快页统一安全访问平台USA

1. 需求分析

1.1.  业务现状

随着云计算、移动化、loT 等新技术的出现让组织数据不再局限在墙内，传统安全边界在瓦解，组织 IT 架构正在从“有边界”向“无边界”转变，因此，组织的数据在那，安全就得在那。在移动化+云化的大背景下，越来越多的组织用户开始使用云上应用、使用移动设备进行移动办公，组织 IT 基础设施及用户办公的内外边界逐步模糊，组织 IT 架构正在从“有边界”向“无边界”进行转变。

1） 业务离开内网：越来越多的业务系统上云，组织的网络环境也越来越复杂。

2） 人离开内网：

A） 随着组织云化、移动化将会有越来愈多的组织用户不在组织防火墙内进行办公。

B）员工更愿意使用自己的设备办公。

C）组织之间的连接越来越多，供应商、合作伙伴需要访问单位的内网来办理业务。

1.2.  风险分析

目前，许多企业将部分应用托管于阿里云上，为工作人员、社会企业或个人提供涉及相关的业务服务。这些重要应用直接暴露于互联网上，面临着诸多安全威胁。

1.恶意木马攻击入侵，有6.3%的云主机曾在一个月内发生恶意木马事件。从监测数据看，感染趋势仍在上升。

2.云上勒索事件，主要表现为数据库被入侵者加密锁定，导致企业云主机服务彻底瘫痪。

3.异常登录事件不断上升，企业安全运维常用的22端口全年被登录超2.5亿次，运维人员常用的默认用户名，被异常登录的次数过千万。

4.爆破攻击超高频发生，原因是，软件开发者、企业运维人员大量使用弱口令，常见的弱口令基本都被黑客收集。

5.云上组件安全漏洞持续增加，以拒绝服务、远程代码执行、任意文件读写最为严重。

6.安全基线风险突出，83%的云上业务存在隐患，安全基线风险属于较普遍的服务器配置不当，一些系统或组件的默认配置为黑客入侵大开方便之门。

7.高危命令审计结果表明，企业安全运维人员过于频繁执行高危命令，可能存在权限管控不够等风险。

上述普遍存在的安全风险，对组织会造成严重后果，包括：黑客入侵导致企业关键业务数据被窃取、主机业务系统被破坏导致系统瘫痪或中断、云主机资源被黑客控制挖矿，导致系统正常服务性能极差。严重的信息泄露，还会导致企业品牌受损、还可能承担国家网络安全法规定的法律责任。

2. 安全设计

针对众多企业的公有云业务现状以及面临的安全风险，我们建议应立即部署统一安全访问平台，在用户终端和阿里云之间搭建一套可信的内部安全访问体系，即互联网应用只对“特定用户+特定设备”可见，对其他人完全不可见，并且该用户访问应用的行为可以进行严格控制和记录。这种模式很好地解决了组织移动办公、上云带来的应用暴露在公网的问题，同时也可以加固现有内网办公的安全性。

2.1.   系统架构

快页以便捷访问和极简运维为基础，以业务智能安全防护为核⼼，凭借安全领域多年的技术积累，基于零信任的理念，设计了⼀套全新的统一安全访问⽅案。

快页统一安全访问⽅案以可信身份为基⽯，采⽤控制⾯和数据⾯分离的⽅式，设计了两个核⼼组件。其中，认证中⼼主要提供单点登录、⾝份认证、权限管理、行为审计等功能；安全⽹关主要实现隧道加密、代理访问、策略执行等功能。

在阿里云启用一台虚机，用于部署快页统一安全访问服务端；在PC电脑或手机等终端，根据不同操作系统安装快页统一安全访问客户端软件，客户端支持 windows 操作系统、MACOS 操作系统、Android 操作系统、iOS 操作系统。

2.2.  系统功能

（1）统一安全接入

安全网关默认“拒绝一切（deny all）”连接，只会接收客户端发来的第一个带身份信息的包。 安全网关验证通过后，才会允许建立连接。SPA 和动态端口技术保证了黑客无法检测到安全网关开放的端口，无法对深云安全网关进行扫描。

