中國電信股份有限公司安徽分公司企業(yè)信息化部 朱良海 張義超 袁震

隨著IPv6、5G移動互聯(lián)建設(shè)和發(fā)展和基礎(chǔ)計算能力云化，網(wǎng)絡(luò)邊界日趨模糊，很難再有獨(dú)立安全域模型進(jìn)行支撐，導(dǎo)致傳統(tǒng)的VPN 技術(shù)已經(jīng)不再適用于新型網(wǎng)絡(luò)的發(fā)展需要。根據(jù)企業(yè)運(yùn)營發(fā)展需要，在互聯(lián)網(wǎng)安全邊界正在消失趨勢下，采用SDP 軟件定義的界限技術(shù)架構(gòu)保證安全的基礎(chǔ)上支撐企業(yè)的發(fā)展，實現(xiàn)新形勢下企業(yè)信息系統(tǒng)架構(gòu)從“無邊界”向“有邊界”轉(zhuǎn)換。

傳統(tǒng)企業(yè)網(wǎng)絡(luò)架構(gòu)通過建立一個固定的邊界隔離內(nèi)部與外部通信，但目前SaaS、PaaS、IaaS 正在改變網(wǎng)絡(luò)邊界的位置，企業(yè)網(wǎng)絡(luò)架構(gòu)中的固定的邊界逐漸趨于模糊。Gartner 認(rèn)為，須致力于那些能夠最大幅度降低風(fēng)險并能夠?qū)I(yè)務(wù)產(chǎn)生最大影響的項目上。而且Gartner 2018年十大新項目，其中之一就是SDP 軟件定義的界限項目。這些都是獨(dú)立的項目，而非項目集。它們各自都有真正的基礎(chǔ)技術(shù)。依托SDP軟件定義的界限項目技術(shù)基礎(chǔ)，構(gòu)建安全的互聯(lián)網(wǎng)接入企業(yè)辦公門戶。

基于SDP 信任體系模型與構(gòu)建技術(shù)

1.基于SDP 網(wǎng)絡(luò)架構(gòu)特點(diǎn)

SDP 軟件定義的邊界是一種解決云計算、5G、IPv6 互聯(lián)網(wǎng)絡(luò)邊界不確定性安全協(xié)議框架，它是根據(jù)身份控制來實現(xiàn)對內(nèi)網(wǎng)資源的差異化訪問。

該框架基于“需要才能接入”模型，確保每個終端在連接應(yīng)用服務(wù)必須經(jīng)過認(rèn)證，并且確認(rèn)設(shè)備是被允許接入的。其核心理念是通過SDP 網(wǎng)絡(luò)架構(gòu)隱藏核心網(wǎng)絡(luò)資產(chǎn)與設(shè)施，使它不直接暴露在互聯(lián)網(wǎng)下，從而避免網(wǎng)絡(luò)計算資源資產(chǎn)受外來直接安全威脅。

由于網(wǎng)絡(luò)架構(gòu)是“黑”的，SDP 也有“黑云”之稱，這個“黑”代表了未接入的用戶無法直接檢測到內(nèi)部計算資源。如果攻擊者無法知道目標(biāo)在何方，那么攻擊將無法進(jìn)行。因此，在SDP 架構(gòu)中，服務(wù)器沒有對外暴露的內(nèi)網(wǎng)服務(wù)，只有通過授權(quán)的SDP客戶端才能通過專有的安全協(xié)議連接訪問。

2.SDP 三層網(wǎng)絡(luò)安全架構(gòu)模型

企業(yè)應(yīng)用層是用戶端網(wǎng)元的控制平面，負(fù)責(zé)客戶端計算，并通過SDP 控制器連接服務(wù)器，產(chǎn)生轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量，而轉(zhuǎn)發(fā)平面只在網(wǎng)絡(luò)設(shè)備上。體現(xiàn)用戶意圖的各種上層應(yīng)用程序，此類應(yīng)用程序稱為協(xié)同層應(yīng)用程序，典型的應(yīng)用包括企業(yè)的OSS 業(yè)務(wù)運(yùn)營支撐系統(tǒng)，通過SDN網(wǎng)絡(luò)架構(gòu)完成集中接入控制，如圖1 所示。

