信息化觀察網(wǎng)

基于零信任理念的軟件定義邊界（SDP）技術(shù)不僅能夠幫助企業(yè)做好網(wǎng)絡(luò)安全建設(shè)，同時也能夠滿足等保2.0中的多項安全要求，除了在通用安全方面，還在諸如云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等新興領(lǐng)域方面發(fā)揮著巨大的作用。在邊界防護(hù)、入侵防范、通信傳輸、身份鑒別、數(shù)據(jù)保密等方面，可以幫助企業(yè)進(jìn)一步收窄業(yè)務(wù)系統(tǒng)暴露面，保障業(yè)務(wù)系統(tǒng)的邊界安全，是更符合新時代網(wǎng)絡(luò)安全發(fā)展趨勢的安全解決方案。

對此，安全牛有幸邀請了多年來致力于SD-WAN產(chǎn)品發(fā)展上海締安科技的公司董事、副總經(jīng)理陳炬來分享他在軟件定義邊界方面的經(jīng)驗與認(rèn)識，希望對希望對讀者有所借鑒。

在當(dāng)下的網(wǎng)絡(luò)安全領(lǐng)域，SDP是一個火熱的話題。SDP（Software Defined Perimeter）即“軟件定義邊界”是由云安全聯(lián)盟開發(fā)的一種安全框架，基于零信任的概念，對于每個連接服務(wù)器的終端，都必須在連接前進(jìn)行身份驗證和授權(quán)，確保所有訪問的可信性。由于全部訪問都需在確?？尚诺沫h(huán)境中進(jìn)行，它可以確保企業(yè)的核心網(wǎng)絡(luò)資產(chǎn)隱藏在安全保護(hù)之下，不直接暴露在公網(wǎng)中，以避免核心數(shù)據(jù)資產(chǎn)受到安全威脅。

換句話來說，在SDP架構(gòu)面前，每一個訪問者都是不可信的，只有在驗證后才會給予訪問者訪問相應(yīng)服務(wù)器的“鑰匙”。如果我們把服務(wù)器比作“門”，那么，對于訪問者來說，如果沒有鑰匙，便找不到對應(yīng)的門；即使拿著鑰匙，也只能打開鑰匙所對應(yīng)的門。SDP將服務(wù)與不安全的網(wǎng)絡(luò)隔離開，有效改善了企業(yè)面臨的諸如容易被黑客通過釣魚軟件或木馬入侵企業(yè)、移動辦公等新型網(wǎng)絡(luò)訪問模式帶來的安全風(fēng)險、傳統(tǒng)數(shù)據(jù)逐漸轉(zhuǎn)移上云的過程中面臨的威脅等等，協(xié)助企業(yè)實現(xiàn)安全過渡，使企業(yè)無懼在全面開展數(shù)字化建設(shè)的當(dāng)下所面臨的諸多挑戰(zhàn)。

SDP的架構(gòu)

在SDP中，傳統(tǒng)的企業(yè)邊界被打破，防火墻不再是企業(yè)唯一的邊界，內(nèi)網(wǎng)也通過邏輯進(jìn)行劃分；同樣，公有云和私有云之間也需要建立新的邊界。SDP適應(yīng)軟件定義網(wǎng)絡(luò)架構(gòu)，為云而生，尤其適應(yīng)混合組網(wǎng)環(huán)境，與SD-WAN（軟件定義廣域網(wǎng)）結(jié)合，為企業(yè)組網(wǎng)賦予更深一層的安全防護(hù)能力。

基于自研SD-WAN云網(wǎng)絡(luò)服務(wù)平臺，整合SDP控制器與SDP主機的能力，結(jié)合SD-WAN虛擬云網(wǎng)關(guān)、中心節(jié)點與多終端客戶端的網(wǎng)絡(luò)組建與控制能力，將SDP控制器的能力與中心云網(wǎng)關(guān)結(jié)合，云網(wǎng)關(guān)提供基于零信任模型的應(yīng)用保護(hù)，根據(jù)用戶進(jìn)行具體的授權(quán)。同時，SDP客戶端適應(yīng)多終端操作系統(tǒng)，可以在不同終端上統(tǒng)一展示用戶被授權(quán)訪問的全部應(yīng)用。

SDP的架構(gòu)體系包括：

SDP客戶端

做為C/S型客戶端應(yīng)用、B/S型Web應(yīng)用提供統(tǒng)一的應(yīng)用訪問入口，支持應(yīng)用級別的訪問控制，支持跨內(nèi)核控件調(diào)用、插件的安全管控，實現(xiàn)簡約、快速和安全的一體化。

安全網(wǎng)關(guān)

作為用戶授權(quán)訪問內(nèi)部應(yīng)用的入口，安全網(wǎng)關(guān)將外網(wǎng)用戶和內(nèi)網(wǎng)資源隔離，過濾非法的訪問。

SDP域控制器與策略服務(wù)器

提供網(wǎng)關(guān)設(shè)備的注冊，隱藏網(wǎng)關(guān)地址，避開惡意威脅源的掃描與非法行為。

認(rèn)證服務(wù)器

實現(xiàn)用戶身份預(yù)驗證、預(yù)授權(quán)，對接企業(yè)內(nèi)部第三方認(rèn)證系統(tǒng)，客戶端的請求先經(jīng)過認(rèn)證服務(wù)器，得到認(rèn)證授權(quán)再將結(jié)果返回給SDP域控制器。

