信息化觀察網(wǎng)

名為軟件定義邊界 (SDP) 的遠(yuǎn)程訪問(wèn)新范式采用零信任方法，以基于身份的細(xì)粒度訪問(wèn)代替廣泛的網(wǎng)絡(luò)接入，提供重要 IT 資源訪問(wèn)。

僅僅幾年之前，大多數(shù)工作還是在辦公室里完成的。但如今，大量工作都開(kāi)始陸續(xù)通過(guò)遠(yuǎn)程執(zhí)行——至少遠(yuǎn)程工作時(shí)間占比很高。員工可在機(jī)場(chǎng)、咖啡館、酒店和火車上接入工作網(wǎng)絡(luò)。相當(dāng)多的工作者，比如雇員或承包商，絕大部分時(shí)間都是在家或在 WeWork 這樣的共享辦公空間遠(yuǎn)程工作。

這一轉(zhuǎn)變對(duì)旨在保護(hù)邊界的企業(yè)安全造成了重大影響。企業(yè)虛擬專用網(wǎng) (VPN) 是提供安全遠(yuǎn)程訪問(wèn)最常見(jiàn)的解決方案，不僅賦予遠(yuǎn)程工作者企業(yè)網(wǎng)絡(luò)接入，還可使他們能夠訪問(wèn)該網(wǎng)絡(luò)上的應(yīng)用和數(shù)據(jù)。但這種局域網(wǎng) (LAN) 上用戶天然 “可信” 的過(guò)時(shí)認(rèn)知，給攻擊者留出了廣闊的攻擊空間。

幸運(yùn)的是，名為軟件定義邊界 (SDP) 的遠(yuǎn)程訪問(wèn)新范式采用零信任方法，以基于身份的細(xì)粒度訪問(wèn)代替廣泛的網(wǎng)絡(luò)接入，提供重要 IT 資源訪問(wèn)。SDP 保護(hù)企業(yè)免受多種威脅及黑客技術(shù)侵害，防止罪犯成功攻破企業(yè)網(wǎng)絡(luò)。

本文中，擔(dān)任過(guò) Meta Networks 首席執(zhí)行官，目前任職 Proofpoint 零信任產(chǎn)品副總裁的 Etay Bogner 將為我們點(diǎn)出企業(yè) VPN 無(wú)法抵御的八種常見(jiàn)安全威脅，揭示 SDP 在直面此類威脅時(shí)的有效性。

威脅 1：中間人

攻擊者將自身置于用戶與應(yīng)用的會(huì)話中間，竊聽(tīng)或偽裝其中一方，使信息交流看起來(lái)仍像正常進(jìn)行一樣，這樣的攻擊就叫做中間人攻擊 (MITM)。SDP 和 VPN 解決方案都能通過(guò)加密隧道提供針對(duì) MITM 攻擊的防護(hù)。但 SDP 部署全面，始終在線，可全程保護(hù) Web 流量，提供企業(yè)網(wǎng)絡(luò)安全訪問(wèn)。而很多傳統(tǒng) VPN 解決方案為節(jié)省開(kāi)支和降低延遲，采用單獨(dú)的隧道直接發(fā)送 Web 流量，將終端置于風(fēng)險(xiǎn)之中。SDP 卻通過(guò)保護(hù)開(kāi)放終端解決了這個(gè)問(wèn)題。

威脅 2：DNS 劫持

DNS 劫持是接入公共 WiFi 網(wǎng)絡(luò)工作的又一危害。黑客可介入 DNS 解析，將用戶導(dǎo)引至惡意站點(diǎn)而非其意圖訪問(wèn)的合法網(wǎng)站。使用惡意軟件或未授權(quán)修改服務(wù)器均可達(dá)成此目的。黑客一旦控制了 DNS，就能將通過(guò)此 DNS 上網(wǎng)的其他人引至假冒網(wǎng)站——布局相似，卻包含額外的內(nèi)容，比如廣告等。也可以將用戶導(dǎo)引至包含惡意軟件或第三方搜索引擎的頁(yè)面。而始終在線的 SDP 解決方案依托網(wǎng)絡(luò)即服務(wù)架構(gòu)，使用策展式安全 DNS 服務(wù)執(zhí)行解析，抵御 DNS 劫持攻擊。

威脅 3：SSL 剝離

SSL 剝離屬于 MITM 攻擊的一種，將終端與服務(wù)器間的通信降級(jí)至非加密形式以便能夠讀取其內(nèi)容。防止 SSL 剝離的一種方式是安裝 HTTPS Everywhere 瀏覽器擴(kuò)展，強(qiáng)制各處均采用 HTTPS 通信，阻止不請(qǐng)自來(lái)的攻擊者將通信降級(jí)為 HTTP。SDP 也能阻止此類威脅，通過(guò)以加密隧道發(fā)送所有流量加以緩解。