（2）统一认证服务

用户名口令认证、LDAP认证、PKI（USB-KEY）认证、二维码认证、OTP（动态口令）认证、互联网快捷认证（QQ/微信/钉钉等）、生物特征认证、第三方认证。

（3）统一权限管理

支持用户角色权限、组织权限等多种资源授权体系，支持横向、纵向数据授权模式。

（4）统一应用集成

在线集成指引在线接入文档、在线接入、在线调试等，服务（应用）单点集成，支持CAS CLIENT、OAUTH2.0、SAML2.0、RESTFUL API、FORMBASE等。

（5）统一用户管理

用户类型管理，人员信息同步，账号全生命周期管理，角色管理，权限管理，组织管理，账号和密码安全策略。

（6）统一审计管理

用户管理行为审计、用户访问行为审计、审计报表。

2.3.  系统特点

USA正取代VPN，成为云和移动时代下安全远程访问的解决方案。

USA的基本原则是ABCD：不假设任何事（Assumenothing），不相信任何人（Believe nobody），检查所有内容（Check everything），阻止威胁（Defeat threats）。

USA核心特征为：

网络隐身

将控制层面和数据层面分离，在控制平面验证用户身份，经过授权后建立数据信道进行传输。这一架构可实现核心资产隐身，最小化攻击面；

零信任

遵循“从不信任，始终验证”原则，以用户身份为中心进行验证与授权；没有经过身份验证和授权之前，服务对任何用户都是完全不可见的；

细粒度、动态控制访问

根据身份上下文制定访问策略，按需授权，提供最小限度的访问权限，动态控制访问；

通信加密

利用单包授权(SPA)和互传输层安全(mTLS)等技术，进行双向加密的通信。

此外，USA仅使用软件即可部署、管理和可视化网络连接，更易于管理和扩展。USA实现了网络连接安全性、灵活性和有效性的极大提升，能够满足云和移动时代下的安全、高效访问需求。

更快速

VPN的连接模式是隧道模式，类似于在客户端和VPN网关之间建立网络层长连接。我们都知道长链接对服务器的压力很大。不论用户有没有访问内网应用，始终都在与内网连接。这就使并发量成为了VPN服务器的瓶颈。而快页USA的模式是应用层的短连接模式。只在用户访问应用时才去连接USA网关，在没有数据传输的时候链接是断开的。快页USA采用云原生部署架构，支持大体量用户，提升用户的访问速度。

更稳定

VPN是基于长连接的。用户访问网站前，需要建立并维持一个VPN隧道。一旦隧道断了，用户就掉线了。VPN的隧道对网络很敏感，所以显得很不稳定，比如wifi信号弱，断了1秒钟，那用户的VPN就断了。用户发现网站打不开，只能退出VPN重连。

快页USA相当于代理。用户访问网站时，USA网关才去转发用户的访问请求。就像平时上网一样，用户根本意识不到短暂的网络不稳定。

更安全

员工移动性大幅增加和云迁移盛行的时代，公司组织保护边界安全的难度越来越大，组织安全岌岌可危。传统VPN访问太过放任，远程员工得到的授权远超完成工作所需。因此，网络资源被不必要地暴露出来，为攻击者大开了方便之门。

用户登录VPN后，VPN通常会在网络层将用户的设备连入内网，提供无约束的网络访问。也就是说VPN用户可以对组织内网上的所有资源进行访问。这种要么能完全访问，要么根本不能访问的模式，令敏感资源及信息完全暴露在VPN用户和攻击者面前。一旦用户的VPN账号泄露，公司将面临巨大风险。

快页USA基于国际USA标准开发，同时在国际USA标准基础上开发出独有的特色功能，如linker连接器、SmartSPA、算力设备指纹、Smart DNS、DHR网络等特色功能。

国家标准规定将整个访问过程分为控制层和数据层，控制层对用户的身份进行单包认证（SPA）及鉴权，只有经过控制层认证和鉴权通过后的访问才能正常访问客体资源，未经过认证和鉴权的用户访问将不做任何响应，默认过滤掉一切非法访问，数据层只负责数据的代理传输。这种将数据层和控制层分离的模式，将更好的对用户访问业务资源进行访问控制，屏蔽非法访问。

快页USA对用户进行身份验证后，只授权用户访问特定业务系统，而非整个内网。USA的原理是在应用层转发用户请求，允许用户远程访问，但网络仍然是隔离的。用户与服务器不直连，USA网关本身起到一个堡垒机作用。

