隨著移動業(yè)務(wù)快速擴展，物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市的持續(xù)發(fā)展，資產(chǎn)防護的安全邊界越來越不清晰，傳統(tǒng)的邊界防護架構(gòu)越來越顯得力不從心。邊界安全主要存在的問題有如下幾點：

• 黑客可以輕松劫持邊界內(nèi)的設(shè)備并從內(nèi)部攻擊企業(yè)應(yīng)用。
• 隨著自帶設(shè)備(BYOD)、外包人員、合作伙伴的增多，以及邊界內(nèi)部設(shè)備不確定因素的增加，導(dǎo)致安全漏洞不斷增多。
• 企業(yè)的業(yè)務(wù)資源除了部署在傳統(tǒng)數(shù)據(jù)中心，也在不斷向外部云資源擴展， 如PaaS，IaaS和 SaaS。因此，邊界安全網(wǎng)絡(luò)設(shè)備在拓撲上并不能很好地保護企業(yè)應(yīng)用基礎(chǔ)設(shè)施。

邊界內(nèi)部設(shè)備不斷增長，移動終端、遠程辦公、企業(yè)業(yè)務(wù)在內(nèi)網(wǎng)和公有云同時部署，這樣的趨勢已經(jīng)破壞了企業(yè)使用的傳統(tǒng)安全模型。因此需要一種新方法，能夠?qū)吔绮磺逦木W(wǎng)絡(luò)業(yè)務(wù)場景進行更好的安全保護。

基于SDP(Software Defined Perimeter，軟件定義邊界)的防護架構(gòu)，以軟件定義邊界，將網(wǎng)絡(luò)空間的網(wǎng)絡(luò)元素身份化，通過身份定義訪問邊界，是零信任落地實現(xiàn)的一種重要方式。SDP旨在使應(yīng)用程序所有者能夠在需要時部署邊界，以便將業(yè)務(wù)和服務(wù)與不安全的網(wǎng)絡(luò)隔離開來。

可以說，SDP是在網(wǎng)絡(luò)邊界模糊和消失趨勢下給業(yè)務(wù)資源提供的隱身衣，它使網(wǎng)絡(luò)黑客看不到目標而無法發(fā)動攻擊。

SDP架構(gòu)

圖1 SDP架構(gòu)

SDP架構(gòu)如圖1所示，主要由SDP客戶端、SDP控制器、SDP網(wǎng)關(guān)三個主要部分組成：

? SDP客戶端：為C/S型客戶端應(yīng)用、B/S型Web應(yīng)用提供統(tǒng)一的應(yīng)用訪問入口，支持應(yīng)用級別的訪問控制。

? SDP控制器：主要包含身份管理、PKI、可信評估、策略管理等組件。身份管理組件，對用戶和終端認證，基于用戶和應(yīng)用的可信度生成動態(tài)權(quán)限;PKI公鑰基礎(chǔ)設(shè)施，為用戶頒發(fā)身份密鑰;可信評估組件，對用戶、應(yīng)用進行持續(xù)可信評估;策略管理組件，根據(jù)用戶權(quán)限以及策略規(guī)范生成用戶訪問權(quán)限，生成安全隧道策略，并下發(fā)到客戶端和網(wǎng)關(guān)。

? SDP網(wǎng)關(guān)：對應(yīng)用業(yè)務(wù)進行隱藏保護。在接收到控制器下發(fā)的策略后，和客戶端建立安全隧道，并起到業(yè)務(wù)代理作用，訪問應(yīng)用業(yè)務(wù)。

SDP要求客戶端在訪問被保護的服務(wù)器之前，首先進行認證和授權(quán)，然后在端點和應(yīng)用基礎(chǔ)設(shè)施之間建立實時加密連接訪問通路。SDP零信任的流程主要如下：

1) SDP 控制器服務(wù)上線，連接至適當?shù)恼J證和授權(quán)服務(wù)，例如PKI頒發(fā)證書認證服務(wù)、設(shè)備驗證、地理定位、SAML、OpenID、oAuth、LDAP、Kerberos、多因子身份驗證等服務(wù);

2) SDP客戶端在控制器注冊，控制器為客戶端生成ID和一次性口令的種子，用于單包認證(SPA);

