58神奇管家——基于零信任终端安全管理系统的设计与实现

引言

神奇管家是58集团TEG技术保障部基于「零信任理念」自主设计和研发的一套零信任安全管理系统，是58集团在零信任网络安全领域方面的首次尝试并落地的解决方案。该方案通过打造神奇管家客户端、零信任网关、统一管控中心三大核心组件，实现对集团内部资源和数据的安全访问和管控，同时基于终端安全、身份安全、应用安全、链路安全等核心能力，对桌面终端访问过程进行持续的权限控制和安全保护，确保对企业资源的可信访问，助力集团降低内网办公、远程办公、云上办公等不同业务场景风险，满足员工无论身处何地，都可随时访问授权资源，以处理任何业务的新型办公模式。

业务背景及设计理念

后疫情时代的互联网，远程协同办公已经成为企业办公运营的新常态。新的办公模式之下，随之带来的也是安全与局限问题的各种挑战。以58为例，我们几乎面临着如下挑战：

企业规模大。设备数量多，类型多样化(Mac、Windows、台式机、笔记本、移动设备等)。
业务类型多。涉及房产、招聘、金融、财务等，使用的办公工具不同，业务对应的办公安全敏感度亦不同。
职场分布多。集团有遍布全国各地的分公司、办事处等，有通过专线连接集团企业网络的职场。
协作厂商多。供应商、第三方客户协作系统办公、协作研发运维等。
高级威胁。面临行业的专业黑客组织入侵和敏感数据泄密等风险。
员工体验。面临职场年轻化、高效化等办公领域接入和访问的体验性要求。
其他应急场景。各种灾害、意外事故、疫情、春运突发业务高峰等远程办公诉求，涉及内部系统使用、研发、运维等要求。

为解决以上问题，TEG技术保障部基于零信任设计原则——「持续验证，永不信任」（如下图所示）设计和研发了神奇管家桌面终端管理系统，旨在为集团员工面对大量复杂业务、多分支职场、网络高级威胁、远程办公等复杂环境时，实现员工无论身处何地何时，使用何种设备，皆可安全访问公司资源和数据。

系统架构及实现方案

鉴于零信任在技术实现上并非单一路径，凡是能够满足零信任核心目标的，均可视为成功的零信任技术实现，因此神奇管家在具体的技术实现上采用的是基于流量代理网关的方案。其核心思想是利用安装在用户终端的零信任Agent通过hook和网络过滤驱动等方式将用户本地流量转发给零信任网关服务，零信任网关负责流量的拦截、验证和转发。该方式的核心思想可用下图表示：

结合上图我们还可以将该方案下的请求访问过程做如下简化：

用户通过在设备上已安装的零信任终端Agent进行设备的注册授权和用户的登录认证。
终端Agent进行安全基线加固，同时上传终端设备的安全状态。
用户通过零信任安全Agent的hook方式、虚拟网卡、网络过滤驱动等方式，将对内部资源发起访问请求并转发到流量代理网关上。
流量代理网关通过安全控制中心，进行请求的认证和鉴权。
流量代理网关完成请求的鉴权并通过后，将请求转发给内部应用系统，获取请求资源。
流量代理网关将资源转发给零信任终端，完成资源的请求。

通过将以上流程进一步细化，我们可以得到如下的实现原理示意图：

首先来看1-2步，用户设备需要通过客户端的认证授权机制与服务端进行认证授权流程，通过身份认证和授权之后，零信任终端Agent利用本地流量劫持方式，通过网络过滤驱动程序劫持所有的TCP/UDP流量。
然后在第3步本地流量劫持的驱动程序发起对应用进程的可信检查，同时进行用户身份——访问业务系统的合法性检查，确认通过之后分配对应的授权加密信息，然后在第4步根据私有协议对授权信息和原始数据进行封装并通过加密信道转发到网关。
最后在第5-6步进行授权的二次访问控制确认，合法流量将会被网关解密并还原为原始流量，最终发送到具体的业务系统。

理解了上述流程的核心思想后，最后我们来看看神奇管家整体的系统架构和实现。如下图所示，从系统的整体架构来看，神奇管家是基于C/S和B/S架构实现的，主要包括神奇管家客户端、零信任网关、统一管控中心三大部分。

下面分别对各个部分的功能及实现加以说明。

3.1 神奇管家客户端

神奇管家客户端主要包含了桌面APP和58Proxy两大组件。桌面APP是基于Electron开发，主要实现了用户登录认证、无边界办公开关、病毒查杀、IT服务以及常用工具等基本功能，为用户提供了简易便捷的交互界面。

58Proxy作为神奇管家客户端的核心模块，主要提供了本地流量劫持代理的能力。由于神奇管家客户端当前支持MacOS和Windows操作系统，而网络过滤驱动程序是偏向于操作系统底层的，因此58Proxy在设计上是基于其特定的操作系统提供了本地流量劫持的能力，当前共有Windows和MacOS两个版本。

如上图所见，是Windows版58Proxy的实现原理图，其核心机制是利用网卡过滤驱动程序在连接建立的各个节点（例如： beforeconnect、connected、send、recv、close等）上设置hook点，从而达到劫持本地内部流量的目的，例如在beforeconnect时进行目标服务的替换，在send/ recv的时候进行数据包的修改和加密等。成功劫持流量以后，再根据既定的私有协议对用户请求的授权信息和原始请求数据进行封装和加密，最后再转发到后端的零信任网关——58Gateway。

如上图所示是MacOS中58Proxy的实现方式。由于MacOS自身的封闭性以及苹果严格的安全机制，我们无法使用类似Windows的基于网卡过滤驱动SDK的方式实现，而是通过MacOS的PF工具以透明代理的方式实现内部流量劫持，之后再对用户请求按私有协议进行数据的封装和加密，最后再统一转发给零信任网关——58Gateway。

