1、办公网零信任安全实践趣加-汤青松关于我们“FunPlus趣加”是游戏行业的一个品牌 ，由钟英武创建于2010年。其主要代表产品有阿瓦隆之王、火枪纪元、State of survival，在世界范围内以精品游戏和艺术风格而闻名，在北京、上海、台北、旧金山、东京、斯德哥尔摩、莫斯科、巴塞罗那等地均设有办公室，团队中有来自超过20个国家和地区的近1000名员工，产品的本地化运营有着23种语言的支持。分享内容为什么做设计思路如何去做一、为什么做为什么建设零信任安全需求安全重视领导支持1.1 安全需要网络现状 公司网络分为内部办公网和公众，基于这两个网络构建安全体系；其中内部办公网被认为是可信网络，一般

2、都不会内部网络中访问设置严格限制。随着疫情到来，远程办公需求越来越多，内部网络不再是由物理位置决定，内部网络可信机制很难再满足安全需求；同时VPN也只能保证身份安全，不能保证设备的安全性，很多并非办公场景流量，体验并不好。零信任理念默认不信任（用户、设备、网络);动态的访问权限，可追溯的访问过程；减小资源的暴露，缩小攻击的范围；持续信任评估和安全响应；建设目标 让员工更安全、便捷访问公司内部服务平台，确保访问者的身份及网络环境安全才允许访问，解决访问日志分散记录，无法追溯用户行为；1.2 团队重视安全源码泄露场景 2002年9月，传奇意大利服务器的源代码意外泄露并流入中国，传奇私服开始萌芽，在

3、接下来的半年时间里，全国共有超过500家私服在运营。在开发商表示没法处理这件事件后，代理商盛大开始拒绝支付开发商的代理费用，并开始光明正大的购买着开发商的股票，直接使得盛大变成开发商的大股东了。高危漏洞场景 Def Con 2017会议上，有一个黑客向媒体透露了他在过去二十多年中，利用网游安全漏洞赚钱的经历，并且现场演示了利用网游赚钱的方法。通过将命令输入调试器后，几秒内他的虚拟货币一下子飙升到了18万亿。操作手段会根据不同的游戏有所改变，但是其本质不变，都是通过在游戏中作弊，获得原本无权拥有的道具或虚拟货币，然后再将这些非法所得卖给其他玩家，或者将它们整体出售给一些线上黑市，然后再由黑市卖给

4、其他个体玩家。二、如何去做如何去做确定理想目标熟悉现有架构调整网络架构2.1 确认目标资源统管理统控制外部访问减少VPN使动态调整访问控制策略确认目标2.2 熟悉现有架构网络现状三种接式：VPN、WiFi和线、资源映射的访问控制，主要依赖各业务方自己的权限管理及控制，部分系统安全性待加强。VPN的稳定性法有效保证，影响员访问体验；另随着远程办公和移动设备的增多也加重了VPN的运维负担及络资源的耗费。户、设备和应程序都定义到不同的信任域中，在给定区域内；目前相互之间可以由通信，缺乏东西向的访问控制及统的安全关。网络现状账号现状2.3 目标方案建设方案 以份管理为中，通过代理关转发外部请求到业务系

5、统；结合用户属性、络环境、设备属性及险状态评估出信任等级；根据信任等级和应安全策略分配最访问权 限，实现动态访问控制。可考虑将部分办公应直接开放到公，内应隐藏在关后面，只有通过份安全认证与设备可信检测的用户，才允许从公网直接访问办公应。建设方案份认证中份认证中：使现有的份认证组件IDaas和多因认证MFA等SSO：接公司现有的IDaas系统 MFA：google身份认证器 安全策略中安全策略中：成存储安全策略及最访问权限设置 策略成：根据份认证及设备险状态动态成安全策略，并实时更新；权限设置：结合业务权限系统及信任等级设置访问权限 可信代理网关可信代理关：所有内外访问流量经代理关检测并控制转发

6、，作为流量处理中枢 请求转发：对未登录的请求转发到SSO进登录，或进次校验 访问控制：结合安全策略中的访问控制策略对请求进控制 流量Hook：可以对指定流量进拦截Hook，消息注等 为分析统计：对及设备的访问为进分析建模，对接日志审计系统终端agent安全检测：系统、进程、络连接、u盘拷贝、位置IP、杀毒软件等数据上报：设备属性及险状态实时收集上报设备管理中设备证书管理：证书申请、下发及吊销处理 设备属性管理：设备属性上报存储 设备险管理：设备险状态上报及分析评级三、具体怎么做3.1 阶段计划落地事项采集设备险、浏览器指纹和设备库信息的关联；设备认证结合IDaas、MFA等认证式，统一、用户份

7、认证；份认证减小攻击面，统一管理业务安全、接入、认证等功能；定义险等级和权限的映射关系，持动降级访问，持校验措施；网关接入权限控制根据访问志做险分析，持事后溯源审计，对接日志审计平台；对于险用户或设备，在关处具备实时拦截阻断的安全运营能；志审计安全运营第一阶段搭建安全网关，实现流量转发，连接IDaas身份认证；接入部分业务常用办公服务，测试零信任访问模式；第二阶段接入全量办公网常用业务系统；调研终端agent产品，支持安全基线检测、证书签发及TLS双向认证；部分业务系统完成改造接入安全网关权限控制中心第三阶段构建风险管理中心，可根据设备环境及风险信息实时更新信任评级；实现权限管理中心，支持ur

8、l级别的权限控制；全量办公网业务接入权限管理中心；第四阶段优化风险管理中心，加入行为风险识别能力，可基于请求日志进行风险识别；完善权限管理中心，开放业务自主配置能力；长期整合业务权限需求，支持细粒度权限的访问控制；丰富可信代理网关的能力，包括流量拦截、行为分析统计、内容劫持注入、水印等；丰富用户行为审计能力，结合业务访问行为和终端安全日志，全面监控安全风险；3.2 建设细节openrestyOpenResty 是一个强大的 Web 应用服务器，Web 开发人员可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,更主要的是在性能方面，OpenResty可以 快速构造出足以胜任 10K 以上并发连接响应的超高性能 Web 应用系统。NginxWebUi 可以使用WebUI配置nginx的各项功能,包括http协议转发,tcp协议转发,反向代理,负载均衡,ssl证书自动申请、续签、配置等,最终生成nginx.conf文件并覆盖nginx的默认配置文件,完成nginx的最终功能配置.可以管理多个nginx服务器集群,随时一键切换到对应服务器上进行nginx配置,也可以一键将某台服务器配置同步到其他服务器,方便集群管理配置同步方案