零信任應用SDP技術應用場景與方案落地

呂蘊藉

基于軟件定義邊界（Software Defined Perimeter，SDP）是在網絡邊界模糊和消失趨勢下給業務資源提供的隱身衣，使網絡黑客看不到目標而無法發動攻擊。

隨著移動業務快速擴展，物聯網、車聯網、智慧城市的持續發展，資產防護的安全邊界越來越不清晰，傳統的邊界防護架構越來越顯得力不從心。邊界安全主要存在的問題有如下幾點：

黑客可以輕松劫持邊界內的設備并從內部攻擊企業

隨著自帶設備（BYOD）、外包人員、合作伙伴的增多，以及邊界內部設備不確定因素的增加，導致安全漏洞不斷增多。企業的業務資源除了部署在傳統數據中心，也在不斷向外部云資源擴展，如PaaS，IaaS，SaaS。因此，邊界安全網絡設備在拓撲上并不能很好地保護企業應用基礎設施。

邊界內部設備不斷增長，移動終端、遠程辦公、企業業務在內網和公有云同時部署，這樣的趨勢已經破壞了企業使用的傳統安全模型。因此需要一種新方法，能夠對邊界不清晰的網絡業務場景進行更好的安全保護。

SDP的防護架構，以軟件定義邊界，將網絡空間的網絡元素身份化，通過身份定義訪問邊界，是零信任落地實現的一種重要方式。SDP旨在使應用程序所有者能夠在需要時部署邊界，以便將業務和服務與不安全的網絡隔離開來。可以說，SDP是在網絡邊界模糊和消失趨勢下給業務資源提供的隱身衣，它使網絡黑客看不到目標而無法發動攻擊。

SDP架構

SDP架構主要由SDP客戶端、SDP控制器、SDP網關組成：

SDP客戶端：為C/S型客戶端應用、B/S型Web應用提供統一的應用訪問入口，支持應用級別的訪問控制。

SDP控制器：主要包含身份管理、PKI、可信評估、策略管理等組件。身份管理組件，對用戶和終端認證，基于用戶和應用的可信度生成動態權限；PKI公鑰基礎設施，為用戶頒發身份密鑰；可信評估組件，對用戶、應用進行持續可信評估；策略管理組件，根據用戶權限以及策略規范生成用戶訪問權限，生成安全隧道策略，并下發到客戶端和網關。

SDP網關：對應用業務進行隱藏保護。在接收到控制器下發的策略后，和客戶端建立安全隧道，并起到業務代理作用，訪問應用業務。

SDP要求客戶端在訪問被保護的服務器之前，首先進行認證和授權，然后在端點和應用基礎設施之間建立實時加密連接訪問通路。SDP零信任的流程主要如下：

SDP控制器服務上線，連接至適當的認證和授權服務，例如PKI頒發證書認證服務、設備驗證、地理定位、SAML、OpenID、oAuth、LDAP、Kerberos以及多因子身份驗證等服務；

SDP客戶端在控制器注冊，控制器為客戶端生成ID和一次性口令的種子，用于單包認證（SPA）；

SDP客戶端利用控制器生成的一次性口令種子和隨機數生成一次性口令，進行單包認證，單包認證后，進行用戶身份認證，認證通過后控制器為客戶端分發身份令牌；

在SPA認證、用戶身份認證通過后，SDP控制器確定SDP客戶端可以連接的SDP網關列表；

SDP控制器通知SDP網關接收來自SDP客戶端的通信，以及加密通信所需的所有可選安全策略、訪問權限列表；

SDP客戶端向每個可接受連接的SDP網關發起單包授權，并創建與這些SDP網關的雙向加密連接，例如TSL、IPsec等；

SDP客戶端的業務訪問請求到達SDP網關后，網關提取用戶身份令牌，根據令牌、要訪問的業務和用戶的權限確認用戶是否有權限訪問該業務；

允許訪問的業務請求予以放行。

SDP應用場景

基于SDP的零信任架構能夠保護各種類型的業務服務免受網絡基礎攻擊，以下是幾種比較常見的應用場景。

企業應用隔離

對于涉及知識產權、財務信息、人力資源的數據以及僅在企業網絡內可用的其他數據集，攻擊者可能通過入侵網絡中的一臺計算機，從而進入內部網絡，然后橫向移動獲得高價值信息資產的訪問權限，造成數據泄露。

