信息化觀察網

基于零信任理念的軟件定義邊界（SDP）技術不僅能夠幫助企業(yè)做好網絡安全建設，同時也能夠滿足等保2.0中的多項安全要求，除了在通用安全方面，還在諸如云計算、移動互聯(lián)、物聯(lián)網、工業(yè)控制等新興領域方面發(fā)揮著巨大的作用。在邊界防護、入侵防范、通信傳輸、身份鑒別、數(shù)據(jù)保密等方面，可以幫助企業(yè)進一步收窄業(yè)務系統(tǒng)暴露面，保障業(yè)務系統(tǒng)的邊界安全，是更符合新時代網絡安全發(fā)展趨勢的安全解決方案。

對此，安全牛有幸邀請了多年來致力于SD-WAN產品發(fā)展上海締安科技的公司董事、副總經理陳炬來分享他在軟件定義邊界方面的經驗與認識，希望對希望對讀者有所借鑒。

在當下的網絡安全領域，SDP是一個火熱的話題。SDP（Software Defined Perimeter）即“軟件定義邊界”是由云安全聯(lián)盟開發(fā)的一種安全框架，基于零信任的概念，對于每個連接服務器的終端，都必須在連接前進行身份驗證和授權，確保所有訪問的可信性。由于全部訪問都需在確?？尚诺沫h(huán)境中進行，它可以確保企業(yè)的核心網絡資產隱藏在安全保護之下，不直接暴露在公網中，以避免核心數(shù)據(jù)資產受到安全威脅。

換句話來說，在SDP架構面前，每一個訪問者都是不可信的，只有在驗證后才會給予訪問者訪問相應服務器的“鑰匙”。如果我們把服務器比作“門”，那么，對于訪問者來說，如果沒有鑰匙，便找不到對應的門；即使拿著鑰匙，也只能打開鑰匙所對應的門。SDP將服務與不安全的網絡隔離開，有效改善了企業(yè)面臨的諸如容易被黑客通過釣魚軟件或木馬入侵企業(yè)、移動辦公等新型網絡訪問模式帶來的安全風險、傳統(tǒng)數(shù)據(jù)逐漸轉移上云的過程中面臨的威脅等等，協(xié)助企業(yè)實現(xiàn)安全過渡，使企業(yè)無懼在全面開展數(shù)字化建設的當下所面臨的諸多挑戰(zhàn)。

SDP的架構

在SDP中，傳統(tǒng)的企業(yè)邊界被打破，防火墻不再是企業(yè)唯一的邊界，內網也通過邏輯進行劃分；同樣，公有云和私有云之間也需要建立新的邊界。SDP適應軟件定義網絡架構，為云而生，尤其適應混合組網環(huán)境，與SD-WAN（軟件定義廣域網）結合，為企業(yè)組網賦予更深一層的安全防護能力。

基于自研SD-WAN云網絡服務平臺，整合SDP控制器與SDP主機的能力，結合SD-WAN虛擬云網關、中心節(jié)點與多終端客戶端的網絡組建與控制能力，將SDP控制器的能力與中心云網關結合，云網關提供基于零信任模型的應用保護，根據(jù)用戶進行具體的授權。同時，SDP客戶端適應多終端操作系統(tǒng)，可以在不同終端上統(tǒng)一展示用戶被授權訪問的全部應用。

SDP的架構體系包括：

SDP客戶端

做為C/S型客戶端應用、B/S型Web應用提供統(tǒng)一的應用訪問入口，支持應用級別的訪問控制，支持跨內核控件調用、插件的安全管控，實現(xiàn)簡約、快速和安全的一體化。

安全網關

作為用戶授權訪問內部應用的入口，安全網關將外網用戶和內網資源隔離，過濾非法的訪問。

SDP域控制器與策略服務器

提供網關設備的注冊，隱藏網關地址，避開惡意威脅源的掃描與非法行為。

認證服務器

實現(xiàn)用戶身份預驗證、預授權，對接企業(yè)內部第三方認證系統(tǒng)，客戶端的請求先經過認證服務器，得到認證授權再將結果返回給SDP域控制器。

SDP與組網結合的解決方案

在SDP的應用場景中，最常見的情況就是一個企業(yè)有一個總部和一個或多個地理上分散的分支機構，企業(yè)擁有的物理網絡（內網）無法把這些機構連接在一起。外部地區(qū)的員工在執(zhí)行工作任務時需要訪問企業(yè)資源，可能是遠程辦公場景，或在企業(yè)外其他地區(qū)使用企業(yè)所有或個人擁有的設備進行訪問。由于SDP的架構天然適應SD-WAN的網絡架構，因此，依托自身的技術優(yōu)勢，將SDP與SD-WAN組網結合的解決方案，為更多的企業(yè)提供零信任安全的網絡架構，受到越來越多客戶的青睞。

