隨著移動(dòng)業(yè)務(wù)快速擴(kuò)展，物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)、智慧城市的持續(xù)發(fā)展，資產(chǎn)防護(hù)的安全邊界越來(lái)越不清晰，傳統(tǒng)的邊界防護(hù)架構(gòu)越來(lái)越顯得力不從心。邊界安全主要存在的問(wèn)題有如下幾點(diǎn)：

• 黑客可以輕松劫持邊界內(nèi)的設(shè)備并從內(nèi)部攻擊企業(yè)應(yīng)用。
• 隨著自帶設(shè)備(BYOD)、外包人員、合作伙伴的增多，以及邊界內(nèi)部設(shè)備不確定因素的增加，導(dǎo)致安全漏洞不斷增多。
• 企業(yè)的業(yè)務(wù)資源除了部署在傳統(tǒng)數(shù)據(jù)中心，也在不斷向外部云資源擴(kuò)展， 如PaaS，IaaS和 SaaS。因此，邊界安全網(wǎng)絡(luò)設(shè)備在拓?fù)渖喜⒉荒芎芎玫乇Ｗo(hù)企業(yè)應(yīng)用基礎(chǔ)設(shè)施。

邊界內(nèi)部設(shè)備不斷增長(zhǎng)，移動(dòng)終端、遠(yuǎn)程辦公、企業(yè)業(yè)務(wù)在內(nèi)網(wǎng)和公有云同時(shí)部署，這樣的趨勢(shì)已經(jīng)破壞了企業(yè)使用的傳統(tǒng)安全模型。因此需要一種新方法，能夠?qū)吔绮磺逦木W(wǎng)絡(luò)業(yè)務(wù)場(chǎng)景進(jìn)行更好的安全保護(hù)。

基于SDP(Software Defined Perimeter，軟件定義邊界)的防護(hù)架構(gòu)，以軟件定義邊界，將網(wǎng)絡(luò)空間的網(wǎng)絡(luò)元素身份化，通過(guò)身份定義訪問(wèn)邊界，是零信任落地實(shí)現(xiàn)的一種重要方式。SDP旨在使應(yīng)用程序所有者能夠在需要時(shí)部署邊界，以便將業(yè)務(wù)和服務(wù)與不安全的網(wǎng)絡(luò)隔離開(kāi)來(lái)。

可以說(shuō)，SDP是在網(wǎng)絡(luò)邊界模糊和消失趨勢(shì)下給業(yè)務(wù)資源提供的隱身衣，它使網(wǎng)絡(luò)黑客看不到目標(biāo)而無(wú)法發(fā)動(dòng)攻擊。

SDP架構(gòu)

圖1 SDP架構(gòu)

SDP架構(gòu)如圖1所示，主要由SDP客戶(hù)端、SDP控制器、SDP網(wǎng)關(guān)三個(gè)主要部分組成：

? SDP客戶(hù)端：為C/S型客戶(hù)端應(yīng)用、B/S型Web應(yīng)用提供統(tǒng)一的應(yīng)用訪問(wèn)入口，支持應(yīng)用級(jí)別的訪問(wèn)控制。

? SDP控制器：主要包含身份管理、PKI、可信評(píng)估、策略管理等組件。身份管理組件，對(duì)用戶(hù)和終端認(rèn)證，基于用戶(hù)和應(yīng)用的可信度生成動(dòng)態(tài)權(quán)限;PKI公鑰基礎(chǔ)設(shè)施，為用戶(hù)頒發(fā)身份密鑰;可信評(píng)估組件，對(duì)用戶(hù)、應(yīng)用進(jìn)行持續(xù)可信評(píng)估;策略管理組件，根據(jù)用戶(hù)權(quán)限以及策略規(guī)范生成用戶(hù)訪問(wèn)權(quán)限，生成安全隧道策略，并下發(fā)到客戶(hù)端和網(wǎng)關(guān)。

? SDP網(wǎng)關(guān)：對(duì)應(yīng)用業(yè)務(wù)進(jìn)行隱藏保護(hù)。在接收到控制器下發(fā)的策略后，和客戶(hù)端建立安全隧道，并起到業(yè)務(wù)代理作用，訪問(wèn)應(yīng)用業(yè)務(wù)。

