潘吳斌，任國強(qiáng)

（江蘇天創(chuàng)科技有限公司，江蘇 蘇州 215000）

0 引言

隨著云、移動化、IoT等新技術(shù)的快速發(fā)展，業(yè)務(wù)系統(tǒng)上云、遠(yuǎn)程辦公成為信息化發(fā)展的必然趨勢。使得網(wǎng)絡(luò)邊界越來越不清晰，讓企業(yè)數(shù)據(jù)不再局限在墻內(nèi)，也有更多的技術(shù)手段可以輕易突破網(wǎng)絡(luò)邊界，新的網(wǎng)絡(luò)攻擊也隨之增加，如上因素逐漸導(dǎo)致傳統(tǒng)安全手段形同虛設(shè)，網(wǎng)絡(luò)安全不再止于邊界安全，IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變。邊界安全模型所依賴的關(guān)鍵假設(shè)不再成立，谷歌也證明了這種觀念是錯誤的，應(yīng)該認(rèn)為企業(yè)內(nèi)網(wǎng)與公網(wǎng)一樣充滿危險，并基于這種假設(shè)構(gòu)建企業(yè)的網(wǎng)絡(luò)安全體系。

本文闡述了SDP相關(guān)概念、特征及主要關(guān)鍵技術(shù)；重點(diǎn)討論了SDP產(chǎn)品，分析比較代表性的SDP產(chǎn)品；分析了SDP的挑戰(zhàn)及機(jī)遇；最后，總結(jié)全文并展望未來研究。

1 軟件定義邊界SDP

SDP產(chǎn)品所參考的規(guī)范是國際云安全聯(lián)盟CSA提出的SDP（軟件定義邊界）模型，該安全模型已經(jīng)在國外有比較多的成功案例并發(fā)展迅速，在RSA Conference上已經(jīng)連續(xù)4年懸賞破解但至今無人成功。國外產(chǎn)商目前普遍使用云端代理服務(wù)器或者客戶端代理服務(wù)器方式來實(shí)現(xiàn)，而SDP產(chǎn)品的創(chuàng)新在于直接把SDP隱身技術(shù)做進(jìn)瀏覽器內(nèi)核里面，避免中間過程數(shù)據(jù)被盜。SDP以預(yù)認(rèn)證和預(yù)授權(quán)作為它的兩個基本支柱。通過在單數(shù)據(jù)包到達(dá)目標(biāo)服務(wù)器之前對用戶和設(shè)備進(jìn)行身份驗(yàn)證和授權(quán)，SDP可以在網(wǎng)絡(luò)層上執(zhí)行最小權(quán)限原則，可以顯著地縮小攻擊面。

1.1 SDP架構(gòu)及工作流程

軟件定義邊界（SDP）架構(gòu)由客戶端、管控平臺、應(yīng)用網(wǎng)關(guān)3個主要組件組成，如圖1所示。SDP客戶端用來做各種的身份驗(yàn)證，包括硬件身份，軟件身份，生物身份等。SDP管控平臺用來對所有的SDP客戶端進(jìn)行管理，制定安全策略。SDP管控平臺還可以與企業(yè)已有的身份管理系統(tǒng)對接。SDP網(wǎng)關(guān)對所有業(yè)務(wù)系統(tǒng)訪問進(jìn)行驗(yàn)證和過濾。

SDP工作流程如圖1所示：SDP客戶端用SPA技術(shù)向管控平臺發(fā)送訪問請求。SDP管控平臺驗(yàn)證用戶信息，返回授權(quán)、網(wǎng)關(guān)信息、策略信息；同時，SDP管控平臺將用戶信息、策略信息發(fā)給網(wǎng)關(guān)。SDP客戶端用SPA技術(shù)帶著授權(quán)向網(wǎng)關(guān)發(fā)送訪問請求。網(wǎng)關(guān)檢查從SDP管控平臺獲取的安全策略，驗(yàn)證客戶端授權(quán)，建立雙向加密鏈接。SDP管控平臺會隨時監(jiān)控連接是否符合安全策略，即時調(diào)整。

