零信任應(yīng)用SDP技術(shù)應(yīng)用場景與方案落地

呂蘊(yùn)藉

基于軟件定義邊界（Software Defined Perimeter，SDP）是在網(wǎng)絡(luò)邊界模糊和消失趨勢(shì)下給業(yè)務(wù)資源提供的隱身衣，使網(wǎng)絡(luò)黑客看不到目標(biāo)而無法發(fā)動(dòng)攻擊。

隨著移動(dòng)業(yè)務(wù)快速擴(kuò)展，物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市的持續(xù)發(fā)展，資產(chǎn)防護(hù)的安全邊界越來越不清晰，傳統(tǒng)的邊界防護(hù)架構(gòu)越來越顯得力不從心。邊界安全主要存在的問題有如下幾點(diǎn)：

黑客可以輕松劫持邊界內(nèi)的設(shè)備并從內(nèi)部攻擊企業(yè)

隨著自帶設(shè)備（BYOD）、外包人員、合作伙伴的增多，以及邊界內(nèi)部設(shè)備不確定因素的增加，導(dǎo)致安全漏洞不斷增多。企業(yè)的業(yè)務(wù)資源除了部署在傳統(tǒng)數(shù)據(jù)中心，也在不斷向外部云資源擴(kuò)展，如PaaS，IaaS，SaaS。因此，邊界安全網(wǎng)絡(luò)設(shè)備在拓?fù)渖喜⒉荒芎芎玫乇Ｗo(hù)企業(yè)應(yīng)用基礎(chǔ)設(shè)施。

邊界內(nèi)部設(shè)備不斷增長，移動(dòng)終端、遠(yuǎn)程辦公、企業(yè)業(yè)務(wù)在內(nèi)網(wǎng)和公有云同時(shí)部署，這樣的趨勢(shì)已經(jīng)破壞了企業(yè)使用的傳統(tǒng)安全模型。因此需要一種新方法，能夠?qū)吔绮磺逦木W(wǎng)絡(luò)業(yè)務(wù)場景進(jìn)行更好的安全保護(hù)。

SDP的防護(hù)架構(gòu)，以軟件定義邊界，將網(wǎng)絡(luò)空間的網(wǎng)絡(luò)元素身份化，通過身份定義訪問邊界，是零信任落地實(shí)現(xiàn)的一種重要方式。SDP旨在使應(yīng)用程序所有者能夠在需要時(shí)部署邊界，以便將業(yè)務(wù)和服務(wù)與不安全的網(wǎng)絡(luò)隔離開來。可以說，SDP是在網(wǎng)絡(luò)邊界模糊和消失趨勢(shì)下給業(yè)務(wù)資源提供的隱身衣，它使網(wǎng)絡(luò)黑客看不到目標(biāo)而無法發(fā)動(dòng)攻擊。

SDP架構(gòu)

SDP架構(gòu)主要由SDP客戶端、SDP控制器、SDP網(wǎng)關(guān)組成：

SDP客戶端：為C/S型客戶端應(yīng)用、B/S型Web應(yīng)用提供統(tǒng)一的應(yīng)用訪問入口，支持應(yīng)用級(jí)別的訪問控制。

SDP控制器：主要包含身份管理、PKI、可信評(píng)估、策略管理等組件。身份管理組件，對(duì)用戶和終端認(rèn)證，基于用戶和應(yīng)用的可信度生成動(dòng)態(tài)權(quán)限；PKI公鑰基礎(chǔ)設(shè)施，為用戶頒發(fā)身份密鑰；可信評(píng)估組件，對(duì)用戶、應(yīng)用進(jìn)行持續(xù)可信評(píng)估；策略管理組件，根據(jù)用戶權(quán)限以及策略規(guī)范生成用戶訪問權(quán)限，生成安全隧道策略，并下發(fā)到客戶端和網(wǎng)關(guān)。

SDP網(wǎng)關(guān)：對(duì)應(yīng)用業(yè)務(wù)進(jìn)行隱藏保護(hù)。在接收到控制器下發(fā)的策略后，和客戶端建立安全隧道，并起到業(yè)務(wù)代理作用，訪問應(yīng)用業(yè)務(wù)。

SDP要求客戶端在訪問被保護(hù)的服務(wù)器之前，首先進(jìn)行認(rèn)證和授權(quán)，然后在端點(diǎn)和應(yīng)用基礎(chǔ)設(shè)施之間建立實(shí)時(shí)加密連接訪問通路。SDP零信任的流程主要如下：

SDP控制器服務(wù)上線，連接至適當(dāng)?shù)恼J(rèn)證和授權(quán)服務(wù)，例如PKI頒發(fā)證書認(rèn)證服務(wù)、設(shè)備驗(yàn)證、地理定位、SAML、OpenID、oAuth、LDAP、Kerberos以及多因子身份驗(yàn)證等服務(wù)；

