SDP安全技術對4A安全管理能力補充探討

范楷

1 4A系統功能簡述

4A系統中文名稱為統一安全管理平臺。該解決方案是將賬號（Account）、認證（Authentication）、授權（Authorization）、審計（Audit）定義為網絡安全的四大組成部分。

企業單位使用的4A系統，建立了一個信息系統內的賬號的全生命周期管理體系，并且將用戶及運維人員使用的多種設備及資產也一并納入管理范圍，實現了以身份為中心的全面管控。

2 SDP對4A安全管理能力互補的探討

2.1 4A系統的安全管理能力。

賬號管理：4A 平臺提供統一集中的帳號管理，能夠實現被管理資源帳號的創建、刪除和同步等帳號等全生命周期管理。還可以實現子從賬號管理，管理員可建立主賬號到從賬號的對應關系，實現賬號分層管理。

認證管理：4A 平臺可以根據用戶應用的實際需要，為用戶提供不同強度的認證方式，不僅可以實現用戶認證的統一管理，并且能夠為用戶提供統一的認證門戶，實現企業信息資源訪問的SSO（單點登錄）對接。

授權管理：4A 平臺可以對用戶的資源訪問權限進行集中控制。管理員將業務系統資源賬號按需分配給用戶，實現對應用系統、主機及網絡設備賬號的最小權限分配原則。

審計管理：4A 平臺將用戶的所有的登錄訪問、操作信息及命令等日志集中記錄管理和分析，這樣可以對用戶行為進行監控，以便于事后的安全事故責任的認定，方便未來堵住安全漏洞。

2.2 SDP安全模型的優點

2.2.1 架構優點-控制面與數據面分離

用戶接入訪問時不再直接連接到應用服務器，而是首先從IH用戶訪問入口發送信息到安全控制中心去進行驗證。安全控制中心驗證用戶權限合法之后才對應開放IH和AH之間的連接通道，并由AH代理進行其后端的業務系統訪問。

2.2.2 場景優點-解決云化服務安全邊界模糊的問題

SDP的天然優勢是可以實現邊界移動到和應用系統容器的邊緣，進行貼近化的防護，這是傳統安全硬件系統無法企及的優勢點。在如今云計算，移動互聯網等技術大量應用的環境下，SDP軟件定義邊界將模糊的邊界從防火墻處直接推進到客戶端和應用端，真正實現了從端-端的安全防護。

2.2.3 技術優點1-SPA技術實現被訪問對象隱身

SDP使用了SPA（單包授權）機制進行安全防護，所有對外TCP端口全部關閉，僅保留指定UDP端口接收報文，只有合法的用戶發出的正確報文才能通過初步認證，并由安全控制中心根據約定規則和AH可行安全代理建立連接，進行后續訪問動作。

2.2.4 技術優點2-動態訪問管控評估

通過屬性來感知用戶的訪問上下文行為，并動態調整用戶信任級別。這些屬性可以包括用戶身份，終端類型，設備屬性，接入方式、位置、時間等。并啟用動態的防護策略，例如可以實現：當用戶訪問的屬性出現變化時，根據系統的評分規則，可讓用戶保留低敏系統的訪問，但要訪問高敏業務時需進行二次認證或者進行阻斷。

2.3 4A和SDP配合結合方式探討

4A系統和SDP系統，各自有著以上能力優點。但是，現在使用4A或系統的單位，如尚未開始實施基于零信任身份認證改造，常會停留在以下狀態：（1）靜態規則和部分單點登錄對接;（2）采用某些認證技術，實現設備合規性和登錄信息的單一驗證;（3）相對薄弱的網絡設施，身份有泄露風險。

技術能力更強一些的一些單位則會做某些安全策略升級。例如：采取混合身份和優化的訪問策略，限制了不合法用戶對數據、應用程序和網絡的訪問。設備入網需要進行注冊，或將網絡進行分割形成各個不同的功能域，在邊界做防護加強等。

可以看到技術能力較強的單位的升級改造理念，其實也是零信任的一種摸索方向。下面將SDP作為一個能力補充工具來做結合方式以及能力提升的探討。

2.3.1 端側做訪問代理進行結合的方式

4A系統一般會放置于內網環境，因此可以將SDP作為不區分內外網的統一訪問入口。從外網訪問時，用戶首先登錄訪問SDP平臺，并由SDP平臺接入4A系統，4A系統和SDP平臺做單點對接，可以從SDP平臺方便的進入4A平臺進行訪問，這種方式對于B/S形態的4A系統較為友好，同時也支持C/S形態的4A系統訪問。在不需要對原有4A系統進行太多改動的情況下，將4A系統的認證服務器嚴密的保護到SDP的防護之下。

2.3.2 和4A原有的端側軟件集成SDK改造的方式

對于有端的C/S形態的4A系統，SDP可以和原有4A端側進行SDK（軟件開發工具包）集成，將SDP平臺至于4A之前，在SDP完成認證之前拒絕從端側的任何對4A服務器及后面的業務系統的所有訪問請求。完成SDP請求，確認為合法用戶后，再根據其權限開放指定端口允許進行訪問4A系統。此改造方式對于終端用戶較為友好，特別是SDK集成時同時做了SSO的對接后，終端用戶的登錄感知幾乎和改造之前沒有變化，降低推廣成本。

2.3.3 SDP的應用級日志分析能力和4A原有集中審計能力結合

SDP系統本身具備收集其上掛載系統的訪問數據，并進行審計的能力，該數據主要來源于第7層應用層的數據，相比于其他的日志收集來說可進行更加細粒度以及不同維度的分析，例如可以得出用戶訪問熱度，賬號訪問登錄錯誤次數等分析結果。而4A系統本身則具有更加強大的日志分析能力和更多層級的數據來進行對比，因此SDP系統通過預設接口，將收集的應用層日志提供給4A系統，并由4A系統進行綜合分析，對系統安全審計也會形成能力補充。

3 總結與展望

我們看到，如果將SDP和4A系統做有機結合，可以在登錄防護，抗DooS攻擊，還有安全審計等方面形成能力互補。未來的4A可能不僅結合零信任理念和能力，還有會結合AI等新技術，將訪問用戶的管理做到更加細致和安全。

參考文獻：

[1]嚴彬元. 4A統一安全管控平臺深化應用探討. 行業與應用安全.2017.12

[2]秦益飛、張英濤、張曉東. 零信任落地路徑研究. 信息安全與通信保密.2021.01

[3]劉凡、鐘榮鋒. 4A 技術在企業信息安全方面的應用研究. 長江信息通信.2021.01