圖1 軟件定義邊界（SDP）架構(gòu)

1.2 SDP關(guān)鍵技術(shù)

SDP產(chǎn)品在TCP/IP數(shù)據(jù)通信的各層都進(jìn)行授權(quán)控制，防止非法數(shù)據(jù)進(jìn)入，不再懼怕IP對外開放，不再懼怕多端口對外開放。

（1）網(wǎng)絡(luò)層：網(wǎng)關(guān)默認(rèn)deny all一切IP訪問，只有SDP客戶端經(jīng)過SPA授權(quán)后，才會針對客戶端開放訪問通道；此外通過SDP獨(dú)有的私有DNS功能，實(shí)現(xiàn)域名內(nèi)部解析，無需將域名暴露在公網(wǎng)，實(shí)現(xiàn)IP地址網(wǎng)絡(luò)隱身。

（2）傳輸層：默認(rèn)端口deny all一些連接請求，通過SPA動態(tài)端口授權(quán)技術(shù)，動態(tài)授權(quán)SDP客戶端進(jìn)行端口訪問，非法連接無法進(jìn)入，讓開放端口不再是企業(yè)的安全隱患，開放再多端口也不怕。

（3）安全傳輸層：SDP客戶端與網(wǎng)關(guān)之間采用SSL加密通信技術(shù)，防止通信數(shù)據(jù)被非法人員監(jiān)聽、篡改或破壞。

（4）應(yīng)用層：網(wǎng)關(guān)對進(jìn)入的每一個http請求進(jìn)行HMAC動態(tài)驗(yàn)證，防止非法http數(shù)據(jù)以及非授權(quán)http數(shù)據(jù)通過，最大化保障企業(yè)業(yè)務(wù)系統(tǒng)安全訪問。

1.2.1 SPA與動態(tài)端口

SDP客戶端與網(wǎng)關(guān)通信會用到SPA技術(shù)。SDP的網(wǎng)關(guān)默認(rèn)“拒絕一切”連接，只會接收SDP客戶端發(fā)來的第一個帶身份信息的包。網(wǎng)關(guān)驗(yàn)證通過后，才會允許SDP客戶端建立連接。SPA和動態(tài)端口技術(shù)保證了黑客看不到網(wǎng)關(guān)開放的端口，無法對網(wǎng)關(guān)進(jìn)行掃描。而且，黑客看不到服務(wù)器的內(nèi)容，也就看不到攻破服務(wù)器的價值，減小了黑客進(jìn)攻的意愿。

企業(yè)在外網(wǎng)開放TCP端口時總是謹(jǐn)小慎微，擔(dān)心被惡意黑客進(jìn)行諸如TCPSYNflood、端口掃描等攻擊。通過SDP產(chǎn)品的SPA敲門技術(shù)，對網(wǎng)關(guān)開放的每一個端口進(jìn)行授權(quán)控制，每一個客戶端的TCP端口連接都會先經(jīng)過SPA授權(quán)驗(yàn)證，驗(yàn)證通過后才可訪問，不需要擔(dān)心開放大量端口，讓開放端口數(shù)量變得跟安全無關(guān)。

1.2.2 私有DNS

私有DNS功能可以隱藏業(yè)務(wù)系統(tǒng)的DNS、IP信息，用戶可以不在外網(wǎng)做DNS解析，只需在SDP管控平臺設(shè)置業(yè)務(wù)系統(tǒng)的域名與IP的對應(yīng)關(guān)系。用戶在登錄SDP客戶端時，從SDP管控平臺獲取業(yè)務(wù)系統(tǒng)的IP，進(jìn)而訪問業(yè)務(wù)系統(tǒng)。因?yàn)闃I(yè)務(wù)系統(tǒng)的DNS、IP沒有暴露在互聯(lián)網(wǎng)上，所以黑客無從發(fā)起網(wǎng)絡(luò)攻擊。

