基于零信任的軟件定義邊界網絡隱身技術研究*

于欣越，孫 剛，張亞偉

（1.中國電信股份有限公司安徽分公司，安徽 合肥 230000；2.德思信息科技（南京）有限公司，江蘇 南京 210000）

0 引言

過去企業IT 基礎設施局限在企業自建或租賃的“機房”內，企業用戶或合作伙伴都是通過傳統的企業“內網”訪問企業的業務系統，企業的IT架構是“有邊界”的。在業務上云和用戶開始使用自帶設備（Bring Your Own Device，BYOD）[1]移動辦公的大背景下，企業IT 基礎設施與用戶辦公的內外邊界變得模糊，傳統安全邊界開始慢慢消失，企業IT 架構正在從“有邊界”向“無邊界”進行過渡。傳統的網絡安全手段已經不能滿足云時代和移動辦公時代企業所需的安全防護以及高效的訪問要求，零信任安全架構模型應運而生。零信任網絡安全架構打破了傳統的邊界防護思維，從以往的以網絡防護為中心轉變為以身份（人、設備、應用）為中心；最小化權限訪問控制，默認不信任網絡內部和外部的任何人、設備或網絡，持續監控所有連接的可疑行為。

1 概述

零信任（Zero Trust，ZT）安全的核心思想是：打破舊式邊界防護思維，從傳統的以網絡為中心轉變為以身份為中心進行最小權限訪問控制[2]。軟件定義邊 界（Software-Defined-Perimeter，SDP）安全模型作為零信任的最佳實踐，由國際云安全聯盟在2013 年提出，也被Gartner 定義為零信任網絡訪問零信任網絡接入（Zero Trust Network Access，ZTNA）。

SDP 是圍繞某個應用或一組應用創建的。基于身份和上下文的邏輯訪問邊界，SDP 從架構設計上就只允許可信任的業務報文通過，同時丟棄不合法報文。一般來講，在SDP 架構下真實的后端服務是被隱藏的：客戶端與眾多的SDP 邊緣節點聯動，使得合法報文知道如何進入SDP 網絡，惡意流量將被SDP 邊緣節點丟棄，把應用資源從公共視野中消除，從而顯著減少攻擊面[3]。

2 零信任SDP

SDP 作為零信任的最佳實踐落地技術架構，在“移動+云”的時代背景下，旨在通過網絡隱身技術，為企業構建起一個云安全邊界，確保只有合法的身份、設備和網絡環境才能接入，對其他工具完全不可見，由于看不到目標，因此有效地規避了各種安全風險。同時，SDP 還有一個很重要的零信任機制，就是在訪問過程中對用戶行為持續進行安全等級評估，并對風險行為進行動態控制，從而有效保護企業的數據資產的安全。

傳統的網絡接入控制是先接入再認證，由于端口暴露在互聯網上，很容易遭受安全攻擊，從而產生各種安全威脅。零信任SDP 安全模型跟傳統的網絡接入控制模型不同，通過網絡隱身技術實現先認證后連接，端口不暴露在互聯網。同時，采用三角架構，管理控制平面與傳輸數據平面分離，實現更安全的接入管控，并且在云環境下實現系統的靈活可擴展。

如圖1 所示，零信任SDP 安全模型由3 部分組成[4]：SDP 管控平臺、SDP 網關和SDP 客戶端。該模型采用三角架構，SDP 客戶端發起連接請求，SDP 管控平臺認證客戶端請求，并控制SDP 客戶端與SDP 網關建立數據通道。

圖1 SDP 架構

2.1 SDP 客戶端

SDP 客戶端通過敲門技術攜帶認證信息，包含用戶名、密碼、終端信息、網絡環境等。SDP 控制器對這些認證信息組合的多因素身份進行驗證，向客戶端返回SDP 網關列表及權限列表。

