軟件定義邊界SDP：概念、技術及應用研究綜述

潘吳斌，任國強

（江蘇天創(chuàng)科技有限公司，江蘇 蘇州 215000）

0 引言

隨著云、移動化、IoT等新技術的快速發(fā)展，業(yè)務系統(tǒng)上云、遠程辦公成為信息化發(fā)展的必然趨勢。使得網(wǎng)絡邊界越來越不清晰，讓企業(yè)數(shù)據(jù)不再局限在墻內(nèi)，也有更多的技術手段可以輕易突破網(wǎng)絡邊界，新的網(wǎng)絡攻擊也隨之增加，如上因素逐漸導致傳統(tǒng)安全手段形同虛設，網(wǎng)絡安全不再止于邊界安全，IT架構正在從“有邊界”向“無邊界”轉變。邊界安全模型所依賴的關鍵假設不再成立，谷歌也證明了這種觀念是錯誤的，應該認為企業(yè)內(nèi)網(wǎng)與公網(wǎng)一樣充滿危險，并基于這種假設構建企業(yè)的網(wǎng)絡安全體系。

本文闡述了SDP相關概念、特征及主要關鍵技術；重點討論了SDP產(chǎn)品，分析比較代表性的SDP產(chǎn)品；分析了SDP的挑戰(zhàn)及機遇；最后，總結全文并展望未來研究。

1 軟件定義邊界SDP

SDP產(chǎn)品所參考的規(guī)范是國際云安全聯(lián)盟CSA提出的SDP（軟件定義邊界）模型，該安全模型已經(jīng)在國外有比較多的成功案例并發(fā)展迅速，在RSA Conference上已經(jīng)連續(xù)4年懸賞破解但至今無人成功。國外產(chǎn)商目前普遍使用云端代理服務器或者客戶端代理服務器方式來實現(xiàn)，而SDP產(chǎn)品的創(chuàng)新在于直接把SDP隱身技術做進瀏覽器內(nèi)核里面，避免中間過程數(shù)據(jù)被盜。SDP以預認證和預授權作為它的兩個基本支柱。通過在單數(shù)據(jù)包到達目標服務器之前對用戶和設備進行身份驗證和授權，SDP可以在網(wǎng)絡層上執(zhí)行最小權限原則，可以顯著地縮小攻擊面。

1.1 SDP架構及工作流程

軟件定義邊界（SDP）架構由客戶端、管控平臺、應用網(wǎng)關3個主要組件組成，如圖1所示。SDP客戶端用來做各種的身份驗證，包括硬件身份，軟件身份，生物身份等。SDP管控平臺用來對所有的SDP客戶端進行管理，制定安全策略。SDP管控平臺還可以與企業(yè)已有的身份管理系統(tǒng)對接。SDP網(wǎng)關對所有業(yè)務系統(tǒng)訪問進行驗證和過濾。

SDP工作流程如圖1所示：SDP客戶端用SPA技術向管控平臺發(fā)送訪問請求。SDP管控平臺驗證用戶信息，返回授權、網(wǎng)關信息、策略信息；同時，SDP管控平臺將用戶信息、策略信息發(fā)給網(wǎng)關。SDP客戶端用SPA技術帶著授權向網(wǎng)關發(fā)送訪問請求。網(wǎng)關檢查從SDP管控平臺獲取的安全策略，驗證客戶端授權，建立雙向加密鏈接。SDP管控平臺會隨時監(jiān)控連接是否符合安全策略，即時調(diào)整。

圖1 軟件定義邊界（SDP）架構

1.2 SDP關鍵技術

SDP產(chǎn)品在TCP/IP數(shù)據(jù)通信的各層都進行授權控制，防止非法數(shù)據(jù)進入，不再懼怕IP對外開放，不再懼怕多端口對外開放。

（1）網(wǎng)絡層：網(wǎng)關默認deny all一切IP訪問，只有SDP客戶端經(jīng)過SPA授權后，才會針對客戶端開放訪問通道；此外通過SDP獨有的私有DNS功能，實現(xiàn)域名內(nèi)部解析，無需將域名暴露在公網(wǎng)，實現(xiàn)IP地址網(wǎng)絡隱身。

