企业安全建设之自建准入系统
本文介绍了下自建准入系统的经历,该系统在某大型互联网公司稳定运行了5年。
准入系统简介
网络准入控制 (NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,企业可以只允许合法的、值得信任的设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。
亡羊补牢
互联网公司除了美国上市基本就没有安全合规压力,一切以业务发展和工作效率为第一驱动力,所以费钱费人力的安全的建设主要依赖事件驱动,我们上准入前就遇到这么几个倒霉事:
办公网大量PC杀毒被员工卸载,又没及时打补丁,结果中了当时都觉得非常low的arp病毒,几层办公区网断了,影响了小一千RD开发。
愤青小员工发帖,叔叔上门查水表,我们差点没查出是谁。
痛点
基于历史教训,我们上准入系统想解决的痛点简单归纳就是:
身份认证:wifi和有线接入到情况下能设备/IP与人绑定,调查安全事件可以定位到人
权限限制:不同职能的人群网络权限不一样,权限最小化
安全加固:满足公司安全基线要求的设备才能接入内网,没装杀毒没打补丁就禁止接入
这上面任何一个问题,其实都有别的解决方案,例如绑定mac之类,但是当时我们北京四个楼,两千RD,大量使用wifi移动办公,有线网络有的大楼接入都是傻hub,有的是华三31,有的是思科29,目测也就上准入才能搞定了。
三人行必有我师
语文老师说三人行必有我师,历史老师说师夷长技以制夷,总之我们根据当时gartner的排名,调研了国外几家准入厂商的产品,总结了下它们的优点:
认证授权与微软域SSO集成
有线无线切换时自动认证
网络控制在三层减少对网络基础设施的依赖
系统架构
初步评估了下,感觉两个人干半年可以搞定,于是我们开工了。整个系统分为以下组件:
PS:策略服务器,负责用户认证,权限下发
AAA:3A服务器,存储用户信息,这里就是微软的AD域控
enforcer:执行器,负责控制网络权限
agent:客户端程序,安装了办公PC上,负责上传用户认证信息,执行主机检查策略
下图是个简化的网络拓扑层,其中接入层基本就是一个C段。接入层交换机器,enforcer,聚合层交换机,核心交换机直接跑三层,走OSPF。
权限模型
权限模型是个非常基础但是非常重要的模型。我们先来看下公司的组织模型:
员工的网络权限往往和他的工作内容相关,对应的就是部门属性,所以最简化的模型就是直接从组织模型转化,用户对应到不同的角色,角色对应一个或者多个部门。角色的定义就是具有相同网络访问权限的员工的集合。对应的微软域控也是这种层次结构:uid对应用户名,ou对应部门。
准入流程
简化的准入流程如下:
其中主机安全合规检测在认证之前,不满足主机安全策略的连认证都不会发起。
主机检查策略
主机检测策略需要结合公司实际情况,我简单描述下比较通用的几个:
强烈建议PC都加入域,这样主机检查可以非常简化,大量的安全加固策略可以通过域的组策略强制下发给终端。