3) SDP客戶端利用控制器生成的一次性口令種子和隨機數(shù)生成一次性口令，進行單包認證，單包認證后，進行用戶身份認證，認證通過后控制器為客戶端分發(fā)身份令牌;

4) 在SPA認證、用戶身份認證通過后，SDP控制器確定SDP客戶端可以連接的SDP網(wǎng)關(guān)列表;

5) SDP控制器通知SDP網(wǎng)關(guān)接收來自SDP客戶端的通信，以及加密通信所需的所有可選安全策略、訪問權(quán)限列表;

6) SDP客戶端向每個可接受連接的SDP網(wǎng)關(guān)發(fā)起單包授權(quán),并創(chuàng)建與這些SDP網(wǎng)關(guān)的雙向加密連接，例如TSL、IPsec等;

7) SDP客戶端的業(yè)務(wù)訪問請求到達SDP網(wǎng)關(guān)后，網(wǎng)關(guān)提取用戶身份令牌，根據(jù)令牌、要訪問的業(yè)務(wù)和用戶的權(quán)限確認用戶是否有權(quán)限訪問該業(yè)務(wù);

8) 允許訪問的業(yè)務(wù)請求予以放行。

SDP 應(yīng)用場景

基于SDP的零信任架構(gòu)能夠保護各種類型的業(yè)務(wù)服務(wù)免受網(wǎng)絡(luò)基礎(chǔ)攻擊，以下是幾種比較常見的應(yīng)用場景。

企業(yè)應(yīng)用隔離

對于涉及知識產(chǎn)權(quán)、財務(wù)信息、人力資源的數(shù)據(jù)，以及僅在企業(yè)網(wǎng)絡(luò)內(nèi)可用的其他數(shù)據(jù)集，攻擊者可能通過入侵網(wǎng)絡(luò)中的一臺計算機，從而進入內(nèi)部網(wǎng)絡(luò)，然后橫向移動獲得高價值信息資產(chǎn)的訪問權(quán)限，造成數(shù)據(jù)泄露。

1) 企業(yè)可以在數(shù)據(jù)中心內(nèi)部署SDP，以便將高價值應(yīng)用程序與數(shù)據(jù)中心中的其他應(yīng)用程序隔離開來，并將它們與整個網(wǎng)絡(luò)中的未授權(quán)用戶隔離開。

2) 未經(jīng)授權(quán)的用戶將無法檢測到受保護的應(yīng)用程序，這將減輕這些攻擊所依賴的橫向移動。

私有云和公有云混合場景

1) SDP將應(yīng)用統(tǒng)一匯總到網(wǎng)關(guān)，進行統(tǒng)一的管控。

2) 對于私有云、公有云混合的應(yīng)用場景， SDP可以對業(yè)務(wù)進行統(tǒng)一防護，實現(xiàn)用戶無差異感。

軟件即服務(wù)(SaaS)

1) 軟件即服務(wù)(SaaS)供應(yīng)商可以使用 SDP 安全架構(gòu)來保護他們提供的服務(wù)。在這種應(yīng)用場景下，SaaS 服務(wù)就是一個SDP網(wǎng)關(guān)，而所有要訪問的用戶就是SDP客戶端。

2) 通過使用SDP架構(gòu)，SaaS 廠商在將服務(wù)提供給全球互聯(lián)網(wǎng)用戶的同時不必再為安全問題擔憂。

基礎(chǔ)設(shè)施即服務(wù)(IaaS)

1) 基礎(chǔ)設(shè)施即服務(wù)(IaaS)供應(yīng)商可以為客戶提供 SDP 即服務(wù)作為受保護的入口。

2) 客戶可以充分利用 IaaS的靈活性和性價比，減少各種潛在的攻擊。

平臺即服務(wù)(PaaS)