1.2.3 細(xì)粒度訪問控制

因?yàn)镾DP架構(gòu)中包含了客戶端，所以可以做到傳統(tǒng)產(chǎn)品很難做到的終端安全管控，實(shí)現(xiàn)更細(xì)粒度的安全控制。根據(jù)最小權(quán)限原則的細(xì)粒度訪問控制策略，SDP只允許應(yīng)用級訪問，不暴露內(nèi)網(wǎng)。即使員工電腦上被安裝了惡意軟件也無法掃描、竊取內(nèi)網(wǎng)上的資源。并按需授權(quán)，管理員可以在后臺合理限制用戶可以訪問哪些應(yīng)用。例如，只允許財務(wù)部的員工訪問財務(wù)系統(tǒng)，不允許訪問HR系統(tǒng)。越權(quán)訪問會被網(wǎng)關(guān)攔截。這樣，就避免了用戶過度授權(quán)，大大減少攻擊面，也減少了員工泄密的可能。除了應(yīng)用的維度之外，還可以對用戶的訪問位置、訪問時間等維度進(jìn)行限制。

1.2.4 訪問安全及身份認(rèn)證

SDP產(chǎn)品符合零信任（Zero-Trust）安全訪問模型，符合零信任網(wǎng)絡(luò)安全理念：不自動信任網(wǎng)絡(luò)的安全性（內(nèi)網(wǎng)≠可信）；對任何接入系統(tǒng)的人和設(shè)備都進(jìn)行驗(yàn)證；每次訪問都要進(jìn)行身份驗(yàn)證和行為審計(jì)。

SDP可以對用戶身份進(jìn)行管理，保證用戶身份和設(shè)備的合法性，包括：創(chuàng)建賬戶體系，或從現(xiàn)有身份管理系統(tǒng)如AD域、OpenLDAP、CAS等同步賬戶和組織架構(gòu)信息。通過SDP客戶端設(shè)備綁定功能，確保用戶在正確的設(shè)備上使用正確的賬號登錄，同時可以對賬戶的登錄時間、登錄地點(diǎn)及IP地址進(jìn)行嚴(yán)格控制，以防止非法人員非法接入業(yè)務(wù)系統(tǒng)。

SDP管控平臺可以遠(yuǎn)程清除用戶設(shè)備上的賬號信息及使用痕跡。有效保障企業(yè)員工認(rèn)證信息泄漏、設(shè)備遺失等異常情況下企業(yè)數(shù)據(jù)安全。實(shí)時的清除設(shè)備數(shù)據(jù)，即使該設(shè)備正在登錄，也可以令用戶立即退出。移動端瀏覽器還可以設(shè)置指紋、人臉識別、手機(jī)短信等多因子認(rèn)證方式，保障身份安全。

1.2.5 行為審計(jì)與態(tài)勢感知

SDP客戶端對用戶行為操作進(jìn)行審計(jì)記錄，如網(wǎng)頁訪問時間、網(wǎng)頁內(nèi)容復(fù)制、網(wǎng)頁打印或者保存、文件下載等。同時，客戶端將審計(jì)信息上傳至SDP管控平臺，通過平臺態(tài)勢感知模塊對信息進(jìn)行大數(shù)據(jù)分析并動態(tài)展示。網(wǎng)關(guān)對用戶的非法訪問請求進(jìn)行攔截并記錄，同時對用戶的訪問次數(shù)以及應(yīng)用的請求次數(shù)進(jìn)行記錄，并將所有信息傳送至SDP安全大腦平臺，通過平臺態(tài)勢感知模塊對大量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，形成可視化數(shù)據(jù)。

