Matt Conran

部署零信任軟件定義周邊（SDP）架構(gòu)并不是要完全取代虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)和防火墻?？偟膩碚f，標(biāo)記內(nèi)部和外部的防火墻分界點(diǎn)不會(huì)很快消失。VPN集中器在可預(yù)見的未來也將占據(jù)一席之地。

無論在哪個(gè)技術(shù)時(shí)代，顛覆和替代都是一種非常激進(jìn)的部署方式。由于SDP是全新的技術(shù)，因此在選擇合適的供應(yīng)商時(shí)應(yīng)當(dāng)謹(jǐn)慎處理。SDP的采用應(yīng)該是一個(gè)緩慢的遷移過程，而不應(yīng)試圖通過顛覆和替換一蹴而就。

正如我在Network Insight網(wǎng)站上所寫的那樣，雖然SDP是一種顛覆性技術(shù)，但是在與眾多的SDP供應(yīng)商展開過討論后，我發(fā)現(xiàn)當(dāng)前的SDP格局傾向于基于特定的用例和項(xiàng)目，而不是立足于一種必須要在全球部署的技術(shù)。首先，用戶應(yīng)當(dāng)能夠?yàn)槟承┘?xì)分的用戶群體部署SDP。

傳統(tǒng)的老式VPN和新的SDP架構(gòu)很可能會(huì)并存一段時(shí)間。因此，如果可能的話，用戶應(yīng)該選擇支持雙模VPN和SDP架構(gòu)且能夠在單一窗格內(nèi)進(jìn)行控制的解決方案。

SDP架構(gòu)的類型

各種SDP架構(gòu)具有不同的特點(diǎn)。不過，讓架構(gòu)具有可用性非常重要，這樣客戶無需進(jìn)行太多修改即可輕松使用，包括打開新的防火墻端口。在這種情況下，還出現(xiàn)了云優(yōu)先的SDP解決方案。在這種解決方案中，供應(yīng)商的私有云可被用于控制網(wǎng)絡(luò)資源訪問。

有些供應(yīng)商會(huì)提供SDP組件，以便用戶能夠在云端和內(nèi)部數(shù)據(jù)中心進(jìn)行部署。不過，有些基礎(chǔ)設(shè)施提供商會(huì)提供自己的SDP組件，用戶必須要運(yùn)行他們的組件才行。

內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）也會(huì)提供一些SDP解決方案。這些方案會(huì)要求用戶使用其網(wǎng)絡(luò)分發(fā)服務(wù)。在這篇文章中，我們將對(duì)由供應(yīng)商提供組件讓用戶自行部署或是通過與專業(yè)服務(wù)團(tuán)隊(duì)部署的SDP架構(gòu)展開討論。在我們提到的供應(yīng)商中，部分供應(yīng)商在密切關(guān)注著云安全聯(lián)盟（CSA）SDP架構(gòu)指南，不過有些供應(yīng)商則沒有。

常見的SDP架構(gòu)由SDP控制器、客戶端和網(wǎng)關(guān)組件組成。自助部署應(yīng)該提供一個(gè)選項(xiàng)。這個(gè)選項(xiàng)既要允許基于SDP和周邊的VPN功能以并行方式工作，同時(shí)又要能夠執(zhí)行零信任原則。用戶方面應(yīng)該要確保新的SDP組件可以輕松與已部署的現(xiàn)有平臺(tái)和供應(yīng)商集成在一起。

控制器——集中式策略執(zhí)行引擎

對(duì)于集中式身份驗(yàn)證和授權(quán)，控制器組件會(huì)跟蹤用戶、設(shè)備和應(yīng)用程序?？刂破鲗⒊洚?dāng)集中式策略執(zhí)行引擎，以管理所有用戶、設(shè)備和應(yīng)用程序的控制與數(shù)據(jù)平面。

控制平面提供了諸如粒度分割等功能，用戶可以獲得非常具體的、甚至可根據(jù)每個(gè)應(yīng)用程序、每個(gè)用戶或每臺(tái)設(shè)備的微分段。接入網(wǎng)絡(luò)的所有事物都將擁有一個(gè)策略以管理它們能夠去哪里、能夠看到什么和做什么。