VPN在组织的安全边界上开了一个洞，允许用户通过这个洞出入组织内网。有洞就有可能遭到攻击，VPN会给组织带来一定的外部攻击风险。

快页USA通过动态端口技术，动态隐藏组织安全边界的出入口，基本上可以消除所有基于网络的黑客攻击风险。

屏蔽非法访问

默认情况下，USA网关会“拒绝一切”TCP连接；

用户在客户端填写身份信息后，USA客户端向网关发送一个带身份信息的UDP包；

网关验证通过后，才允许同IP的客户端在短时间内建立TCP连接；

此时合法的用户开始正常访问

SPA和动态端口技术保证了黑客看不到开放的端口，无法对服务器进行扫描，进而无法发起任何网络攻击。而且，黑客看不到服务器的内容，也就看不到攻破服务器能获取的好处，这将大大减少黑客进攻的意愿。

下表来自国际云安全联盟CSA发布的报告 ，列举了常见的网络攻击风险及USA对于解决威胁所起到的作用：

序号

风险项

USA功能作用

1

数据窃取

USA可以减少公开暴露的主机的攻击面，实现服务器和网络的安全性的“最

2

弱身份、密码与访问管理

过去，组织VPN访问密码被盗往往导致组织数据丢失。这是因为VPN通常允许用户对整个网络进行广泛的访问，从而成为弱身份、密码与访问管理中的薄弱环节。相比之下，USA不允许广泛的网络访问，并限制对这些主机的访问权限。这使得安全体系结构对弱身份、证书和访问管理有更大的弹性。USA还可以在用户访问资源之前执行强认证。

3

不安全的系统接口和API

保护用户接口不被未授权用户访问是USA的核心能力。使用USA，未经授权的用户（即攻击者）无法访问接口，因此无法利用任何漏洞。USA还可以通过在用户设备上运行的进程来保护API。

4

业务系统和应用程序漏洞

USA显著减少攻击面，通过将业务系统和应用程序的漏洞隐藏起来，对于未授权用户不可见。

5

账号劫持

基于会话cookie的帐户劫持被USA完全消除。如果没有预先认证和预先授权，并且携带适当的SPA数据包，应用服务器会默认拒绝来自恶意终端的网络连接请求。因此，即使网络请求中携带被劫持的会话cookie，也不会被USA网关准入。

6

内部恶意人员威胁

USA将限制内部人员造成安全威胁的能力。适当配置的USA系统将具有限制用户仅能访问执行业务功能所需的资源。因此，所有其他资源都将被隐藏。

7

高级持续威胁攻击（APTS）

APTS本质上是复杂的、多方面的，不会被任何单一的安全防御所阻止。USA通过限制受感染终端寻找网络目标的能力，并且在整个组织中实施多因子认证，有效减少攻击面，从而降低APT的存在可能性和传播。

8

数据泄密

USA通过执行最小权限原则，并将网络资源对未授权用户隐藏起来，来减少数据丢失的可能性。而且，USA可以通过适当的DLP解决方案来增强。

9

DDoS

USA架构中的单包授权（SPA）技术使得USA控制器和网关对阻止DDoS攻击更有弹性。SPA与典型的TCP握手连接相比可花费更少的资源，使服务器能够大规模处理、丢弃恶意的网络请求数据包。与TCP相比，基于UDP的SPA进一步提高了服务器的可用性。

更简单

VPN 不能准确地确认那些试图访问您网络的人员的身份，或者不能根据多重身份验证 (MFA) 提供持续的自适应放行/拦截机制。VPN隧道建立后，身份认证就只能依靠应用自身。

快页USA支持多种身份认证方式，以及特定应用的二次认证。用户访问任何应用前，都需要进行身份认证。

每当涉及云迁移，VPN管理复杂度就会膨胀，让IT管理员不得不配置和同步不同地点的VPN及防火墙策略。这让清除不必要的访问变得更加困难。

相比在每个数据中心和云实例中配置VPN的复杂和麻烦，管理员可将每个网络资源搭载到一个USA平台上，从此以后便在云端集中管理所有策略。

完全基于云的USA解决方案还有另一个优势：数据中心或管理员开放了访问权的虚拟私有云(VPC)上基本就没有什么设置或维护了。所有情报和安全实施都在USA的云端后台完成。