2.2 SDP 管控平臺

SDP 管控平臺用來對接入的SDP 客戶端進行身份驗證，管理SDP 網關。管控平臺自身具備安全策略管理、日志審計等功能，能夠動態管控用戶的認證和訪問行為，以及與企業已有的身份管理、態勢感知等系統對接。

2.3 SDP 網關

默認情況下，SDP 網關拒絕一切連接請求，只有管控平臺下發認證策略后，才動態接受指定SDP客戶端的連接，通過加密傳輸的方式代理SDP 客戶端和應用的數據通信，同時根據管控平臺下發的控制策略，管理通信過程。

3 網絡隱身技術

網絡隱身作為零信任SDP 最關鍵的技術之一，其目標之一是克服傳輸控制協議/互聯網協議地 址（Transmission Control Protocol/Internet Protocol Address，TCP/IP）開放和不安全的基本特性。該特性允許“先連接后認證”，而使用SDP 架構的應用被隱藏在SDP 網關之后，實現“先認證后連接”，從而只有被授權的用戶才能可靠地訪問，而未授權用戶則看不到這些服務。

單包授權（Single Packet Authorization，SPA）是實現SDP 網絡隱身的核心網絡安全協議。在允許訪問控制器、網關等相關系統組件所在的網絡之前先驗證設備和用戶身份，實現零信任“先認證，再連接”的安全模型理念。SPA 包含包括請求方的IP地址等在內的連接請求的信息，在單一的網絡信息中被加密和認證，通過配置默認丟棄（Default-Drop）的防火墻策略使保護的服務對外不可見。SPA 的目的是允許服務器防火墻隱藏起來并被默認丟棄。該防火墻系統應該丟棄所有TCP 和用戶數據報協議（User Datagram Protocol，UDP）數據包，不回復連接嘗試，從而不為潛在的攻擊者提供任何關于該端口是否正被監聽的信息。

用戶嘗試訪問時，先驗證用戶的身份、設備和網絡信息，然后允許用戶網絡訪問零信任系統組件管控平臺和SDP 網關，最后用戶才被允許訪問該服務。所以，SPA 對于SDP 不可或缺，用于在客戶端和控制端、網關和控制器、客戶端和網關等之間的連接中通信。

SPA 實現原則：

（1）數據包必須被加密認證；

（2）數據包必須自行包含所有必要的信息，單獨的數據包不被信任；

（3）生成和發送數據包必須不依賴于管理員或底層訪問權限，不允許篡改原始數據包；

（4）服務器必須盡可能無聲地接收和處理數據包，不發送回應或確認。

具體實現原理如圖2 所示。

圖2 SDP 網絡隱身原理

3.1 SDP 網絡隱身設計

SDP 架構下保護的業務服務只允許被認為合法的報文進行訪問，丟棄“非法”報文，從而實現了業務服務隱身。SPA 認證流程如圖3 所示。

圖3 SPA 認證流程

認證處理流程如下：

（1）客戶端發送一個簽名的請求授權訪問后端服務的數據包給SPA 服務；

（2）SPA 服務對收到的請求授權包進行解包、驗簽等操作，對無效請求直接丟棄；對檢查通過的，設置防火墻訪問規則并回復授權響應包給合法客戶端。

SPA 可以看做通信層的訪問保護，主要在網絡通信層保護防火墻之后的后端服務。SPA 首包認證作為網絡通信的授權認證手段，有效地防范未信任數據包的風險。

3.2 SPA 隱身服務

SPA 對網絡授權數據包的應用訪問進行防火墻管控，從而達到控制網絡訪問的目的。SPA 服務主要有如下技術特點。

（1）無監聽端口：使用快速數據路徑（eXpress Data Path，XDP）直接從網卡驅動層獲取通信數據包，直接處理報文內容。掃描程序無法偵測到監聽端口，這樣可以防范黑客攻擊前的掃描偵測，從源頭杜絕黑客對具體業務服務的攻擊。無監聽服務端口方式只需要SPA 直接在網絡層抓包，直接解析UDP 網絡報文內容，不需要真正擁有應用服務監聽網絡端口。