用戶可以通過不同終端向SDP控制器發(fā)送預授權請求，策略控制器依據(jù)預設策略進行判斷后，將認證結果返回SDP控制器，并由SDP控制器將訪問控制列表發(fā)給客戶端；之后，訪問權限內的云網關才收到認證請求。在確認認證信息無誤后，客戶端實現(xiàn)接入，完成訪問連接的建立。

在SDP與組網有機融合的過程中，SDP控制器依舊扮演解決方案中“大腦”的角色，對發(fā)起方進行動態(tài)的身份認證，并協(xié)助發(fā)起訪問請求的終端與目標服務器之間建立受信的安全訪問隧道。不得不提的是，這一通道的建立并非固定的，而是隨請求變化而隨時構建的、動態(tài)的訪問隧道，它將網絡中的各式潛在威脅進行有效屏蔽，構建更加安全的網絡邊界。

SDP實踐案例與成果

在某一金融行業(yè)單位的實踐中，用戶完成了業(yè)務系統(tǒng)和網絡等IT基礎架構的平滑升級，以適應業(yè)務快速發(fā)展的需求。

用戶的數(shù)據(jù)中心設置在兩個不同的省，并且使用了虛擬化技術，因此網絡邊界很難通過單一防火墻進行防護；同時，內部的服務器多處于不同的網段中，員工急需一種方案在平滑使用跨網段的應用；用戶希望能夠有效實現(xiàn)邊界防護，保障不同地點數(shù)據(jù)中心的安全性，并實現(xiàn)基于應用的訪問授權，保證用戶訪問應用過程中的安全防護。

基于客戶的需求，提供SDP控制器，復用企業(yè)內部原認證系統(tǒng)，實現(xiàn)對用戶的身份認證，建立可信的終端與安全網關之間的連接。用戶發(fā)起訪問請求后，兩個不同省數(shù)據(jù)中心內的授權應用同屏顯示，實現(xiàn)“所見即所用”。SDP接收主機貼近服務器放置，將企業(yè)的應用服務器隱藏，僅經過SDP認證服務器認證后的訪問才可以與服務器在授信區(qū)域進行數(shù)據(jù)交換。

下圖為SDP架構在客戶環(huán)境中部署的架構圖。認證通道和數(shù)據(jù)通道被有效的隔離，通過一臺客戶端即可訪問不同網段應用，實現(xiàn)了客戶的需求。

SDP案例實踐成果

1.SDP與組網結合幫助案例中的金融單位內部員工擴寬了辦公模式。從傳統(tǒng)的企業(yè)內部通過PC接入網絡進行辦公，擴展到可隨時隨地通過多移動終端進行安全辦公——這樣的轉換僅需建立安全訪問隧道即可，無需任何其他操作，且隧道可一鍵安全建立，減輕操作的復雜程度，提升效率；

2.金融單位內部的IT管理人員無需進行復雜的配置和管理，相比傳統(tǒng)的安全軟硬件+VPN部署的模式，SDP與組網結合可以協(xié)助企業(yè)內部IT管理人員顯著提升效率，并且?guī)椭髽I(yè)控制IT管理成本；

3.對不同的金融企業(yè)，或是企業(yè)內部的不同部門，他們都有不同的安全需求。SDP的理念是以用戶為中心，這套方案可以確保資源能夠根據(jù)用戶的需求進行靈活調配，并且確保所有與安全相關的操作都在云中執(zhí)行，在基本無需額外維護的同時，確保網絡訪問更易于控制、更加靈活，完美地契合了正在數(shù)字化轉型中的大中型企業(yè)的需求。

總結

SDP與組網結合的改造，企業(yè)的終端客戶只要使用客戶端通過驗證，無需關注自己的權限歸屬，即可訪問授權范圍內的應用。企業(yè)的IT管理者不再為繁雜的認證規(guī)則所累，在保證安全的前提下，提高易用性、可維護性。