SDP管控平臺可以匯聚各個網(wǎng)關(guān)以及所有SDP客戶端發(fā)送過來的日志及審計(jì)信息，對匯聚信息進(jìn)行大數(shù)據(jù)智能統(tǒng)計(jì)分析，以滿足企業(yè)運(yùn)維及安全需求。安全態(tài)勢感知平臺匯聚數(shù)據(jù)，統(tǒng)計(jì)并展示實(shí)時活躍用戶、系統(tǒng)激活用戶及設(shè)備數(shù)量、當(dāng)前在線用戶數(shù)、用戶訪問次數(shù)以及攔截訪問次數(shù)，協(xié)助運(yùn)維人員快速了解員工訪問情況。安全態(tài)勢感知平臺從多個維度對用戶訪問數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，展示企業(yè)業(yè)務(wù)應(yīng)用訪問排名，幫助運(yùn)維了解業(yè)務(wù)系統(tǒng)訪問及運(yùn)營情況，展示企業(yè)用戶訪問頻率排名幫助企業(yè)管理者了解員工工作情況，展示網(wǎng)關(guān)攔截的非法請求數(shù)量幫助運(yùn)維人員核查異常用戶訪問情況，及時發(fā)現(xiàn)企業(yè)內(nèi)部風(fēng)險。

1.3 產(chǎn)品對比

VPN很好地為遠(yuǎn)程用戶提供對VLAN或網(wǎng)段的安全訪問，就好像它們實(shí)際存在于企業(yè)網(wǎng)絡(luò)上一樣。這種技術(shù)，特別是當(dāng)與多因素認(rèn)證相結(jié)合時，對于具有傳統(tǒng)邊界的企業(yè)以及靜態(tài)用戶和服務(wù)器資源來說效果很好。但是正如Gartner所說，DMZ和傳統(tǒng)VPN是為20世紀(jì)90年代的網(wǎng)絡(luò)設(shè)計(jì)的，已經(jīng)過時，因?yàn)樗鼈內(nèi)狈ΡＷo(hù)數(shù)字業(yè)務(wù)所需的敏捷性。

VPN有兩個缺點(diǎn)，使得它們不適合當(dāng)今的需要。首先，它們對所分配的網(wǎng)絡(luò)提供非常粗粒度的訪問控制，要么全部都可以訪問，那么不能訪問。嘗試配置VPN以為不同用戶提供不同級別的訪問是不現(xiàn)實(shí)的。

第二，即使公司對VPN提供的控制級別感到滿意，VPN也是一種只能控制遠(yuǎn)程用戶的孤立解決方案。它們不會幫助保護(hù)內(nèi)部用戶，這意味著組織需要一組完全不同的技術(shù)和策略來控制內(nèi)部部署用戶的訪問。這將使協(xié)調(diào)和對準(zhǔn)這兩個解決方案所需的工作量增加一倍以上。

Gartner指出：到2021年，60%的企業(yè)將逐步淘汰VPN使用軟件定義邊界SDP。從網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面對主流SDP產(chǎn)品進(jìn)行對比，結(jié)果如表1所示。

表1 SDP產(chǎn)品對比

2 SDP機(jī)遇與挑戰(zhàn)

2.1 SDP機(jī)遇

傳統(tǒng)的網(wǎng)絡(luò)安全僅基于IP地址，根本不考慮用戶，而SDP策略是基于用戶的，它要求任何訪問之前都需要對用戶和設(shè)備進(jìn)行驗(yàn)證，允許企業(yè)根據(jù)用戶屬性創(chuàng)建訪問策略，執(zhí)行最小特權(quán)原則，更細(xì)粒度的訪問控制。通過利用目錄組成員身份，IAM分配的屬性，角色等，公司可以以某種方式定義和控制對云資源的訪問，這對公司業(yè)務(wù)，安全和合規(guī)性很有意義。

在身份管理方面，SDP和IAM可以互補(bǔ)。SDP可以利用已經(jīng)部署的IAM系統(tǒng)進(jìn)行認(rèn)證，加速SDP開發(fā)。另外，SDP實(shí)現(xiàn)可以使用用戶的IAM屬性作為SDP策略的元素，如目錄組成員身份，目錄屬性或角色。SDP系統(tǒng)也可以包括在由IAM系統(tǒng)管理的身份生命周期中。如SDP管控平臺信任第三方IAM系統(tǒng)用于用戶身份認(rèn)證和用戶身份生命周期管理。因此，當(dāng)?shù)谌接脩粼谄銲AM系統(tǒng)處停用時，用戶將自動無法訪問受SDP保護(hù)的資源，因?yàn)樗麄儫o法再通過聯(lián)合身份驗(yàn)證。