综上所述，神奇管家客户端作为用户侧的核心组件，主要提供了零信任终端代理的能力，承载了代理终端请求，区分不同终端设备，防止终端伪造，建立用户绑定关系并收集终端信息等功能。

3.2 零信任网关

零信任网关——58Gateway主要实现了对来自终端代理Agent请求的转发和拦截。接收到经过私有协议封装和加密的请求后，58Gateway会对请求进行解密和拆封的操作，从而获取到当前请求的特征信息和原始数据，并对请求进行认证授权，对已正确授权的请求进行资源访问转发，对禁止访问的请求进行拦截阻断，阻止向后访问。

3.3 统一管控中心

管控中心主要提供了安全控制和集中化管理的能力，方便管理员通过浏览器进行统一管理和查看，主要包括终端资产管理、认证授权管理、安全管控策略的管理、系统准入的管理、日志审计管理以及其他常用工具的管理，同时还提供了可视化数据报表的功能。

主要技术特性

在神奇管家实践落地的零信任网络架构中，其核心诉求是要做到设备可信、用户可信和应用可信，终端能够在任意网络中安全、稳定、高效地访问企业内部资源和数据。因此我们面临的主要技术挑战和问题就是如何做到用户可信，如何做到设备的可信，如何做到应用可信，如何保障通信链路在任意网络环境中皆能安全稳定高效地访问到企业中去。

4.1 用户身份可信

身份安全作为“零信任”架构的第一关，有多种认证方式来确保访问是来自可信用户的。神奇管家为用户提供了多因子登录认证，对接了集团内部统一的身份认证系统，确保用户是集团的真实员工，而不是盗用身份。除了传统的OA账号密码登录方式外，默认提供了通过58盾扫码登录的快捷方式，集团员工可通过手机美事扫码登录。

4.2 应用进程可信

神奇管家支持进程安全检测，只有满足安全要求的应用进程才可以发起对集团内部资源的访问，减少了未知恶意代码的入侵风险。

4.3 设备安全可信

神奇管家提供了保障硬件设备和操作系统环境可信的能力。通过与知名杀毒软件厂商合作，神奇管家集成了病毒查杀、漏洞修复、安全加固、数据保护等全方位的桌面安全管控能力，有效保护办公环境的安全性。同时还可针对集团子公司或不同分部业务对安全防护的不同诉求，对相应的终端设备分配不同的安全策略，从而提供了具有差异化的安全防护等级。

4.4 链路保护优化

神奇管家的无边界办公能力摒弃了传统VPN的安全隧道模式，而是采用“零信任”架构模式下按需建立连接、通过访问授权票据减少登录的方式，很好地提升了访问链接的稳定性和用户体验。在集团内部，通过提供可平行扩展的、独有的访问链路加密/解密零信任网关，对请求链路进行加密处理，并对请求进行访问身份校验和权限控制，从而安全可控的隔离了用户与业务系统的直接连接，降低了内部系统和服务被外界探测和攻击的可能。

4.5 持续访问控制

神奇管家零信任网关实现了基于访问关键对象的组合策略对用户请求进行访问控制，支持针对不同的人员角色、应用名单、可访问业务系统的组合关系。

主要应用场景

5.1 无边界办公

神奇管家的无边界办公适用于远程办公、远程运维、远程审计、非办公场地登录服务器等场景，确保终端可以安全便捷的访问内部资源的同时，还免去了登录VPN的繁琐流程，方便员工可以随时随地访问公司内部资源，大幅优化提升远程办公、远程开发运维的体验。

5.2 快捷登录

神奇管家为公司员工提供了多因子登录认证，对接了集团内部统一的身份认证系统。除了传统的OA账号密码登录方式外，默认提供了通过58盾扫码登录的快捷方式，集团员工可通过手机美事扫码登录。登录神奇管家后，即可一键免密、免58盾“快捷登录”到公司内部各种系统。

5.3 深度安全防护

神奇管家提供了保障硬件设备和操作系统环境可信的能力。通过与知名杀毒软件厂商合作，神奇管家集成了病毒查杀、漏洞修复、安全加固、数据保护等全方位的桌面安全管控能力，有效保护办公环境的安全性。同时还可针对集团子公司或不同分部业务对安全防护的不同诉求，对相应的终端设备分配不同的安全策略，从而提供了具有差异化的安全防护等级。

神奇管家应用规模

神奇管家自2020年7月份开始着手设计研发开始，至今差不多1年多的时间里已经基本上在集团各办公职场内完成了覆盖和应用。截止当前已在集团近20个职场覆盖安装，运行在近3万台终端设备上，为近18000名员工提供着服务。

以无边界办公为例，在集团内部我们采用的是用户自主选择的方式，员工可以选择保留原来VPN的方式，也可以选择新的无边界控制方式访问企业内网。从实际数据来看，集团中已使用神奇管家的员工都会选择新的无边界方式访问公司内网，不论访问速度还是访问体验都得到了明显的提升。

总结与展望

本文通过介绍神奇管家的设计与实现，为大家进一步认识和理解零信任提供了真实可靠的参考案例。展望未来，不管是在国内还是国外，零信任都将是未来网络安全发展的新方向。伴随着5G网络、大数据中心、工业互联网等新基建的加速推荐，零信任相关的技术和应用场景也将迎来高速发展和落地。未来我们也将对神奇管家产品进行持续的优化和创新，总结业内实践，不断丰富神奇管家在集团内的使用场景，助力集团业务产业化的同时也为我国零信任产业的规模化做出贡献。

本文分享自微信公众号 - 58技术（architects_58）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。