SDP 接入控制層是設(shè)備網(wǎng)元通過控制器集中管理，這樣就不需要對設(shè)備進(jìn)行逐一網(wǎng)絡(luò)配置操作，只需要對控制器進(jìn)行配置即可。

控制層是系統(tǒng)的控制中心，負(fù)責(zé)網(wǎng)絡(luò)的內(nèi)部交換路徑和邊界業(yè)務(wù)路由的生成，并負(fù)責(zé)處理網(wǎng)絡(luò)狀態(tài)變化事件。當(dāng)網(wǎng)絡(luò)發(fā)生狀態(tài)變化，比如鏈路故障、節(jié)點(diǎn)故障等時，控制層會根據(jù)這些網(wǎng)絡(luò)狀態(tài)的變化調(diào)整網(wǎng)絡(luò)交換路徑和業(yè)務(wù)路由，使網(wǎng)絡(luò)始終能夠處于一個正常的服務(wù)狀態(tài)。

控制層是SDP 網(wǎng)絡(luò)系統(tǒng)中的大腦，是決策部件，它的核心功能是實現(xiàn)網(wǎng)絡(luò)內(nèi)部轉(zhuǎn)發(fā)路徑分配和邊界業(yè)務(wù)路由計算。

能力計算層由PaaS、SaaS、IaaS 和SDP 轉(zhuǎn)發(fā)器組成，PaaS、SaaS、IaaS 等 作用是提供虛擬機(jī)或者其他資源作為服務(wù)提供給用戶。而SDP 轉(zhuǎn)發(fā)器的作用是根據(jù)企業(yè)應(yīng)用層的請求轉(zhuǎn)發(fā)至對應(yīng)的服務(wù)。轉(zhuǎn)發(fā)層主要由轉(zhuǎn)發(fā)器和連接器的線路構(gòu)成基礎(chǔ)轉(zhuǎn)發(fā)網(wǎng)絡(luò)，這一層負(fù)責(zé)執(zhí)行用戶數(shù)據(jù)的轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)過程中所需要的轉(zhuǎn)發(fā)表項是由控制層生成的。

圖1 SDP 安全網(wǎng)絡(luò)架構(gòu)

轉(zhuǎn)發(fā)層是系統(tǒng)執(zhí)行單元，本身通常不做決策，其核心部件是系統(tǒng)轉(zhuǎn)發(fā)引擎，由轉(zhuǎn)發(fā)引擎負(fù)責(zé)根據(jù)控制層下發(fā)的轉(zhuǎn)發(fā)數(shù)據(jù)進(jìn)行報文轉(zhuǎn)發(fā)。該層和控制層之間通過控制接口交互，轉(zhuǎn)發(fā)層一方面上報網(wǎng)絡(luò)資源信息和狀態(tài)，另一方面接收控制層下發(fā)的轉(zhuǎn)發(fā)信息。

3.SDP 安全架構(gòu)模型優(yōu)勢分析及注意事項

在傳統(tǒng)的互聯(lián)網(wǎng)接入模型中：

首先客戶端需要建立與服務(wù)器端的連接，這一步驟使服務(wù)端暴露在公網(wǎng)中，存在被利用的風(fēng)險。

其次，即使是用戶通過登錄頁面輸入用戶名和密碼，這一步驟存在弱口令、賬號盜用等風(fēng)險。

第三，即便個別應(yīng)用為了確保安全可能采用多因素認(rèn)證，但是多因素認(rèn)證增加了系統(tǒng)驗證的復(fù)雜度，系統(tǒng)友好性變差導(dǎo)致用戶感知下降。

而在SDP 互聯(lián)網(wǎng)接入模型中：

首先客戶端進(jìn)行透明的無感知多因素認(rèn)證，包括認(rèn)證設(shè)備的可靠性、接入通道的可靠性等。

其次，在可信計算基礎(chǔ)上再進(jìn)行接入認(rèn)證，認(rèn)證后用戶才正式接入。

第三，上述2 步均在客戶端與接入控制器進(jìn)行交互，不涉及對于具體服務(wù)的訪問，互聯(lián)網(wǎng)暴露面僅1個接入門戶。當(dāng)認(rèn)證通過后，客戶端才能夠與可訪問內(nèi)網(wǎng)資源建立連接連接。