控制器能夠跟蹤與觸發(fā)認(rèn)證過程的實(shí)體通信。通過這種方式，控制器可以確定哪些主機(jī)可以彼此通信。控制器還可將信息轉(zhuǎn)發(fā)給外部服務(wù)，如認(rèn)證、地理位置和/或身份服務(wù)，以對(duì)請(qǐng)求主機(jī)可以訪問內(nèi)容的決定進(jìn)行確認(rèn)。

控制器的要旨是它們可以支持哪些類型的集成點(diǎn)。SDP控制器應(yīng)具有連接和支持授權(quán)服務(wù)的能力，例如PKI、設(shè)備指紋、地理位置、SAML、OpenID、OAuth、LDAP、Kerberos和多因素身份驗(yàn)證。

控制器對(duì)策略進(jìn)行了集中匯總，并在SDP客戶端和SDP網(wǎng)關(guān)之間形成了一個(gè)接口。這不僅可以實(shí)現(xiàn)分類，還可以將策略推送到更靠近請(qǐng)求客戶端的網(wǎng)關(guān)。因此，其最大的好處是能夠看到誰在網(wǎng)絡(luò)上以及他們可以去哪里。正如之前關(guān)于SDP的一篇文章中所討論的那樣，可見性目前是企業(yè)網(wǎng)絡(luò)中的一個(gè)重要短板。

我們有一個(gè)“黑暗”網(wǎng)絡(luò)，最終用戶是無法查看內(nèi)部資源的IP或DNS條目的（可以防止DDoS攻擊）。不過，基于集中控制器設(shè)置的認(rèn)證和授權(quán)以及推送到網(wǎng)關(guān)的信息就相當(dāng)于給管理員打開了一盞燈。

網(wǎng)關(guān)的作用

網(wǎng)關(guān)可以是物理設(shè)備或虛擬機(jī)（VM），可以放置在云端，通過公有云訪問也可以部署在本地。

理想情況下，網(wǎng)關(guān)可以設(shè)置在靠近請(qǐng)求資源的位置上。地理位置集成點(diǎn)在這里是非常有用的，因?yàn)槌鲇诎踩蛑挥心承┪恢每梢栽L問信息，或者是只有某些位置能夠通過重定向到邏輯上更接近的服務(wù)來增強(qiáng)用戶體驗(yàn)。

用戶同時(shí)擁有連接多個(gè)網(wǎng)關(guān)的多個(gè)隧道是很常見的事情。因?yàn)樗鼈儾皇庆o態(tài)路徑或一對(duì)一關(guān)系，更多的是用戶與應(yīng)用程序的關(guān)系。應(yīng)用程序可以存在于任何地方，為了提供對(duì)受保護(hù)資產(chǎn)的訪問，隧道是動(dòng)態(tài)并且短暫的?？梢哉f，網(wǎng)關(guān)是一種中間件設(shè)備。

當(dāng)用戶通過身份驗(yàn)證并被授權(quán)給控制器時(shí)，網(wǎng)關(guān)上會(huì)有額外的檢查。例如，使用SAML（安全聲明標(biāo)記語言）對(duì)用戶進(jìn)行身份驗(yàn)證，然后將信息傳遞給基于SaaS的產(chǎn)品。

每個(gè)網(wǎng)關(guān)都有策略和配置，這使得網(wǎng)關(guān)能夠執(zhí)行端點(diǎn)驗(yàn)證，從而確保端點(diǎn)在被授予網(wǎng)絡(luò)訪問權(quán)限之前完成強(qiáng)制狀態(tài)評(píng)估。

本質(zhì)上，所有關(guān)于用戶、設(shè)備安全狀態(tài)的設(shè)備信息以及地理位置信息都是從控制器中提取出來的，并通過安全控制平面發(fā)送到網(wǎng)關(guān)。