SDP與組網(wǎng)結(jié)合的解決方案

在SDP的應(yīng)用場景中，最常見的情況就是一個企業(yè)有一個總部和一個或多個地理上分散的分支機構(gòu)，企業(yè)擁有的物理網(wǎng)絡(luò)（內(nèi)網(wǎng)）無法把這些機構(gòu)連接在一起。外部地區(qū)的員工在執(zhí)行工作任務(wù)時需要訪問企業(yè)資源，可能是遠(yuǎn)程辦公場景，或在企業(yè)外其他地區(qū)使用企業(yè)所有或個人擁有的設(shè)備進(jìn)行訪問。由于SDP的架構(gòu)天然適應(yīng)SD-WAN的網(wǎng)絡(luò)架構(gòu)，因此，依托自身的技術(shù)優(yōu)勢，將SDP與SD-WAN組網(wǎng)結(jié)合的解決方案，為更多的企業(yè)提供零信任安全的網(wǎng)絡(luò)架構(gòu)，受到越來越多客戶的青睞。

用戶可以通過不同終端向SDP控制器發(fā)送預(yù)授權(quán)請求，策略控制器依據(jù)預(yù)設(shè)策略進(jìn)行判斷后，將認(rèn)證結(jié)果返回SDP控制器，并由SDP控制器將訪問控制列表發(fā)給客戶端；之后，訪問權(quán)限內(nèi)的云網(wǎng)關(guān)才收到認(rèn)證請求。在確認(rèn)認(rèn)證信息無誤后，客戶端實現(xiàn)接入，完成訪問連接的建立。

在SDP與組網(wǎng)有機融合的過程中，SDP控制器依舊扮演解決方案中“大腦”的角色，對發(fā)起方進(jìn)行動態(tài)的身份認(rèn)證，并協(xié)助發(fā)起訪問請求的終端與目標(biāo)服務(wù)器之間建立受信的安全訪問隧道。不得不提的是，這一通道的建立并非固定的，而是隨請求變化而隨時構(gòu)建的、動態(tài)的訪問隧道，它將網(wǎng)絡(luò)中的各式潛在威脅進(jìn)行有效屏蔽，構(gòu)建更加安全的網(wǎng)絡(luò)邊界。

SDP實踐案例與成果

在某一金融行業(yè)單位的實踐中，用戶完成了業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)等IT基礎(chǔ)架構(gòu)的平滑升級，以適應(yīng)業(yè)務(wù)快速發(fā)展的需求。

用戶的數(shù)據(jù)中心設(shè)置在兩個不同的省，并且使用了虛擬化技術(shù)，因此網(wǎng)絡(luò)邊界很難通過單一防火墻進(jìn)行防護(hù)；同時，內(nèi)部的服務(wù)器多處于不同的網(wǎng)段中，員工急需一種方案在平滑使用跨網(wǎng)段的應(yīng)用；用戶希望能夠有效實現(xiàn)邊界防護(hù)，保障不同地點數(shù)據(jù)中心的安全性，并實現(xiàn)基于應(yīng)用的訪問授權(quán)，保證用戶訪問應(yīng)用過程中的安全防護(hù)。

基于客戶的需求，提供SDP控制器，復(fù)用企業(yè)內(nèi)部原認(rèn)證系統(tǒng)，實現(xiàn)對用戶的身份認(rèn)證，建立可信的終端與安全網(wǎng)關(guān)之間的連接。用戶發(fā)起訪問請求后，兩個不同省數(shù)據(jù)中心內(nèi)的授權(quán)應(yīng)用同屏顯示，實現(xiàn)“所見即所用”。SDP接收主機貼近服務(wù)器放置，將企業(yè)的應(yīng)用服務(wù)器隱藏，僅經(jīng)過SDP認(rèn)證服務(wù)器認(rèn)證后的訪問才可以與服務(wù)器在授信區(qū)域進(jìn)行數(shù)據(jù)交換。

下圖為SDP架構(gòu)在客戶環(huán)境中部署的架構(gòu)圖。認(rèn)證通道和數(shù)據(jù)通道被有效的隔離，通過一臺客戶端即可訪問不同網(wǎng)段應(yīng)用，實現(xiàn)了客戶的需求。

SDP案例實踐成果

1.SDP與組網(wǎng)結(jié)合幫助案例中的金融單位內(nèi)部員工擴寬了辦公模式。從傳統(tǒng)的企業(yè)內(nèi)部通過PC接入網(wǎng)絡(luò)進(jìn)行辦公，擴展到可隨時隨地通過多移動終端進(jìn)行安全辦公——這樣的轉(zhuǎn)換僅需建立安全訪問隧道即可，無需任何其他操作，且隧道可一鍵安全建立，減輕操作的復(fù)雜程度，提升效率；

2.金融單位內(nèi)部的IT管理人員無需進(jìn)行復(fù)雜的配置和管理，相比傳統(tǒng)的安全軟硬件+VPN部署的模式，SDP與組網(wǎng)結(jié)合可以協(xié)助企業(yè)內(nèi)部IT管理人員顯著提升效率，并且?guī)椭髽I(yè)控制IT管理成本；

3.對不同的金融企業(yè)，或是企業(yè)內(nèi)部的不同部門，他們都有不同的安全需求。SDP的理念是以用戶為中心，這套方案可以確保資源能夠根據(jù)用戶的需求進(jìn)行靈活調(diào)配，并且確保所有與安全相關(guān)的操作都在云中執(zhí)行，在基本無需額外維護(hù)的同時，確保網(wǎng)絡(luò)訪問更易于控制、更加靈活，完美地契合了正在數(shù)字化轉(zhuǎn)型中的大中型企業(yè)的需求。

總結(jié)

SDP與組網(wǎng)結(jié)合的改造，企業(yè)的終端客戶只要使用客戶端通過驗證，無需關(guān)注自己的權(quán)限歸屬，即可訪問授權(quán)范圍內(nèi)的應(yīng)用。企業(yè)的IT管理者不再為繁雜的認(rèn)證規(guī)則所累，在保證安全的前提下，提高易用性、可維護(hù)性。