SDP要求客戶(hù)端在訪問(wèn)被保護(hù)的服務(wù)器之前，首先進(jìn)行認(rèn)證和授權(quán)，然后在端點(diǎn)和應(yīng)用基礎(chǔ)設(shè)施之間建立實(shí)時(shí)加密連接訪問(wèn)通路。SDP零信任的流程主要如下：

1) SDP 控制器服務(wù)上線，連接至適當(dāng)?shù)恼J(rèn)證和授權(quán)服務(wù)，例如PKI頒發(fā)證書(shū)認(rèn)證服務(wù)、設(shè)備驗(yàn)證、地理定位、SAML、OpenID、oAuth、LDAP、Kerberos、多因子身份驗(yàn)證等服務(wù);

2) SDP客戶(hù)端在控制器注冊(cè)，控制器為客戶(hù)端生成ID和一次性口令的種子，用于單包認(rèn)證(SPA);

3) SDP客戶(hù)端利用控制器生成的一次性口令種子和隨機(jī)數(shù)生成一次性口令，進(jìn)行單包認(rèn)證，單包認(rèn)證后，進(jìn)行用戶(hù)身份認(rèn)證，認(rèn)證通過(guò)后控制器為客戶(hù)端分發(fā)身份令牌;

4) 在SPA認(rèn)證、用戶(hù)身份認(rèn)證通過(guò)后，SDP控制器確定SDP客戶(hù)端可以連接的SDP網(wǎng)關(guān)列表;

5) SDP控制器通知SDP網(wǎng)關(guān)接收來(lái)自SDP客戶(hù)端的通信，以及加密通信所需的所有可選安全策略、訪問(wèn)權(quán)限列表;

6) SDP客戶(hù)端向每個(gè)可接受連接的SDP網(wǎng)關(guān)發(fā)起單包授權(quán),并創(chuàng)建與這些SDP網(wǎng)關(guān)的雙向加密連接，例如TSL、IPsec等;

7) SDP客戶(hù)端的業(yè)務(wù)訪問(wèn)請(qǐng)求到達(dá)SDP網(wǎng)關(guān)后，網(wǎng)關(guān)提取用戶(hù)身份令牌，根據(jù)令牌、要訪問(wèn)的業(yè)務(wù)和用戶(hù)的權(quán)限確認(rèn)用戶(hù)是否有權(quán)限訪問(wèn)該業(yè)務(wù);

8) 允許訪問(wèn)的業(yè)務(wù)請(qǐng)求予以放行。

SDP 應(yīng)用場(chǎng)景

基于SDP的零信任架構(gòu)能夠保護(hù)各種類(lèi)型的業(yè)務(wù)服務(wù)免受網(wǎng)絡(luò)基礎(chǔ)攻擊，以下是幾種比較常見(jiàn)的應(yīng)用場(chǎng)景。

企業(yè)應(yīng)用隔離

對(duì)于涉及知識(shí)產(chǎn)權(quán)、財(cái)務(wù)信息、人力資源的數(shù)據(jù)，以及僅在企業(yè)網(wǎng)絡(luò)內(nèi)可用的其他數(shù)據(jù)集，攻擊者可能通過(guò)入侵網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)，從而進(jìn)入內(nèi)部網(wǎng)絡(luò)，然后橫向移動(dòng)獲得高價(jià)值信息資產(chǎn)的訪問(wèn)權(quán)限，造成數(shù)據(jù)泄露。

1) 企業(yè)可以在數(shù)據(jù)中心內(nèi)部署SDP，以便將高價(jià)值應(yīng)用程序與數(shù)據(jù)中心中的其他應(yīng)用程序隔離開(kāi)來(lái)，并將它們與整個(gè)網(wǎng)絡(luò)中的未授權(quán)用戶(hù)隔離開(kāi)。