更开放

快页USA在设计之初就就充分考虑到产品的开放性，便于与其它业务系统进行充分融合，实现访问控制的动态权限调整，实现业务系统的内生安全。

快页USA集成终端威胁感知平台、威胁情报平台，以便对终端环境风险进行实时评估，对访问业务系统载体的风险状况进行整体掌控，作为访问控制的重要因素之一。

快页USA与IAM、AD、LDAP、HR、OA系统进行集成，实现用户信息的对接，实现用户源的统一，同时IAM、HR、OA等业务系统也可以集成快页USA的SDK包格式，在不改变用户使用习惯的情况下，实现业务资源的隐藏和安全访问控制。

快页USA可集成对接UEBA（用户和实体行为分析）中台，USA将采集到或记录到的用户行为信息传送到UEBA中台，UEBA对用户行为风险进行持续的实时的风险信任评估，并将评估结果返给快页USA的安全大脑（处置策略引擎），安全大脑根据风险评估等级对用户的访问进行持续认证或动态权限调整。

快页USA可对接SOC和SIEM系统，USA将采集到或记录到的用户行为信息传送到SOC或SIEM系统，SOC或SIEM系统将这些信息作为风险评估的数据源，利用这些信息进行综合风险评估，并展示在大屏更直观的将风险展示，指导组织对当前的的风险情况进行风险处置。

快页USA直接对接业务系统，以SDK的方式（或其他方式）集成进业务系统，将USA的安全防护能力直接内嵌入业务系统中，或者在业务系统建设之初就融合了USA的安全防护能力，实现业务系统的内生安全。

3. 实施效果

1）网络隐身，收敛互联网暴露面

USA具备网络隐身功能，能够将USA网关、业务服务器隐藏起来，只有合法、合规的USA客户端可以正常访问，对其他访问、扫描工具完全不可见。攻击者无法探测到USA网关及应用的IP、端口、漏洞等信息，使得攻击行为无处着手。

2）数据安全，一机一钥加密传输

USA客户端安装时生成一对密钥，私钥本地保存，公钥上传服务器，用户登录客户端后所有请求都使用该密钥进行加密传输，保障传输过程中的数据安全。

3）软件供应链安全，防御0day漏洞

零信任可以帮助用户隐藏互联网暴露面，黑客无法扫描、探测到业务服务器端口，0day漏洞无法预防，但在零信任防护下，即便业务服务器中存在0day漏洞，但因为黑客无法发现服务器端口，无法发起攻击，所以用户有充裕的时间来修复漏洞，杜绝被攻击的风险。

4）多云业务安全，统一防护

组织数字化转型有可能会存在混合云架构，同时拥有IDC 、私有云以及公有云业务，快页USA可以统一接入安全管控平台，通过统一的身份及权限管理，实现IDC、私有云、公有云多网融合的统一安全接入解决方案，通过分布式网关技术实现SaaS业务系统的唯一入口，通过“先认证、后授权、再链接”的SPA技术，让云端业务系统及IT资产隐身，防止0day漏洞、暴力破解、扫描探测、DDos攻击等，让开源代码更安全。

5）集中用户管理，多因素认证

完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统用户管理的安全风险。实现多业务系统的统一认证，支持数字证书、动态口令、静态口令等多种认证方式，为组织提供单点登录服务，用户只需要登录一次就可以访问所有相互信任的应用系统。

4. 配置清单

序号

产品名称

描述

数量

单位

备注

1

快页统一安全访问平台服务端软件

快页统一安全访问⽅案以可信身份为基⽯，采⽤控制⾯和数据⾯分离的⽅式，包括两个核⼼组件。认证中⼼主要提供单点登录、⾝份认证、权限管理、行为审计等功能；安全⽹关主要实现隧道加密、代理访问、策略执行等功能。

1

套

部署于阿里云主机

2

快页统一安全访问平台客户端软件

安全客户端与服务端使用 SPA 安全协议进行敲门，并采集终端环境信息以及集成终端安全基线检查能力用于终端环境风险分析进而准入控制和动态权限控制。客户端支持Windows、MACOS、Android、iOS操作系统。

N

套

部署于终端

3

快页统一安全访问平台用户授权

通过客户端软件或浏览器访问系统的用户数量

M

个