企業可以在數據中心內部署SDP，以便將高價值應用程序與數據中心中的其他應用程序隔離開來，并將它們與整個網絡中的未授權用戶隔離開。

未經授權的用戶將無法檢測到受保護的應用程序，將減輕這些攻擊所依賴的橫向移動。

私有云和公有云混合場景

SDP將應用統一匯總到網關，進行統一的管控。對于私有云、公有云混合的應用場景，SDP可以對業務進行統一防護，實現用戶無差異感。

軟件即服務（SaaS）：供應商可以使用SDP安全架構來保護他們提供的服務。在這種應用場景下，SaaS服務就是一個SDP網關，而所有要訪問的用戶就是SDP客戶端。

通過使用SDP架構，SaaS廠商在將服務提供給全球互聯網用戶的同時不必再為安全問題擔憂。

基礎設施即服務（IaaS）供應商可以為客戶提供SDP即服務作為受保護的入口。

客戶可以充分利用IaaS的靈活性和性價比，減少各種潛在的攻擊。

平臺即服務（PaaS）：供應商可以通過將SDP架構作為服務的一部分來實現差異化。

為最終用戶提供了一種嵌入式安全服務，可以緩解基于網絡的攻擊。

與云桌面VDI聯合使用

虛擬桌面基礎架構（VDI）可以部署在彈性云中，這樣VDI的使用可以按小時支付。

如果VDI用戶需要訪問公司內部服務器，VDI可能難以使用，并且可能會產生安全漏洞。如果VDI與SDP相結合，就可以通過更簡單的用戶交互和細粒度訪問來解決這兩個問題。

大量的新設備正在連接到互聯網上。要管理這些設備或從這些設備中提取信息，亦或二者兼有，后端應用程序的任務很關鍵，因為要充當私有或敏感數據的保管人。

軟件定義邊界可以用于隱藏這些服務器及其在Internet上的交互，以最大限度提高安全性和正常運行時間。

SDP零信任的落地應用通過整合一體化電信級可信網關、安全準入終端和安全態勢分析引擎的核心優勢，例如新華三已實際構建以安全接入為核心的SDP零信任解決方案。方案主要由SDP客戶端、SDP可信網關、SDP控制器組成，結合對零信任的研究實踐，通過對用戶的統一安全接入及動態權限管理，實現了身份、終端、應用系統的安全可信。目前支持兩種模式，有客戶端模式和無客戶端模式。

客戶端模式

客戶端模式應用在安全級別較高的場景下，需要在終端PC安裝客戶端。客戶端在進行業務訪問前都要先通過SPA認證才能進行后續的業務處理，并且此模式下可以實時對用戶和終端進行風險評估，實現策略的動態調整。

策略中心和網關默認關閉所有服務端口。

終端安裝客戶端插件后，需要客戶端注冊，確保客戶端可信（可以對客戶端進行控制），注冊后的客戶端獲得身份ID、設備指紋（SPA種子）。

客戶端進行業務訪問前，根據設備指紋和隨機數，借助HOTP算法生成一次性口令，進行SPA認證，確保設備可信。

SPA認證通過后，客戶端到策略中心進行認證，認證通過后，策略中心下發用戶權限、用戶令牌，并把用戶上線信息下發到網關。

客戶端在用戶認證通過后，和網關進行SPA認證，認證通過后建立可信隧道，進行業務訪問。

策略中心實時進行用戶、終端的風險評估，根據風險調整用戶權限，并將動態權限、控制指令下發到網關。

無客戶端模式

無終端模式應用在安全級別要求不高的場景，終端PC只需要通過瀏覽器進行用戶認證和業務訪問，此模式不涉及風險評估功能和SPA認證。

策略中心、網關需要默認開啟業務需要訪問的端口。

用戶訪問業務時，如無用戶token，會被網關重定向到認證頁面，對用戶進行多因素認證，認證通過后為用戶推送用戶token。

用戶認證通過后，將用戶上線信息推送到網關，并對用戶風險、終端風險、資產風險進行實時安全評估，根據風險動態生成權限，下發到網關。

用戶攜帶用戶token訪問業務，網關根據用戶token識別用戶，進行動態訪問控制。