根據(jù)上面的優(yōu)勢分析，SDP 通過三種方式對抗基于網(wǎng)絡(luò)的攻擊：首先，透明多因素認(rèn)證建立了互聯(lián)網(wǎng)可信計算基礎(chǔ)；其次，服務(wù)沙箱技術(shù)可以降低應(yīng)用被感染的風(fēng)險；第三，SSL 雙向認(rèn)證實現(xiàn)了加密通道通信。

SDP提供對于PaaS、SaaS、IaaS 的以用戶為中心、可管理的、易實現(xiàn)的、安全的、快捷的互聯(lián)網(wǎng)接入服務(wù)，它解決了TCP/IP 中的一個設(shè)計漏洞，即在認(rèn)證之前即建立網(wǎng)絡(luò)連接。由于SDP 的成本低、部署簡單、技術(shù)成熟等有利因素，SDP 可能取代傳統(tǒng)的網(wǎng)絡(luò)防火墻和VPN 技術(shù)。

但SDP 同樣也面臨著挑戰(zhàn)，其中最大挑戰(zhàn)是互聯(lián)網(wǎng)接入認(rèn)證控制器安全，也就是統(tǒng)一接入門戶安全，當(dāng)初始認(rèn)證請求完成后，假設(shè)一個用戶連接到企業(yè)應(yīng)用程序的場景，在通過SDP 控制器進(jìn)行初始認(rèn)證和授權(quán)之后，客戶端將根據(jù)策略和端口號通過SDP 網(wǎng)關(guān)建立一個帶有應(yīng)用程序服務(wù)的隧道，從而導(dǎo)致原有的應(yīng)用漏洞問題可能會被挖掘出來。因為SDP只是通過隱藏內(nèi)網(wǎng)服務(wù)減小攻擊面，因此加強(qiáng)內(nèi)網(wǎng)應(yīng)用安全同樣重要。

圖2 基于SDP 技術(shù)的辦公平臺網(wǎng)絡(luò)架構(gòu)示意圖

SDP 軟件定義的邊界項目連續(xù)2年入選Gartner 最應(yīng)投資的10 大安全項目，并且在RSA 連續(xù)4年舉辦SDP黑客破解大賽中無人成功攻陷內(nèi)網(wǎng)。預(yù)計到2021年底，60%的企業(yè)將用SDP 取代VPN。

SDP 模型在企業(yè)互聯(lián)網(wǎng)應(yīng)用中實踐

各單位都在推出移動OA辦公、電子郵箱等多種依托互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的應(yīng)用，互聯(lián)網(wǎng)及移動互聯(lián)給公司員工帶來便利的同時，也給企業(yè)的數(shù)據(jù)安全帶來了新挑戰(zhàn)和新危險。

如何把企業(yè)數(shù)據(jù)和應(yīng)用程序轉(zhuǎn)移到移動設(shè)備上去，如何保證企業(yè)數(shù)據(jù)在傳輸過程中的安全，如何防止APP仿冒及移動設(shè)備成為滲透企業(yè)內(nèi)部網(wǎng)絡(luò)的跳板，如何防范移動設(shè)備易被竊或遺失，給企業(yè)帶來數(shù)據(jù)泄密隱患等等，成為企業(yè)需要克服的難題。而基于SDP 技術(shù)的企業(yè)辦公平臺，采用SDP 軟件定義的邊界技術(shù)很好地解決了上述問題。

基于SDP 技術(shù)的企業(yè)辦公平臺可根據(jù)業(yè)務(wù)要求，設(shè)定不同的用戶權(quán)限，類型包含系統(tǒng)管理員、安全管理員、普通業(yè)務(wù)員等角色組，不同的角色組可以分配不同的權(quán)限，系統(tǒng)支持對不同的業(yè)務(wù)角色分配適合的權(quán)限，可根據(jù)企業(yè)組織架構(gòu)進(jìn)行角色匹配。

