構建基于SDP技術的網絡安全體系

中國電信股份有限公司安徽分公司企業信息化部 朱良海 張義超 袁震

隨著IPv6、5G移動互聯建設和發展和基礎計算能力云化，網絡邊界日趨模糊，很難再有獨立安全域模型進行支撐，導致傳統的VPN 技術已經不再適用于新型網絡的發展需要。根據企業運營發展需要，在互聯網安全邊界正在消失趨勢下，采用SDP 軟件定義的界限技術架構保證安全的基礎上支撐企業的發展，實現新形勢下企業信息系統架構從“無邊界”向“有邊界”轉換。

傳統企業網絡架構通過建立一個固定的邊界隔離內部與外部通信，但目前SaaS、PaaS、IaaS 正在改變網絡邊界的位置，企業網絡架構中的固定的邊界逐漸趨于模糊。Gartner 認為，須致力于那些能夠最大幅度降低風險并能夠對業務產生最大影響的項目上。而且Gartner 2018年十大新項目，其中之一就是SDP 軟件定義的界限項目。這些都是獨立的項目，而非項目集。它們各自都有真正的基礎技術。依托SDP軟件定義的界限項目技術基礎，構建安全的互聯網接入企業辦公門戶。

基于SDP 信任體系模型與構建技術

1.基于SDP 網絡架構特點

SDP 軟件定義的邊界是一種解決云計算、5G、IPv6 互聯網絡邊界不確定性安全協議框架，它是根據身份控制來實現對內網資源的差異化訪問。

該框架基于“需要才能接入”模型，確保每個終端在連接應用服務必須經過認證，并且確認設備是被允許接入的。其核心理念是通過SDP 網絡架構隱藏核心網絡資產與設施，使它不直接暴露在互聯網下，從而避免網絡計算資源資產受外來直接安全威脅。

由于網絡架構是“黑”的，SDP 也有“黑云”之稱，這個“黑”代表了未接入的用戶無法直接檢測到內部計算資源。如果攻擊者無法知道目標在何方，那么攻擊將無法進行。因此，在SDP 架構中，服務器沒有對外暴露的內網服務，只有通過授權的SDP客戶端才能通過專有的安全協議連接訪問。

2.SDP 三層網絡安全架構模型

企業應用層是用戶端網元的控制平面，負責客戶端計算，并通過SDP 控制器連接服務器，產生轉發網絡流量，而轉發平面只在網絡設備上。體現用戶意圖的各種上層應用程序，此類應用程序稱為協同層應用程序，典型的應用包括企業的OSS 業務運營支撐系統，通過SDN網絡架構完成集中接入控制，如圖1 所示。

SDP 接入控制層是設備網元通過控制器集中管理，這樣就不需要對設備進行逐一網絡配置操作，只需要對控制器進行配置即可。

控制層是系統的控制中心，負責網絡的內部交換路徑和邊界業務路由的生成，并負責處理網絡狀態變化事件。當網絡發生狀態變化，比如鏈路故障、節點故障等時，控制層會根據這些網絡狀態的變化調整網絡交換路徑和業務路由，使網絡始終能夠處于一個正常的服務狀態。

控制層是SDP 網絡系統中的大腦，是決策部件，它的核心功能是實現網絡內部轉發路徑分配和邊界業務路由計算。

能力計算層由PaaS、SaaS、IaaS 和SDP 轉發器組成，PaaS、SaaS、IaaS 等 作用是提供虛擬機或者其他資源作為服務提供給用戶。而SDP 轉發器的作用是根據企業應用層的請求轉發至對應的服務。轉發層主要由轉發器和連接器的線路構成基礎轉發網絡，這一層負責執行用戶數據的轉發，轉發過程中所需要的轉發表項是由控制層生成的。

圖1 SDP 安全網絡架構

轉發層是系統執行單元，本身通常不做決策，其核心部件是系統轉發引擎，由轉發引擎負責根據控制層下發的轉發數據進行報文轉發。該層和控制層之間通過控制接口交互，轉發層一方面上報網絡資源信息和狀態，另一方面接收控制層下發的轉發信息。

3.SDP 安全架構模型優勢分析及注意事項

在傳統的互聯網接入模型中：

首先客戶端需要建立與服務器端的連接，這一步驟使服務端暴露在公網中，存在被利用的風險。

其次，即使是用戶通過登錄頁面輸入用戶名和密碼，這一步驟存在弱口令、賬號盜用等風險。

第三，即便個別應用為了確保安全可能采用多因素認證，但是多因素認證增加了系統驗證的復雜度，系統友好性變差導致用戶感知下降。

而在SDP 互聯網接入模型中：

首先客戶端進行透明的無感知多因素認證，包括認證設備的可靠性、接入通道的可靠性等。

其次，在可信計算基礎上再進行接入認證，認證后用戶才正式接入。

第三，上述2 步均在客戶端與接入控制器進行交互，不涉及對于具體服務的訪問，互聯網暴露面僅1個接入門戶。當認證通過后，客戶端才能夠與可訪問內網資源建立連接連接。

根據上面的優勢分析，SDP 通過三種方式對抗基于網絡的攻擊：首先，透明多因素認證建立了互聯網可信計算基礎；其次，服務沙箱技術可以降低應用被感染的風險；第三，SSL 雙向認證實現了加密通道通信。