SDP客戶端在控制器注冊(cè)，控制器為客戶端生成ID和一次性口令的種子，用于單包認(rèn)證（SPA）；

SDP客戶端利用控制器生成的一次性口令種子和隨機(jī)數(shù)生成一次性口令，進(jìn)行單包認(rèn)證，單包認(rèn)證后，進(jìn)行用戶身份認(rèn)證，認(rèn)證通過后控制器為客戶端分發(fā)身份令牌；

在SPA認(rèn)證、用戶身份認(rèn)證通過后，SDP控制器確定SDP客戶端可以連接的SDP網(wǎng)關(guān)列表；

SDP控制器通知SDP網(wǎng)關(guān)接收來自SDP客戶端的通信，以及加密通信所需的所有可選安全策略、訪問權(quán)限列表；

SDP客戶端向每個(gè)可接受連接的SDP網(wǎng)關(guān)發(fā)起單包授權(quán)，并創(chuàng)建與這些SDP網(wǎng)關(guān)的雙向加密連接，例如TSL、IPsec等；

SDP客戶端的業(yè)務(wù)訪問請(qǐng)求到達(dá)SDP網(wǎng)關(guān)后，網(wǎng)關(guān)提取用戶身份令牌，根據(jù)令牌、要訪問的業(yè)務(wù)和用戶的權(quán)限確認(rèn)用戶是否有權(quán)限訪問該業(yè)務(wù)；

允許訪問的業(yè)務(wù)請(qǐng)求予以放行。

SDP應(yīng)用場景

基于SDP的零信任架構(gòu)能夠保護(hù)各種類型的業(yè)務(wù)服務(wù)免受網(wǎng)絡(luò)基礎(chǔ)攻擊，以下是幾種比較常見的應(yīng)用場景。

企業(yè)應(yīng)用隔離

對(duì)于涉及知識(shí)產(chǎn)權(quán)、財(cái)務(wù)信息、人力資源的數(shù)據(jù)以及僅在企業(yè)網(wǎng)絡(luò)內(nèi)可用的其他數(shù)據(jù)集，攻擊者可能通過入侵網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)，從而進(jìn)入內(nèi)部網(wǎng)絡(luò)，然后橫向移動(dòng)獲得高價(jià)值信息資產(chǎn)的訪問權(quán)限，造成數(shù)據(jù)泄露。

企業(yè)可以在數(shù)據(jù)中心內(nèi)部署SDP，以便將高價(jià)值應(yīng)用程序與數(shù)據(jù)中心中的其他應(yīng)用程序隔離開來，并將它們與整個(gè)網(wǎng)絡(luò)中的未授權(quán)用戶隔離開。

未經(jīng)授權(quán)的用戶將無法檢測到受保護(hù)的應(yīng)用程序，將減輕這些攻擊所依賴的橫向移動(dòng)。

私有云和公有云混合場景

SDP將應(yīng)用統(tǒng)一匯總到網(wǎng)關(guān)，進(jìn)行統(tǒng)一的管控。對(duì)于私有云、公有云混合的應(yīng)用場景，SDP可以對(duì)業(yè)務(wù)進(jìn)行統(tǒng)一防護(hù)，實(shí)現(xiàn)用戶無差異感。

軟件即服務(wù)（SaaS）：供應(yīng)商可以使用SDP安全架構(gòu)來保護(hù)他們提供的服務(wù)。在這種應(yīng)用場景下，SaaS服務(wù)就是一個(gè)SDP網(wǎng)關(guān)，而所有要訪問的用戶就是SDP客戶端。

通過使用SDP架構(gòu)，SaaS廠商在將服務(wù)提供給全球互聯(lián)網(wǎng)用戶的同時(shí)不必再為安全問題擔(dān)憂。

基礎(chǔ)設(shè)施即服務(wù)（IaaS）供應(yīng)商可以為客戶提供SDP即服務(wù)作為受保護(hù)的入口。

客戶可以充分利用IaaS的靈活性和性價(jià)比，減少各種潛在的攻擊。

平臺(tái)即服務(wù)（PaaS）：供應(yīng)商可以通過將SDP架構(gòu)作為服務(wù)的一部分來實(shí)現(xiàn)差異化。

為最終用戶提供了一種嵌入式安全服務(wù)，可以緩解基于網(wǎng)絡(luò)的攻擊。

與云桌面VDI聯(lián)合使用

虛擬桌面基礎(chǔ)架構(gòu)（VDI）可以部署在彈性云中，這樣VDI的使用可以按小時(shí)支付。

如果VDI用戶需要訪問公司內(nèi)部服務(wù)器，VDI可能難以使用，并且可能會(huì)產(chǎn)生安全漏洞。如果VDI與SDP相結(jié)合，就可以通過更簡單的用戶交互和細(xì)粒度訪問來解決這兩個(gè)問題。