1) 平臺即服務(wù)(PaaS)供應(yīng)商可以通過將 SDP 架構(gòu)作為服務(wù)的一部分來實現(xiàn)差異化。

2) 為最終用戶提供了一種嵌入式安全服務(wù),可以緩解基于網(wǎng)絡(luò)的攻擊。

與云桌面VDI聯(lián)合使用

1) 虛擬桌面基礎(chǔ)架構(gòu)(VDI)可以部署在彈性云中，這樣VDI的使用可以按小時支付。

2) 如果VDI用戶需要訪問公司內(nèi)部服務(wù)器，VDI可能難以使用，并且可能會產(chǎn)生安全漏洞。如果VDI與SDP相結(jié)合，就可以通過更簡單的用戶交互和細粒度訪問來解決這兩個問題。

物聯(lián)網(wǎng)(IoT)

1) 大量的新設(shè)備正在連接到互聯(lián)網(wǎng)上。要管理這些設(shè)備或從這些設(shè)備中提取信息，亦或兩者兼有，后端應(yīng)用程序的任務(wù)很關(guān)鍵，因為要充當私有或敏感數(shù)據(jù)的保管人。

2) 軟件定義邊界可以用于隱藏這些服務(wù)器及其在 Internet上的交互，以最大限度提高安全性和正常運行時間。

SDP零信任的落地應(yīng)用

通過整合一體化電信級可信網(wǎng)關(guān)、安全準入終端和安全態(tài)勢分析引擎的核心優(yōu)勢，新華三已實際構(gòu)建以安全接入為核心的SDP零信任解決方案。方案主要由SDP客戶端、SDP可信網(wǎng)關(guān)、SDP控制器組成，結(jié)合對零信任的研究實踐，通過對用戶的統(tǒng)一安全接入及動態(tài)權(quán)限管理，實現(xiàn)了身份、終端、應(yīng)用系統(tǒng)的安全可信。目前支持兩種模式，有客戶端模式和無客戶端模式。

客戶端模式：

客戶端模式應(yīng)用在安全級別較高的場景下，需要在終端PC安裝客戶端。客戶端在進行業(yè)務(wù)訪問前都要先通過SPA認證才能進行后續(xù)的業(yè)務(wù)處理，并且此模式下可以實時對用戶和終端進行風險評估，實現(xiàn)策略的動態(tài)調(diào)整。

圖2 客戶端模式

? 策略中心和網(wǎng)關(guān)默認關(guān)閉所有服務(wù)端口。

? 終端安裝客戶端插件后，需要客戶端注冊，確保客戶端可信(可以對客戶端進行控制)。注冊后的客戶端獲得身份ID、設(shè)備指紋(SPA種子)。

? 客戶端進行業(yè)務(wù)訪問前，根據(jù)設(shè)備指紋和隨機數(shù)，借助HOTP算法生成一次性口令，進行SPA認證，確保設(shè)備可信。

? SPA認證通過后，客戶端到策略中心進行認證，認證通過后，策略中心下發(fā)用戶權(quán)限、用戶令牌，并把用戶上線信息下發(fā)到網(wǎng)關(guān)。

? 客戶端在用戶認證通過后，和網(wǎng)關(guān)進行SPA認證，認證通過后建立可信隧道，進行業(yè)務(wù)訪問。

? 策略中心實時進行用戶、終端的風險評估，根據(jù)風險調(diào)整用戶權(quán)限，并將動態(tài)權(quán)限、控制指令下發(fā)到網(wǎng)關(guān)。

無客戶端模式：

無終端模式應(yīng)用在安全級別要求不高的場景，終端PC只需要通過瀏覽器進行用戶認證和業(yè)務(wù)訪問，此模式不涉及風險評估功能和SPA認證。

圖3 無客戶端模式

? 策略中心、網(wǎng)關(guān)需要默認開啟業(yè)務(wù)需要訪問的端口。

? 用戶訪問業(yè)務(wù)時，如無用戶token，會被網(wǎng)關(guān)重定向到認證頁面，對用戶進行多因素認證，認證通過后為用戶推送用戶token。

? 用戶認證通過后，將用戶上線信息推送到網(wǎng)關(guān)，并對用戶風險、終端風險、資產(chǎn)風險進行實時安全評估，根據(jù)風險動態(tài)生成權(quán)限，下發(fā)到網(wǎng)關(guān)。

? 用戶攜帶用戶token訪問業(yè)務(wù)，網(wǎng)關(guān)根據(jù)用戶token識別用戶，進行動態(tài)訪問控制。