2) 未經(jīng)授權(quán)的用戶(hù)將無(wú)法檢測(cè)到受保護(hù)的應(yīng)用程序，這將減輕這些攻擊所依賴(lài)的橫向移動(dòng)。

私有云和公有云混合場(chǎng)景

1) SDP將應(yīng)用統(tǒng)一匯總到網(wǎng)關(guān)，進(jìn)行統(tǒng)一的管控。

2) 對(duì)于私有云、公有云混合的應(yīng)用場(chǎng)景， SDP可以對(duì)業(yè)務(wù)進(jìn)行統(tǒng)一防護(hù)，實(shí)現(xiàn)用戶(hù)無(wú)差異感。

軟件即服務(wù)(SaaS)

1) 軟件即服務(wù)(SaaS)供應(yīng)商可以使用 SDP 安全架構(gòu)來(lái)保護(hù)他們提供的服務(wù)。在這種應(yīng)用場(chǎng)景下，SaaS 服務(wù)就是一個(gè)SDP網(wǎng)關(guān)，而所有要訪問(wèn)的用戶(hù)就是SDP客戶(hù)端。

2) 通過(guò)使用SDP架構(gòu)，SaaS 廠商在將服務(wù)提供給全球互聯(lián)網(wǎng)用戶(hù)的同時(shí)不必再為安全問(wèn)題擔(dān)憂。

基礎(chǔ)設(shè)施即服務(wù)(IaaS)

1) 基礎(chǔ)設(shè)施即服務(wù)(IaaS)供應(yīng)商可以為客戶(hù)提供 SDP 即服務(wù)作為受保護(hù)的入口。

2) 客戶(hù)可以充分利用 IaaS的靈活性和性?xún)r(jià)比，減少各種潛在的攻擊。

平臺(tái)即服務(wù)(PaaS)

1) 平臺(tái)即服務(wù)(PaaS)供應(yīng)商可以通過(guò)將 SDP 架構(gòu)作為服務(wù)的一部分來(lái)實(shí)現(xiàn)差異化。

2) 為最終用戶(hù)提供了一種嵌入式安全服務(wù),可以緩解基于網(wǎng)絡(luò)的攻擊。

與云桌面VDI聯(lián)合使用

1) 虛擬桌面基礎(chǔ)架構(gòu)(VDI)可以部署在彈性云中，這樣VDI的使用可以按小時(shí)支付。

2) 如果VDI用戶(hù)需要訪問(wèn)公司內(nèi)部服務(wù)器，VDI可能難以使用，并且可能會(huì)產(chǎn)生安全漏洞。如果VDI與SDP相結(jié)合，就可以通過(guò)更簡(jiǎn)單的用戶(hù)交互和細(xì)粒度訪問(wèn)來(lái)解決這兩個(gè)問(wèn)題。

物聯(lián)網(wǎng)(IoT)

1) 大量的新設(shè)備正在連接到互聯(lián)網(wǎng)上。要管理這些設(shè)備或從這些設(shè)備中提取信息，亦或兩者兼有，后端應(yīng)用程序的任務(wù)很關(guān)鍵，因?yàn)橐洚?dāng)私有或敏感數(shù)據(jù)的保管人。

2) 軟件定義邊界可以用于隱藏這些服務(wù)器及其在 Internet上的交互，以最大限度提高安全性和正常運(yùn)行時(shí)間。

SDP零信任的落地應(yīng)用

通過(guò)整合一體化電信級(jí)可信網(wǎng)關(guān)、安全準(zhǔn)入終端和安全態(tài)勢(shì)分析引擎的核心優(yōu)勢(shì)，新華三已實(shí)際構(gòu)建以安全接入為核心的SDP零信任解決方案。方案主要由SDP客戶(hù)端、SDP可信網(wǎng)關(guān)、SDP控制器組成，結(jié)合對(duì)零信任的研究實(shí)踐，通過(guò)對(duì)用戶(hù)的統(tǒng)一安全接入及動(dòng)態(tài)權(quán)限管理，實(shí)現(xiàn)了身份、終端、應(yīng)用系統(tǒng)的安全可信。目前支持兩種模式，有客戶(hù)端模式和無(wú)客戶(hù)端模式。