大量的新設(shè)備正在連接到互聯(lián)網(wǎng)上。要管理這些設(shè)備或從這些設(shè)備中提取信息，亦或二者兼有，后端應(yīng)用程序的任務(wù)很關(guān)鍵，因?yàn)橐洚?dāng)私有或敏感數(shù)據(jù)的保管人。

軟件定義邊界可以用于隱藏這些服務(wù)器及其在Internet上的交互，以最大限度提高安全性和正常運(yùn)行時(shí)間。

SDP零信任的落地應(yīng)用通過整合一體化電信級(jí)可信網(wǎng)關(guān)、安全準(zhǔn)入終端和安全態(tài)勢(shì)分析引擎的核心優(yōu)勢(shì)，例如新華三已實(shí)際構(gòu)建以安全接入為核心的SDP零信任解決方案。方案主要由SDP客戶端、SDP可信網(wǎng)關(guān)、SDP控制器組成，結(jié)合對(duì)零信任的研究實(shí)踐，通過對(duì)用戶的統(tǒng)一安全接入及動(dòng)態(tài)權(quán)限管理，實(shí)現(xiàn)了身份、終端、應(yīng)用系統(tǒng)的安全可信。目前支持兩種模式，有客戶端模式和無客戶端模式。

客戶端模式

客戶端模式應(yīng)用在安全級(jí)別較高的場景下，需要在終端PC安裝客戶端?？蛻舳嗽谶M(jìn)行業(yè)務(wù)訪問前都要先通過SPA認(rèn)證才能進(jìn)行后續(xù)的業(yè)務(wù)處理，并且此模式下可以實(shí)時(shí)對(duì)用戶和終端進(jìn)行風(fēng)險(xiǎn)評(píng)估，實(shí)現(xiàn)策略的動(dòng)態(tài)調(diào)整。

策略中心和網(wǎng)關(guān)默認(rèn)關(guān)閉所有服務(wù)端口。

終端安裝客戶端插件后，需要客戶端注冊(cè)，確?？蛻舳丝尚牛梢詫?duì)客戶端進(jìn)行控制），注冊(cè)后的客戶端獲得身份ID、設(shè)備指紋（SPA種子）。

客戶端進(jìn)行業(yè)務(wù)訪問前，根據(jù)設(shè)備指紋和隨機(jī)數(shù)，借助HOTP算法生成一次性口令，進(jìn)行SPA認(rèn)證，確保設(shè)備可信。

SPA認(rèn)證通過后，客戶端到策略中心進(jìn)行認(rèn)證，認(rèn)證通過后，策略中心下發(fā)用戶權(quán)限、用戶令牌，并把用戶上線信息下發(fā)到網(wǎng)關(guān)。

客戶端在用戶認(rèn)證通過后，和網(wǎng)關(guān)進(jìn)行SPA認(rèn)證，認(rèn)證通過后建立可信隧道，進(jìn)行業(yè)務(wù)訪問。

策略中心實(shí)時(shí)進(jìn)行用戶、終端的風(fēng)險(xiǎn)評(píng)估，根據(jù)風(fēng)險(xiǎn)調(diào)整用戶權(quán)限，并將動(dòng)態(tài)權(quán)限、控制指令下發(fā)到網(wǎng)關(guān)。

無客戶端模式

無終端模式應(yīng)用在安全級(jí)別要求不高的場景，終端PC只需要通過瀏覽器進(jìn)行用戶認(rèn)證和業(yè)務(wù)訪問，此模式不涉及風(fēng)險(xiǎn)評(píng)估功能和SPA認(rèn)證。

策略中心、網(wǎng)關(guān)需要默認(rèn)開啟業(yè)務(wù)需要訪問的端口。

用戶訪問業(yè)務(wù)時(shí)，如無用戶token，會(huì)被網(wǎng)關(guān)重定向到認(rèn)證頁面，對(duì)用戶進(jìn)行多因素認(rèn)證，認(rèn)證通過后為用戶推送用戶token。

用戶認(rèn)證通過后，將用戶上線信息推送到網(wǎng)關(guān)，并對(duì)用戶風(fēng)險(xiǎn)、終端風(fēng)險(xiǎn)、資產(chǎn)風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)安全評(píng)估，根據(jù)風(fēng)險(xiǎn)動(dòng)態(tài)生成權(quán)限，下發(fā)到網(wǎng)關(guān)。

用戶攜帶用戶token訪問業(yè)務(wù)，網(wǎng)關(guān)根據(jù)用戶token識(shí)別用戶，進(jìn)行動(dòng)態(tài)訪問控制。