統(tǒng)一監(jiān)管平臺(tái)進(jìn)行集中管理和態(tài)勢(shì)展現(xiàn)。
(3)準(zhǔn)入控制技術(shù)對(duì)比分析
網(wǎng)絡(luò)準(zhǔn)入控制從最初基于終端軟件的架構(gòu)(Software-based
NAC,如終端防火墻),發(fā)展到基于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的架構(gòu)(Infrastructure-based
NAC,如802.1X、PORTAL),再到基于應(yīng)用的架構(gòu)(Appliance-based
NAC,如策略路由、虛擬網(wǎng)關(guān)準(zhǔn)入),涌現(xiàn)了各種準(zhǔn)入控制技術(shù),業(yè)界也在研究這些技術(shù)的優(yōu)勢(shì)互補(bǔ)和融合,如基于DHCP和TCP特征掃描的準(zhǔn)入控制、定制化的無(wú)盲區(qū)綜合網(wǎng)絡(luò)準(zhǔn)入方案、基于802.1X+portal的準(zhǔn)入應(yīng)用、基于策略路由和MVG技術(shù)融合的準(zhǔn)入體系、基于多種準(zhǔn)入技術(shù)實(shí)現(xiàn)準(zhǔn)入控制和審計(jì)。準(zhǔn)入技術(shù)的融合互補(bǔ)是必然的發(fā)展趨勢(shì),下面對(duì)主流準(zhǔn)入控制技術(shù)進(jìn)行對(duì)比分析,如表1所示,以作為功能編排融合的參考。
4 應(yīng)用場(chǎng)景
基于軟件定義的網(wǎng)絡(luò)準(zhǔn)入控制可以根據(jù)用戶需求進(jìn)行功能編排自適應(yīng),滿足不同場(chǎng)景的應(yīng)用要求,下面以幾種典型場(chǎng)景為例說(shuō)明:
場(chǎng)景一:高安全級(jí)別專用網(wǎng)絡(luò)。該場(chǎng)景安全性是首要需求,部署維護(hù)的復(fù)雜性可以接受,因此可編排802.1X+策略路由(或虛擬網(wǎng)關(guān))+資產(chǎn)發(fā)現(xiàn)的準(zhǔn)入體系,兼顧有代理終端的細(xì)粒度認(rèn)證、端口級(jí)強(qiáng)制管控,以及音視頻等啞終端的硬件指紋生成、仿冒識(shí)別和流量訪問(wèn)控制。
場(chǎng)景二:用戶要求較好的入網(wǎng)認(rèn)證體驗(yàn)和故障逃生能力。該場(chǎng)景更傾向于易用性,一般采用引導(dǎo)式入網(wǎng)手段,在交換機(jī)支持PORTAL協(xié)議的情況下可以編排PORTAL+認(rèn)證代理的體系,否則可編排策略路由+資產(chǎn)發(fā)現(xiàn)的體系。
場(chǎng)景三:以WEB應(yīng)用為主的網(wǎng)絡(luò),要求部署簡(jiǎn)便的準(zhǔn)入控制系統(tǒng)。該場(chǎng)景中應(yīng)用業(yè)務(wù)以WEB為主,同時(shí)考慮部署便捷性,可以編排SPAN+TCP RESET的應(yīng)用協(xié)議準(zhǔn)入控制實(shí)現(xiàn),非法終端的HTTP訪問(wèn)會(huì)因TCP握手過(guò)程被阻斷而無(wú)法完成。同時(shí),根據(jù)用戶需求可以采用有代理的認(rèn)證或者基于資產(chǎn)特征識(shí)別的無(wú)代理認(rèn)證手段。
場(chǎng)景四:采用DHCP管理IP的啞設(shè)備網(wǎng)絡(luò)。該場(chǎng)景允許采用DHCP動(dòng)態(tài)分配IP地址,且無(wú)法安裝代理軟件,通過(guò)編排DHCP+資產(chǎn)特征識(shí)別+IPAM的體系解決,在DHCP過(guò)程中根據(jù)DHCP響應(yīng)數(shù)據(jù)和TCP端口分析形成硬件指紋,識(shí)別仿冒終端,同時(shí)通過(guò)IPAM實(shí)現(xiàn)IP地址可視化集中管理。在交換機(jī)支持DHCP Snooping+DAI的情況下,還可增加交換機(jī)聯(lián)動(dòng)機(jī)制,開(kāi)啟網(wǎng)絡(luò)中接入交換機(jī)的防護(hù)功能。
5 結(jié)語(yǔ)
本文對(duì)網(wǎng)絡(luò)準(zhǔn)入控制框架及體系發(fā)展進(jìn)行綜述,提出了一種基于軟件定義思想的準(zhǔn)入控制體系,包括概念、模型和架構(gòu),從資源編排、資產(chǎn)識(shí)別、集中管控與態(tài)勢(shì)呈現(xiàn)等方面介紹了體系的核心技術(shù)和工作機(jī)制,并對(duì)比分析了常用準(zhǔn)入控制技術(shù),為軟件編排提供參考。相較于單一或固定的準(zhǔn)入控制體系,軟件定義準(zhǔn)入控制體系依托準(zhǔn)入功能資源池化和智能化編排,可以靈活衍變以適應(yīng)不同應(yīng)用場(chǎng)景的需要,并通過(guò)內(nèi)網(wǎng)資產(chǎn)集中管理和準(zhǔn)入態(tài)勢(shì)統(tǒng)一呈現(xiàn)為管理人員提供微觀細(xì)粒度管控和宏觀全態(tài)勢(shì)掌控能力。
作者簡(jiǎn)介 >>>
鄧永暉(1984—),男,碩士,工程師,主要研究方向?yàn)樾畔踩?/p>
周 佳(1985—),女,碩士,工程師,主要研究方向?yàn)樾畔踩?/p>
鹿文楊(1990—),男,碩士,工程師,主要研究方向?yàn)樾畔踩?/p>
來(lái)源:信息安全與通信保密
北京市公安局海淀分局備案號(hào):11010802023656號(hào)