威脅 4：DDoS

分布式拒絕服務(wù) (DDoS) 攻擊中，應(yīng)用因遭遇流量洪水過(guò)載而無(wú)法響應(yīng)正常請(qǐng)求。由于是分布式的，此類攻擊非常難以阻止。拒絕服務(wù)攻擊的特征就是攻擊者明顯要阻塞服務(wù)的合法使用。

拒絕服務(wù) (DoS) 攻擊主要有兩種形式：搞崩潰服務(wù)的，以及淹沒(méi)服務(wù)的。最嚴(yán)重的攻擊就是分布式的。由于保護(hù)的是應(yīng)用而非終端用戶設(shè)備，SDP 解決方案對(duì)兩種 DDoS 攻擊都有效。SDP 模型中，應(yīng)用（以及托管這些應(yīng)用的基礎(chǔ)設(shè)施）并不直接接入互聯(lián)網(wǎng)。SDP 解決方案作為網(wǎng)關(guān)攔阻一切未授權(quán)訪問(wèn)。

威脅 5：端口掃描

黑客運(yùn)用端口掃描定位網(wǎng)絡(luò)上可利用來(lái)攻擊的開(kāi)放端口。安全管理員必須留意與端口掃描相關(guān)的兩大主要關(guān)注點(diǎn)。首先，與開(kāi)放端口及其服務(wù)提供程序相關(guān)的安全及穩(wěn)定性問(wèn)題。其次，與通過(guò)開(kāi)放或關(guān)閉端口運(yùn)行于主機(jī)上的操作系統(tǒng)相關(guān)的安全及穩(wěn)定性問(wèn)題。由于 SDP 解決方案將所有網(wǎng)絡(luò)資源與互聯(lián)網(wǎng)隔離，黑客無(wú)法利用此技術(shù)找出進(jìn)入的途徑。

威脅 6：可蠕蟲(chóng)化漏洞利用

就像近期頻登媒體頭條的 BlueKeep，蠕蟲(chóng)就是可以從一臺(tái)機(jī)器爬到另一臺(tái)機(jī)器的漏洞利用。有什么可大驚小怪的？因?yàn)橛脩糁灰M(jìn)入網(wǎng)絡(luò)就會(huì)被感染——無(wú)論可信網(wǎng)絡(luò)還是非受信網(wǎng)絡(luò)。換句話說(shuō)，殺毒軟件和 EDR 等常規(guī)終端安全平臺(tái)阻止不了此類漏洞利用，用戶安全意識(shí)培訓(xùn)也無(wú)甚幫助。因?yàn)闊o(wú)需用戶操作，僅需用戶的筆記本電腦或手機(jī)接入網(wǎng)絡(luò)的同時(shí)有臺(tái)被感染設(shè)備也接入了同個(gè)網(wǎng)絡(luò)即可。由于網(wǎng)絡(luò)上利用了蠕蟲(chóng)，大多數(shù)情況下，企業(yè)防火墻或 VPN 無(wú)法緩解 BlueKeep 類漏洞利用。零信任 SDP 為用戶提供獨(dú)特的固定身份和微隔離訪問(wèn)，僅供訪問(wèn)所需的資源，如此一來(lái)，被感染設(shè)備對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生的影響就非常有限了。

威脅 7：暴力破解攻擊

與 DDoS 類似，暴力破解攻擊也是黑客通過(guò)反復(fù)登錄嘗試，獲取網(wǎng)絡(luò)或應(yīng)用訪問(wèn)權(quán)的方式之一。SDP 解決方案可立即檢測(cè)到失敗的登錄嘗試，同時(shí)注意到可疑地理位置或登錄時(shí)段、設(shè)備狀態(tài)改變和終端殺毒軟件缺失或被禁用的情況，從而拒絕訪問(wèn)。

威脅 8：遺留應(yīng)用

很多遺留應(yīng)用設(shè)計(jì)時(shí)沒(méi)考慮過(guò)從互聯(lián)網(wǎng)訪問(wèn)的情況，缺乏現(xiàn)代軟件即服務(wù) (SaaS) 應(yīng)用默認(rèn)的基本安全措施。通過(guò) SDP 解決方案限制對(duì)遺留應(yīng)用的訪問(wèn)可以將這些應(yīng)用與企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)隔離，增加適應(yīng)性控制措施以降低風(fēng)險(xiǎn)。

從不掉線的軟件定義邊界在應(yīng)用層守護(hù)網(wǎng)關(guān)安全，把守通往云基礎(chǔ)設(shè)施及其相互之間的交通要道，構(gòu)筑健壯的安全框架。加之甚至第三方應(yīng)用提供商都無(wú)法刺探通信的加密功能，SDP 為邁向云的公司企業(yè)承諾了理想的高安全邊界。