（2）支持大網絡流量處理：XDP 技術性能非常高，可接近網卡帶寬上限，特別是在抵御DDoS攻擊方面有先天優勢。

（3）支持千萬級別管理策略：使用源IP、目的IP 和目的端口，通過服務標識做Hash（哈希）算法來管控網絡，可支持千萬級別管理策略。

（4）更加安全的SPA 首包認證協議：SPAD使用自定義SPA 協議。通過使用個性化簽名算法和報文加密算法，以及MAC 算法，提高了安全性。

（5）支持高可用集群部署：管理策略使用NoSQL、MySQL 等存儲，支持多節點集群部署。目前SPAD 支持VIP 模式高可用方案（Keepalived +VIP）。

SPA 網絡控制組件架構如圖4 所示。

圖4 SPA 網絡控制組件架構

從圖4 可以看出，SPA 網絡控制組件可以分為以下3 層。

（1）網絡通信層：可使用UDP、TCP 通信，也可以使用自定義協議。SPA 一般選擇使用UDP通信，因為UDP 傳輸是無連接的，默認無須響應，可通過drop 授權不通過的數據包來隱藏自己，這個特性使得SPA 可以隱藏自己。另外從安全角度講，TCP 更容易被攻擊。

（2）授權包的加解密以及簽名驗證：數據本身包含簽名、加密算法密文以及防篡改MAC 保護。

（3）防火墻網絡策略規則管理：對SPA 授權認證通過的應用開放網絡訪問權限，添加防火墻的訪問策略。一般網絡策略默認設置時間生命周期（Time To Live，TTL），過期時訪問策略會清除。

3.2.1 網絡通信

負責網絡通信的服務應用容易被掃描器偵測，也容易被DDoS 攻擊，這在安全方面必須考慮到。另外如果被識別出提供服務的端口，也會增加網絡攻擊的概率。因此SPA 可需要通過抓包方式直接拿到請求授權包。

目前主流網絡抓包方式有以下4 種。

（1）XDP：全名是eXpress Data Path，是一種內核快速表達數據路徑方法。

（2）DPDK（Data Plane Development Kit）：DPDK 是數據平面開發套件，由多個庫組成，可提高在各種CPU 架構上運行的數據包處理工作量。

（3）PF_RING：PF_RING 是一個Linux 內核模塊和用戶空間框架，可以高速率處理數據包，同時為數據包處理應用程序提供一致的API。

（4）PCAP：PCAP 由應用程序編程接口組成，通過這種高層次的接口來捕獲網絡流量。PCAP 也支持把捕獲的數據包保存為本地文件并從本地文件讀取信息。

上述抓包方式在大流量高并發場景下的比較情況，如表1 所示。

表1 網絡抓包性能

3.2.2 數據加解密及驗證

SPA 請求授權包必須保證完整性和安全性，可參考以下主流算法實現自定義業務報文協議。

（1）對稱加密算法：指加密和解密使用相同密鑰的加密算法。對稱加密算法用來對敏感數據等信息進行加密，常用的算法包括DES、3DES、AES、DESX、Blowfish、RC4、RC5、RC6。

（2）公鑰加密算法：指加密和解密使用不同密鑰的加密算法，也稱為公私鑰加密。假設兩個用戶要加密交換數據，雙方交換公鑰，使用時一方用對方的公鑰加密，另一方即可用自己的私鑰解密。常見的非對稱加密算法：RSA、DSA（數字簽名用）、ECC（移動設備用）、Diffie-Hellman、El Gamal。

（3）Hash 函數：是一種單向算法，用戶可以通過Hash 算法對目標信息生成一段特定長度的唯一的Hash 值，卻不能通過這個Hash 值重新獲得目標信息。因此Hash 算法常用在不可還原的密碼存儲、信息完整性校驗等。常見的Hash 算法包括MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1。