（2）傳輸層：默認端口deny all一些連接請求，通過SPA動態(tài)端口授權技術，動態(tài)授權SDP客戶端進行端口訪問，非法連接無法進入，讓開放端口不再是企業(yè)的安全隱患，開放再多端口也不怕。

（3）安全傳輸層：SDP客戶端與網(wǎng)關之間采用SSL加密通信技術，防止通信數(shù)據(jù)被非法人員監(jiān)聽、篡改或破壞。

（4）應用層：網(wǎng)關對進入的每一個http請求進行HMAC動態(tài)驗證，防止非法http數(shù)據(jù)以及非授權http數(shù)據(jù)通過，最大化保障企業(yè)業(yè)務系統(tǒng)安全訪問。

1.2.1 SPA與動態(tài)端口

SDP客戶端與網(wǎng)關通信會用到SPA技術。SDP的網(wǎng)關默認“拒絕一切”連接，只會接收SDP客戶端發(fā)來的第一個帶身份信息的包。網(wǎng)關驗證通過后，才會允許SDP客戶端建立連接。SPA和動態(tài)端口技術保證了黑客看不到網(wǎng)關開放的端口，無法對網(wǎng)關進行掃描。而且，黑客看不到服務器的內(nèi)容，也就看不到攻破服務器的價值，減小了黑客進攻的意愿。

企業(yè)在外網(wǎng)開放TCP端口時總是謹小慎微，擔心被惡意黑客進行諸如TCPSYNflood、端口掃描等攻擊。通過SDP產(chǎn)品的SPA敲門技術，對網(wǎng)關開放的每一個端口進行授權控制，每一個客戶端的TCP端口連接都會先經(jīng)過SPA授權驗證，驗證通過后才可訪問，不需要擔心開放大量端口，讓開放端口數(shù)量變得跟安全無關。

1.2.2 私有DNS

私有DNS功能可以隱藏業(yè)務系統(tǒng)的DNS、IP信息，用戶可以不在外網(wǎng)做DNS解析，只需在SDP管控平臺設置業(yè)務系統(tǒng)的域名與IP的對應關系。用戶在登錄SDP客戶端時，從SDP管控平臺獲取業(yè)務系統(tǒng)的IP，進而訪問業(yè)務系統(tǒng)。因為業(yè)務系統(tǒng)的DNS、IP沒有暴露在互聯(lián)網(wǎng)上，所以黑客無從發(fā)起網(wǎng)絡攻擊。

1.2.3 細粒度訪問控制

因為SDP架構中包含了客戶端，所以可以做到傳統(tǒng)產(chǎn)品很難做到的終端安全管控，實現(xiàn)更細粒度的安全控制。根據(jù)最小權限原則的細粒度訪問控制策略，SDP只允許應用級訪問，不暴露內(nèi)網(wǎng)。即使員工電腦上被安裝了惡意軟件也無法掃描、竊取內(nèi)網(wǎng)上的資源。并按需授權，管理員可以在后臺合理限制用戶可以訪問哪些應用。例如，只允許財務部的員工訪問財務系統(tǒng)，不允許訪問HR系統(tǒng)。越權訪問會被網(wǎng)關攔截。這樣，就避免了用戶過度授權，大大減少攻擊面，也減少了員工泄密的可能。除了應用的維度之外，還可以對用戶的訪問位置、訪問時間等維度進行限制。

1.2.4 訪問安全及身份認證

SDP產(chǎn)品符合零信任（Zero-Trust）安全訪問模型，符合零信任網(wǎng)絡安全理念：不自動信任網(wǎng)絡的安全性（內(nèi)網(wǎng)≠可信）；對任何接入系統(tǒng)的人和設備都進行驗證；每次訪問都要進行身份驗證和行為審計。

SDP可以對用戶身份進行管理，保證用戶身份和設備的合法性，包括：創(chuàng)建賬戶體系，或從現(xiàn)有身份管理系統(tǒng)如AD域、OpenLDAP、CAS等同步賬戶和組織架構信息。通過SDP客戶端設備綁定功能，確保用戶在正確的設備上使用正確的賬號登錄，同時可以對賬戶的登錄時間、登錄地點及IP地址進行嚴格控制，以防止非法人員非法接入業(yè)務系統(tǒng)。