客戶(hù)端模式：

客戶(hù)端模式應(yīng)用在安全級(jí)別較高的場(chǎng)景下，需要在終端PC安裝客戶(hù)端?？蛻?hù)端在進(jìn)行業(yè)務(wù)訪問(wèn)前都要先通過(guò)SPA認(rèn)證才能進(jìn)行后續(xù)的業(yè)務(wù)處理，并且此模式下可以實(shí)時(shí)對(duì)用戶(hù)和終端進(jìn)行風(fēng)險(xiǎn)評(píng)估，實(shí)現(xiàn)策略的動(dòng)態(tài)調(diào)整。

圖2 客戶(hù)端模式

? 策略中心和網(wǎng)關(guān)默認(rèn)關(guān)閉所有服務(wù)端口。

? 終端安裝客戶(hù)端插件后，需要客戶(hù)端注冊(cè)，確?？蛻?hù)端可信(可以對(duì)客戶(hù)端進(jìn)行控制)。注冊(cè)后的客戶(hù)端獲得身份ID、設(shè)備指紋(SPA種子)。

? 客戶(hù)端進(jìn)行業(yè)務(wù)訪問(wèn)前，根據(jù)設(shè)備指紋和隨機(jī)數(shù)，借助HOTP算法生成一次性口令，進(jìn)行SPA認(rèn)證，確保設(shè)備可信。

? SPA認(rèn)證通過(guò)后，客戶(hù)端到策略中心進(jìn)行認(rèn)證，認(rèn)證通過(guò)后，策略中心下發(fā)用戶(hù)權(quán)限、用戶(hù)令牌，并把用戶(hù)上線信息下發(fā)到網(wǎng)關(guān)。

? 客戶(hù)端在用戶(hù)認(rèn)證通過(guò)后，和網(wǎng)關(guān)進(jìn)行SPA認(rèn)證，認(rèn)證通過(guò)后建立可信隧道，進(jìn)行業(yè)務(wù)訪問(wèn)。

? 策略中心實(shí)時(shí)進(jìn)行用戶(hù)、終端的風(fēng)險(xiǎn)評(píng)估，根據(jù)風(fēng)險(xiǎn)調(diào)整用戶(hù)權(quán)限，并將動(dòng)態(tài)權(quán)限、控制指令下發(fā)到網(wǎng)關(guān)。

無(wú)客戶(hù)端模式：

無(wú)終端模式應(yīng)用在安全級(jí)別要求不高的場(chǎng)景，終端PC只需要通過(guò)瀏覽器進(jìn)行用戶(hù)認(rèn)證和業(yè)務(wù)訪問(wèn)，此模式不涉及風(fēng)險(xiǎn)評(píng)估功能和SPA認(rèn)證。

圖3 無(wú)客戶(hù)端模式

? 策略中心、網(wǎng)關(guān)需要默認(rèn)開(kāi)啟業(yè)務(wù)需要訪問(wèn)的端口。

? 用戶(hù)訪問(wèn)業(yè)務(wù)時(shí)，如無(wú)用戶(hù)token，會(huì)被網(wǎng)關(guān)重定向到認(rèn)證頁(yè)面，對(duì)用戶(hù)進(jìn)行多因素認(rèn)證，認(rèn)證通過(guò)后為用戶(hù)推送用戶(hù)token。

? 用戶(hù)認(rèn)證通過(guò)后，將用戶(hù)上線信息推送到網(wǎng)關(guān)，并對(duì)用戶(hù)風(fēng)險(xiǎn)、終端風(fēng)險(xiǎn)、資產(chǎn)風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)安全評(píng)估，根據(jù)風(fēng)險(xiǎn)動(dòng)態(tài)生成權(quán)限，下發(fā)到網(wǎng)關(guān)。

? 用戶(hù)攜帶用戶(hù)token訪問(wèn)業(yè)務(wù)，網(wǎng)關(guān)根據(jù)用戶(hù)token識(shí)別用戶(hù)，進(jìn)行動(dòng)態(tài)訪問(wèn)控制。