3.2.3 防火墻策略

通過防火墻安全策略可以控制內網訪問外網的權限、控制內網不同安全級別的子網間的訪問權限等。同時也能夠對設備本身的訪問進行控制，例如限制哪些IP 地址可以通過Telnet 和Web 等方式登錄設備，并且控制網管服務器、NTP 服務器等與設備的互訪等。

4 網絡隱身安全能力

SDP 通過網絡隱身技術（如圖5 所示）可有效減少受攻擊面，緩解或者徹底消除多項安全威脅、風險和漏洞[5]。

（1）系統和應用程序漏洞

SDP 顯著減少攻擊面，通過將系統和應用程序的漏洞隱藏起來，對于未授權用戶不可見。

（2）賬號劫持

基于會話cookie 的賬戶劫持被SDP 完全消除。如果沒有預先認證和預先授權，并且攜帶適當的SPA 數據包，應用服務器會默認拒絕來自惡意終端的網絡連接請求。因此，即使網絡請求中攜帶被劫持的會話cookie，也不會被SDP 網關準入。

（3）數據泄露

SDP 通過添加預驗證和預授權層來減少公開暴露的主機的攻擊面，實現服務器和網絡的安全性的“最小訪問權限”模型，從而有助于減少數據泄露的許多攻擊方式。

（4）DDoS 拒絕服務

SDP 架構中的單包授權（SPA）技術使得SDP控制器和網關對阻止DDoS 攻擊更有彈性。SPA 與典型的TCP 握手連接相比可花費更少的資源，使服務器能夠大規模處理、丟棄惡意的網絡請求數據包。與TCP 相比，基于UDP 的SPA 進一步提高了服務器的可用性。

圖5 網絡隱身安全能力

5 SDP 網絡隱身最佳實踐

目前，開源社區中發布了一個實現SPA 實現單包授權技術的方案Fwknop。該技術實現了只通過一個加密的UDP 數據包來傳達各種信息，且該技術兼容目前主流操作系統中的防火墻，如最常用的iptables。通過在客戶端封裝Fwknop，將單個攜帶認證信息的UDP 數據包進行非對稱加密，并發送到Fwknop 服務端進行驗證，同時，支持對UDP 數據包的認證信息進行多重因子的驗證，包括用戶信息、設備信息、網絡環境等。

單個或多個應用服務隱藏于Fwknop服務之后，部署Fwknop 服務的主機防火墻默認拒絕一切數據包的連接，丟棄一切數據包。然后通過libpcap 從物理網卡上被動地嗅探Fwknop 客戶端發出的單個UDP 數據包。

封裝Fwknop 的客戶端向Fwknop 服務端發送單個UDP 的認證數據包，Fwknop 服務端嗅探到合法的Fwknop 客戶端發送過來的數據包后，暫時授予被動認證的Fwknop 客戶端的訪問權限。即向主機上相應的iptables 鏈中添加該主機對相應服務的accept 規則，實現授信終端的接入。

6 結語

移動互聯網時代，在云化的大背景下，隨著企業的數字化轉型升級，新技術態勢下的網絡安全威脅和風險不斷涌現，基于傳統邊界安全解決方案難以應對。基于零信任安全模型的軟件定義邊界（SDP）架構應運而生。SDP 破除傳統安全防護思維，通過在云上建立起虛擬的網絡安全邊界，幫助企業能夠快速、安全上云，加速各行各業的數字化進程，具有非常重要的戰略意義。零信任安全作為一種顛覆傳統安全邊界思維的策略，對傳統安全防護機制的革新不是一蹴而就的，需要結合企業的數字化轉型規劃和業務發展規劃。必須基于企業現有條件，通過確立愿景、制定規劃、運用合理的技術手段，分步驟穩妥地進行零信任實踐，最終實現零信任安全體系架構建設。