代理的作用

信任是一種雙向的信賴關(guān)系，即兩個(gè)交流的實(shí)體在相同背景下做應(yīng)該做的事情。因此，信任應(yīng)該建立在離端點(diǎn)最近的地方，可以在端點(diǎn)上使用代理或無代理客戶端來執(zhí)行?？蛻舳藨?yīng)當(dāng)可跨不同的操作系統(tǒng)工作，這樣用戶就不必親自管理任何東西。

通過基于瀏覽器的解決方案，用戶可使用Web瀏覽器訪問受保護(hù)的應(yīng)用程序。雖然它們不會(huì)提供全范圍的TCP和UDP端口，但是用戶可以通過HTML5做許多工作，其中許多都是原生的。

SDP處理的典型流程

讓我們總結(jié)一下處理流程?？蛻舳耸紫认蚩刂破靼l(fā)出請(qǐng)求。然后，控制器響應(yīng)請(qǐng)求并返回客戶端有權(quán)訪問的資源列表。最后，控制器再根據(jù)已設(shè)置的策略進(jìn)行確認(rèn)。

一旦控制器完成所有確認(rèn)和地理定位，以確保它們將到達(dá)正確的網(wǎng)關(guān)，控制器便會(huì)通過控制平面將策略信息轉(zhuǎn)發(fā)到選定的網(wǎng)關(guān)。隨后，網(wǎng)關(guān)將與端點(diǎn)上的客戶端（代理或無代理）建立聯(lián)系。

客戶端會(huì)識(shí)別需要運(yùn)行的策略以及需要連接的網(wǎng)關(guān)。這時(shí)客戶端將知道提供所請(qǐng)求服務(wù)的正確網(wǎng)關(guān)。隨后，會(huì)有一個(gè)針對(duì)該客戶端的額外身份驗(yàn)證程序被啟動(dòng)。身份驗(yàn)證會(huì)根據(jù)身份、設(shè)備、設(shè)備配置和其他背景信息展開。

這些信息將通過控制平面發(fā)送給控制器?？刂破鲿?huì)檢查客戶端是否滿足所有身份驗(yàn)證要求，并匹配適合訪問資源的安全狀態(tài)。

一旦過程完成，客戶端將建立一條到網(wǎng)關(guān)的安全連接，同時(shí)數(shù)據(jù)平面也將被建立。隨后，客戶端將通過數(shù)據(jù)平面直接與網(wǎng)關(guān)通信，流量將不會(huì)流經(jīng)集中式控制器。

所有SDP架構(gòu)中的常見階段

SDP架構(gòu)非常多，但是它們中的大多數(shù)都有著相似的理念和階段。

SDP架構(gòu)是以用戶為中心的。這意味著它們?cè)谠试S任何訪問之前會(huì)對(duì)用戶和設(shè)備進(jìn)行驗(yàn)證。訪問策略是基于用戶屬性創(chuàng)建的。這與傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)迥然不同，因?yàn)閭鹘y(tǒng)的網(wǎng)絡(luò)系統(tǒng)只是單純基于IP地址，不會(huì)考慮用戶及其設(shè)備的細(xì)節(jié)。

評(píng)估背景信息是SDP的一個(gè)關(guān)鍵方面。任何與IP相關(guān)的東西都不值得信賴，因?yàn)槲覀儧]有一個(gè)有效的東西可以強(qiáng)制對(duì)其執(zhí)行安全策略。我們需要評(píng)估的不僅僅是IP地址。

對(duì)于設(shè)備和用戶評(píng)估，我們需要更深入地了解并超越IP，不僅僅是將其用于網(wǎng)絡(luò)定位，而且還要將其作為信任之錨。理想情況下，一個(gè)可行的SDP解決方案必須分析用戶、角色、設(shè)備、位置、時(shí)間、網(wǎng)絡(luò)、應(yīng)用程序以及端點(diǎn)安全狀態(tài)。