SDP管控平臺可以遠程清除用戶設備上的賬號信息及使用痕跡。有效保障企業(yè)員工認證信息泄漏、設備遺失等異常情況下企業(yè)數(shù)據(jù)安全。實時的清除設備數(shù)據(jù)，即使該設備正在登錄，也可以令用戶立即退出。移動端瀏覽器還可以設置指紋、人臉識別、手機短信等多因子認證方式，保障身份安全。

1.2.5 行為審計與態(tài)勢感知

SDP客戶端對用戶行為操作進行審計記錄，如網(wǎng)頁訪問時間、網(wǎng)頁內(nèi)容復制、網(wǎng)頁打印或者保存、文件下載等。同時，客戶端將審計信息上傳至SDP管控平臺，通過平臺態(tài)勢感知模塊對信息進行大數(shù)據(jù)分析并動態(tài)展示。網(wǎng)關對用戶的非法訪問請求進行攔截并記錄，同時對用戶的訪問次數(shù)以及應用的請求次數(shù)進行記錄，并將所有信息傳送至SDP安全大腦平臺，通過平臺態(tài)勢感知模塊對大量數(shù)據(jù)進行統(tǒng)計分析，形成可視化數(shù)據(jù)。

SDP管控平臺可以匯聚各個網(wǎng)關以及所有SDP客戶端發(fā)送過來的日志及審計信息，對匯聚信息進行大數(shù)據(jù)智能統(tǒng)計分析，以滿足企業(yè)運維及安全需求。安全態(tài)勢感知平臺匯聚數(shù)據(jù)，統(tǒng)計并展示實時活躍用戶、系統(tǒng)激活用戶及設備數(shù)量、當前在線用戶數(shù)、用戶訪問次數(shù)以及攔截訪問次數(shù)，協(xié)助運維人員快速了解員工訪問情況。安全態(tài)勢感知平臺從多個維度對用戶訪問數(shù)據(jù)進行統(tǒng)計分析，展示企業(yè)業(yè)務應用訪問排名，幫助運維了解業(yè)務系統(tǒng)訪問及運營情況，展示企業(yè)用戶訪問頻率排名幫助企業(yè)管理者了解員工工作情況，展示網(wǎng)關攔截的非法請求數(shù)量幫助運維人員核查異常用戶訪問情況，及時發(fā)現(xiàn)企業(yè)內(nèi)部風險。

1.3 產(chǎn)品對比

VPN很好地為遠程用戶提供對VLAN或網(wǎng)段的安全訪問，就好像它們實際存在于企業(yè)網(wǎng)絡上一樣。這種技術，特別是當與多因素認證相結合時，對于具有傳統(tǒng)邊界的企業(yè)以及靜態(tài)用戶和服務器資源來說效果很好。但是正如Gartner所說，DMZ和傳統(tǒng)VPN是為20世紀90年代的網(wǎng)絡設計的，已經(jīng)過時，因為它們?nèi)狈ΡＷo數(shù)字業(yè)務所需的敏捷性。

VPN有兩個缺點，使得它們不適合當今的需要。首先，它們對所分配的網(wǎng)絡提供非常粗粒度的訪問控制，要么全部都可以訪問，那么不能訪問。嘗試配置VPN以為不同用戶提供不同級別的訪問是不現(xiàn)實的。

第二，即使公司對VPN提供的控制級別感到滿意，VPN也是一種只能控制遠程用戶的孤立解決方案。它們不會幫助保護內(nèi)部用戶，這意味著組織需要一組完全不同的技術和策略來控制內(nèi)部部署用戶的訪問。這將使協(xié)調(diào)和對準這兩個解決方案所需的工作量增加一倍以上。

Gartner指出：到2021年，60%的企業(yè)將逐步淘汰VPN使用軟件定義邊界SDP。從網(wǎng)絡安全、數(shù)據(jù)安全等方面對主流SDP產(chǎn)品進行對比，結果如表1所示。

表1 SDP產(chǎn)品對比

2 SDP機遇與挑戰(zhàn)

2.1 SDP機遇

傳統(tǒng)的網(wǎng)絡安全僅基于IP地址，根本不考慮用戶，而SDP策略是基于用戶的，它要求任何訪問之前都需要對用戶和設備進行驗證，允許企業(yè)根據(jù)用戶屬性創(chuàng)建訪問策略，執(zhí)行最小特權原則，更細粒度的訪問控制。通過利用目錄組成員身份，IAM分配的屬性，角色等，公司可以以某種方式定義和控制對云資源的訪問，這對公司業(yè)務，安全和合規(guī)性很有意義。