SDP的預(yù)認(rèn)證和預(yù)授權(quán)作為兩項(xiàng)基本技術(shù)。在認(rèn)證和授權(quán)之前不會有任何數(shù)據(jù)包到達(dá)服務(wù)器，從而可以使云資源對未授權(quán)用戶完全不可見。這完全消除了許多攻擊向量，包括暴力攻擊，洪水攻擊，以及基于TLS漏洞的攻擊，如Heartbleed和Poodle。

由于AH記錄日志和控制所有IH的網(wǎng)絡(luò)流量，所以SDP可以提供詳細(xì)的對每個用戶訪問的可見性，所以SDP能夠根據(jù)這些信息自動提供合規(guī)性報告。

SDP可以幫助企業(yè)降低成本。首先，減少IT任務(wù)工作量，減少雇用額外工作人員的需要。第二，精簡合規(guī)性將減少準(zhǔn)備和執(zhí)行審計(jì)所需的時間和精力。最后，SDP作為其他技術(shù)（例如NAC）的替代還可以幫助企業(yè)節(jié)省資金。

2.2 SDP潛在的挑戰(zhàn)

盡管SDP給出了零信任條件下、滿足現(xiàn)代企業(yè)數(shù)據(jù)保護(hù)需求的訪問控制模型，但從框架到落地實(shí)現(xiàn)還涉及到許多技術(shù)問題及資源整合；同時，即使在此完成基礎(chǔ)上，SDP自身仍有一些能力缺陷。

SDP方法的最大挑戰(zhàn)之一是帶外控制器，當(dāng)初始認(rèn)證請求完成后，認(rèn)證的信息不會停留在實(shí)際的數(shù)據(jù)路徑中。如果同一用戶感染了惡意軟件，它可以很容易地通過開放端口傳播到其他應(yīng)用程序。

無論是物理的還是邏輯的安全域總是有既定邊界，而對于某些開放業(yè)務(wù)、包括一些實(shí)際需求往往不得不違背信息流安全策略，即高安全域內(nèi)的敏感數(shù)據(jù)需要流向低安全域，這是SDP本身無法解決的。例如，假設(shè)存在內(nèi)、外兩個不同等級的安全域：銀行向監(jiān)管機(jī)構(gòu)上報數(shù)據(jù)相當(dāng)于從內(nèi)網(wǎng)流向外網(wǎng)；供應(yīng)鏈上下游廠家給平臺提交數(shù)據(jù)也是從內(nèi)部流向外部。其實(shí)無論是組織內(nèi)外都大量存在類似的案例。因此，即使有安全邊界但所謂泄漏通道在現(xiàn)實(shí)場景中也是必須考慮的。

SDP面臨的另一類挑戰(zhàn)是難以解決橫向攻擊。理論上，SDP通過隱藏網(wǎng)絡(luò)資源，側(cè)重規(guī)劃安全策略的實(shí)施空間和范圍，減小攻擊面，但沒有落地安全策略的實(shí)施機(jī)制。因此，無論是某個終端還是服務(wù)器第一時間被攻破后，攻擊很可能轉(zhuǎn)移至其他設(shè)備或應(yīng)用，即橫向攻擊。

3 結(jié)束語

SDP技術(shù)有望解決許多安全挑戰(zhàn)。通過SPA技術(shù)只向合法用戶開放指定端口，屏蔽絕大多數(shù)網(wǎng)絡(luò)攻擊。采用雙向認(rèn)證及加密技術(shù)杜絕中間人攻擊。SDP不止驗(yàn)證用戶身份，還要驗(yàn)證用戶設(shè)備，保證連接都是來自合法設(shè)備，同時用戶只能訪問有授權(quán)的應(yīng)用。這符合“最小化授權(quán)”原則，保證威脅無法橫向蔓延。SDP技術(shù)作為一種新的網(wǎng)絡(luò)安全模型，能滿足很多場景可靠的安全訪問需求。