此外，通過利用目錄組成員資格、IAM分配的屬性和用戶角色等元素，組織機(jī)構(gòu)可以定義和控制對(duì)網(wǎng)絡(luò)資源的訪問。業(yè)務(wù)、安全和合規(guī)團(tuán)隊(duì)還可以采取對(duì)他們有意義的方式來執(zhí)行這些訪問控制。

從本質(zhì)上講，破解難題的第一步是對(duì)每個(gè)用戶和連接進(jìn)行身份驗(yàn)證和授權(quán)。為此，我們需要執(zhí)行以下幾個(gè)階段。

驗(yàn)證用戶狀態(tài)

首先，SDP供應(yīng)商需要驗(yàn)證用戶。這可以通過安全聲明標(biāo)記語言（SAML）或多因素身份驗(yàn)證通過SSO（單點(diǎn)登錄）來實(shí)現(xiàn)。用戶的驗(yàn)證取決于用戶試圖訪問的內(nèi)容。網(wǎng)絡(luò)資源可以在云端上，例如基于SaaS的應(yīng)用程序，還可以在企業(yè)本地網(wǎng)絡(luò)上，這些因素決定了驗(yàn)證方法。

利用廣泛的多因素身份驗(yàn)證和授權(quán)選項(xiàng)可以確?？蛻舳思捌湓L問的資源在事務(wù)期間得到持續(xù)驗(yàn)證。客戶端的定期檢查可確保策略被持續(xù)執(zhí)行。它們還可以防止用戶在連接打開時(shí)執(zhí)行其他不被允許的操作。

驗(yàn)證設(shè)備狀態(tài)

其次，為了在端點(diǎn)層面上進(jìn)行驗(yàn)證，我們需要驗(yàn)證設(shè)備的安全狀態(tài)。認(rèn)證和授權(quán)對(duì)于設(shè)備和用戶同樣重要。連接前和連接后都應(yīng)當(dāng)進(jìn)行驗(yàn)證，以確保設(shè)備與相應(yīng)的用戶是有效的。如果用戶有惡意行為，那么擁有經(jīng)過驗(yàn)證的設(shè)備是沒有意義的。

從主機(jī)檢查和位置感知的角度來看，我們需要確保設(shè)備是否是從一個(gè)異?；蛭ｋU(xiǎn)的位置訪問網(wǎng)絡(luò)的？確定這一點(diǎn)有助于防止惡意軟件、被root的設(shè)備、越獄設(shè)備連接到網(wǎng)絡(luò)上。解決這些問題后，我們可以通過配置的策略選擇進(jìn)行隔離、允許或拒絕。

在端點(diǎn)上，SDP供應(yīng)商應(yīng)該能夠做一些檢查工作，例如注冊(cè)表設(shè)置、惡意軟件、防病毒設(shè)置、防火墻、硬盤（HD）加密等。一些供應(yīng)商甚至可以更為細(xì)致地檢查并尋找特定的微軟補(bǔ)丁。

在這里，我們可以使用基于以上背景的策略，將這些策略應(yīng)用于設(shè)備、連接和位置。如果策略是基于背景制訂的，那么我們需要盡可能多地收集信息以驗(yàn)證整體態(tài)勢(shì)。

保護(hù)數(shù)據(jù)

在第三階段，我們需要保護(hù)數(shù)據(jù)。在這個(gè)階段，供應(yīng)商應(yīng)當(dāng)在每個(gè)應(yīng)用程序隧道中采取必要措施以確保事務(wù)是安全的，并且在會(huì)話期間對(duì)數(shù)據(jù)進(jìn)行加密。

本文作者M(jìn)att Conran擁有超過19年的網(wǎng)絡(luò)行業(yè)從業(yè)經(jīng)驗(yàn)，曾經(jīng)服務(wù)于多個(gè)初創(chuàng)企業(yè)和政府機(jī)構(gòu)。此外，他還作為高級(jí)架構(gòu)師參與了全球某大型服務(wù)提供商和數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)工作。

原文網(wǎng)址

https：//www.networkworld.com/article/3404477/software-defined-perimeter-sdp-the-deployment.html