在身份管理方面，SDP和IAM可以互補。SDP可以利用已經(jīng)部署的IAM系統(tǒng)進行認證，加速SDP開發(fā)。另外，SDP實現(xiàn)可以使用用戶的IAM屬性作為SDP策略的元素，如目錄組成員身份，目錄屬性或角色。SDP系統(tǒng)也可以包括在由IAM系統(tǒng)管理的身份生命周期中。如SDP管控平臺信任第三方IAM系統(tǒng)用于用戶身份認證和用戶身份生命周期管理。因此，當?shù)谌接脩粼谄銲AM系統(tǒng)處停用時，用戶將自動無法訪問受SDP保護的資源，因為他們無法再通過聯(lián)合身份驗證。

SDP的預認證和預授權作為兩項基本技術。在認證和授權之前不會有任何數(shù)據(jù)包到達服務器，從而可以使云資源對未授權用戶完全不可見。這完全消除了許多攻擊向量，包括暴力攻擊，洪水攻擊，以及基于TLS漏洞的攻擊，如Heartbleed和Poodle。

由于AH記錄日志和控制所有IH的網(wǎng)絡流量，所以SDP可以提供詳細的對每個用戶訪問的可見性，所以SDP能夠根據(jù)這些信息自動提供合規(guī)性報告。

SDP可以幫助企業(yè)降低成本。首先，減少IT任務工作量，減少雇用額外工作人員的需要。第二，精簡合規(guī)性將減少準備和執(zhí)行審計所需的時間和精力。最后，SDP作為其他技術（例如NAC）的替代還可以幫助企業(yè)節(jié)省資金。

2.2 SDP潛在的挑戰(zhàn)

盡管SDP給出了零信任條件下、滿足現(xiàn)代企業(yè)數(shù)據(jù)保護需求的訪問控制模型，但從框架到落地實現(xiàn)還涉及到許多技術問題及資源整合；同時，即使在此完成基礎上，SDP自身仍有一些能力缺陷。

SDP方法的最大挑戰(zhàn)之一是帶外控制器，當初始認證請求完成后，認證的信息不會停留在實際的數(shù)據(jù)路徑中。如果同一用戶感染了惡意軟件，它可以很容易地通過開放端口傳播到其他應用程序。

無論是物理的還是邏輯的安全域總是有既定邊界，而對于某些開放業(yè)務、包括一些實際需求往往不得不違背信息流安全策略，即高安全域內(nèi)的敏感數(shù)據(jù)需要流向低安全域，這是SDP本身無法解決的。例如，假設存在內(nèi)、外兩個不同等級的安全域：銀行向監(jiān)管機構上報數(shù)據(jù)相當于從內(nèi)網(wǎng)流向外網(wǎng)；供應鏈上下游廠家給平臺提交數(shù)據(jù)也是從內(nèi)部流向外部。其實無論是組織內(nèi)外都大量存在類似的案例。因此，即使有安全邊界但所謂泄漏通道在現(xiàn)實場景中也是必須考慮的。

SDP面臨的另一類挑戰(zhàn)是難以解決橫向攻擊。理論上，SDP通過隱藏網(wǎng)絡資源，側重規(guī)劃安全策略的實施空間和范圍，減小攻擊面，但沒有落地安全策略的實施機制。因此，無論是某個終端還是服務器第一時間被攻破后，攻擊很可能轉移至其他設備或應用，即橫向攻擊。

3 結束語

SDP技術有望解決許多安全挑戰(zhàn)。通過SPA技術只向合法用戶開放指定端口，屏蔽絕大多數(shù)網(wǎng)絡攻擊。采用雙向認證及加密技術杜絕中間人攻擊。SDP不止驗證用戶身份，還要驗證用戶設備，保證連接都是來自合法設備，同時用戶只能訪問有授權的應用。這符合“最小化授權”原則，保證威脅無法橫向蔓延。SDP技術作為一種新的網(wǎng)絡安全模型，能滿足很多場景可靠的安全訪問需求。