SDP提供對于PaaS、SaaS、IaaS 的以用戶為中心、可管理的、易實現的、安全的、快捷的互聯網接入服務，它解決了TCP/IP 中的一個設計漏洞，即在認證之前即建立網絡連接。由于SDP 的成本低、部署簡單、技術成熟等有利因素，SDP 可能取代傳統的網絡防火墻和VPN 技術。

但SDP 同樣也面臨著挑戰，其中最大挑戰是互聯網接入認證控制器安全，也就是統一接入門戶安全，當初始認證請求完成后，假設一個用戶連接到企業應用程序的場景，在通過SDP 控制器進行初始認證和授權之后，客戶端將根據策略和端口號通過SDP 網關建立一個帶有應用程序服務的隧道，從而導致原有的應用漏洞問題可能會被挖掘出來。因為SDP只是通過隱藏內網服務減小攻擊面，因此加強內網應用安全同樣重要。

圖2 基于SDP 技術的辦公平臺網絡架構示意圖

SDP 軟件定義的邊界項目連續2年入選Gartner 最應投資的10 大安全項目，并且在RSA 連續4年舉辦SDP黑客破解大賽中無人成功攻陷內網。預計到2021年底，60%的企業將用SDP 取代VPN。

SDP 模型在企業互聯網應用中實踐

各單位都在推出移動OA辦公、電子郵箱等多種依托互聯網、移動互聯網的應用，互聯網及移動互聯給公司員工帶來便利的同時，也給企業的數據安全帶來了新挑戰和新危險。

如何把企業數據和應用程序轉移到移動設備上去，如何保證企業數據在傳輸過程中的安全，如何防止APP仿冒及移動設備成為滲透企業內部網絡的跳板，如何防范移動設備易被竊或遺失，給企業帶來數據泄密隱患等等，成為企業需要克服的難題。而基于SDP 技術的企業辦公平臺，采用SDP 軟件定義的邊界技術很好地解決了上述問題。

基于SDP 技術的企業辦公平臺可根據業務要求，設定不同的用戶權限，類型包含系統管理員、安全管理員、普通業務員等角色組，不同的角色組可以分配不同的權限，系統支持對不同的業務角色分配適合的權限，可根據企業組織架構進行角色匹配。

系統主要功能應包括移動設備管理、安全策略發布、應用注冊授權、應用發布、安全網關、安全門戶、獨立工作區域、后臺及客戶端相關日志的管理等。建設應用通道安全穩定，統一門戶快捷高效。

如圖2 所示，基于SDP 技術的企業辦公平臺包含移動終端安全管理服務器和應用安全隧道網關。

移動終端安全管理服務器部署在省公司內網中，用于管理移動終端認證與業務應用的發布管理。

應用安全隧道網關部署在內網云服務區域，用于提供安全穩定的加密通道，為內部移動終端提供一個安全門戶辦公APP，并通過安全門戶進行快速發布和單點登錄。而業務APP 數據流通過安全隧道網關轉發至內網，從而避免了中間人攻擊欺騙和網絡滲透掃描，實現了“需要才能接入”網絡安全通信模型。

應用安全網關APN 實現了權限鑒權和加密通道的雙重安全防護，為企業內網提供了統一的對外訪問入口。

移動終端訪問內網應用必須經過網關，并且與網關之間通過安全隧道進行連接，每個應用獨享一個安全隧道。其中安全隧道采用的是SSL 加密協議，對傳輸中的數據進行了加密處理，以保證應用數據在傳輸過程中的安全。

同時，平臺對應用的網絡連接做了技術優化，傳輸性能相比普通直接采用SSL 協議的網絡請求有了極大的提升。

對于安全隧道的使用，平臺設計了以設備、用戶及應用三方綜合維度的嚴格身份認證，有終端和網關兩個核心控制點，這兩個控制點相互關聯，雙向認證，高度安全，即使通過黑客類手段獲取終端權限，利用偽造或中間人攻擊等手段也無法突破網關的防護。

結語

綜上所述，SDP 軟件定義邊界項目具備5 大優點：統一認證；統一授權；應用級準入網關；可自定義的網絡結構；隱藏互聯網暴露面。

尤其是隱藏互聯網暴露面，即應用服務器沒有直接對外暴露的互聯網IP 端口服務，僅可以通過統一門戶認證后才可以訪問內網應用，從面上降低企業遭受網絡攻擊安全風險。

這五大優點使得SDP 技術在云計算、移動互聯網、IPv6 互聯網新的機遇和挑戰下實現了可信計算模型，是等保2.0 要求的計算環境安全、區域邊界安全和通信網絡安全一種先進可行的解決方案。