系統(tǒng)主要功能應(yīng)包括移動設(shè)備管理、安全策略發(fā)布、應(yīng)用注冊授權(quán)、應(yīng)用發(fā)布、安全網(wǎng)關(guān)、安全門戶、獨(dú)立工作區(qū)域、后臺及客戶端相關(guān)日志的管理等。建設(shè)應(yīng)用通道安全穩(wěn)定，統(tǒng)一門戶快捷高效。

如圖2 所示，基于SDP 技術(shù)的企業(yè)辦公平臺包含移動終端安全管理服務(wù)器和應(yīng)用安全隧道網(wǎng)關(guān)。

移動終端安全管理服務(wù)器部署在省公司內(nèi)網(wǎng)中，用于管理移動終端認(rèn)證與業(yè)務(wù)應(yīng)用的發(fā)布管理。

應(yīng)用安全隧道網(wǎng)關(guān)部署在內(nèi)網(wǎng)云服務(wù)區(qū)域，用于提供安全穩(wěn)定的加密通道，為內(nèi)部移動終端提供一個安全門戶辦公APP，并通過安全門戶進(jìn)行快速發(fā)布和單點(diǎn)登錄。而業(yè)務(wù)APP 數(shù)據(jù)流通過安全隧道網(wǎng)關(guān)轉(zhuǎn)發(fā)至內(nèi)網(wǎng)，從而避免了中間人攻擊欺騙和網(wǎng)絡(luò)滲透掃描，實現(xiàn)了“需要才能接入”網(wǎng)絡(luò)安全通信模型。

應(yīng)用安全網(wǎng)關(guān)APN 實現(xiàn)了權(quán)限鑒權(quán)和加密通道的雙重安全防護(hù)，為企業(yè)內(nèi)網(wǎng)提供了統(tǒng)一的對外訪問入口。

移動終端訪問內(nèi)網(wǎng)應(yīng)用必須經(jīng)過網(wǎng)關(guān)，并且與網(wǎng)關(guān)之間通過安全隧道進(jìn)行連接，每個應(yīng)用獨(dú)享一個安全隧道。其中安全隧道采用的是SSL 加密協(xié)議，對傳輸中的數(shù)據(jù)進(jìn)行了加密處理，以保證應(yīng)用數(shù)據(jù)在傳輸過程中的安全。

同時，平臺對應(yīng)用的網(wǎng)絡(luò)連接做了技術(shù)優(yōu)化，傳輸性能相比普通直接采用SSL 協(xié)議的網(wǎng)絡(luò)請求有了極大的提升。

對于安全隧道的使用，平臺設(shè)計了以設(shè)備、用戶及應(yīng)用三方綜合維度的嚴(yán)格身份認(rèn)證，有終端和網(wǎng)關(guān)兩個核心控制點(diǎn)，這兩個控制點(diǎn)相互關(guān)聯(lián)，雙向認(rèn)證，高度安全，即使通過黑客類手段獲取終端權(quán)限，利用偽造或中間人攻擊等手段也無法突破網(wǎng)關(guān)的防護(hù)。

結(jié)語

綜上所述，SDP 軟件定義邊界項目具備5 大優(yōu)點(diǎn)：統(tǒng)一認(rèn)證；統(tǒng)一授權(quán)；應(yīng)用級準(zhǔn)入網(wǎng)關(guān)；可自定義的網(wǎng)絡(luò)結(jié)構(gòu)；隱藏互聯(lián)網(wǎng)暴露面。

尤其是隱藏互聯(lián)網(wǎng)暴露面，即應(yīng)用服務(wù)器沒有直接對外暴露的互聯(lián)網(wǎng)IP 端口服務(wù)，僅可以通過統(tǒng)一門戶認(rèn)證后才可以訪問內(nèi)網(wǎng)應(yīng)用，從面上降低企業(yè)遭受網(wǎng)絡(luò)攻擊安全風(fēng)險。

這五大優(yōu)點(diǎn)使得SDP 技術(shù)在云計算、移動互聯(lián)網(wǎng)、IPv6 互聯(lián)網(wǎng)新的機(jī)遇和挑戰(zhàn)下實現(xiàn)了可信計算模型，是等保2.0 要求的計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全一種先進(jìn)可行的解決方案。