L君最近犯了愁,因為屢試不爽的銷售拜訪方式失效了。以前L君想要拜訪某位負責人,向門衛保安報備該園區里任何一位聯系人,便能進入園區辦公樓,從而接觸任何一個部門領導,并且能在園區內隨意走動。然而最近的保安系統升級,任何一次拜訪都會開通一條到被拜訪人辦公室的安全通道,在安全通道內接觸不到園區內任何其他的物品或人,連周邊環境也不可見。如果想同時順序拜訪兩位或以上領導,則需要在園區內通過被拜訪人之間的特殊信任關口進行訪問;如果30分鐘之內沒有任何交流,則安全通道關閉、退出園區,下次拜訪需再次到門衛認證并開啟新的安全通道。

在傳統網絡中,假如IT的防火墻或VPN可以類比升級前的門衛保安,被訪問人類比后端服務資產,銷售拜訪則對應了后端資產的訪問請求,如下圖所示。

黑客越過防火墻之后,就好比銷售“騙”過了門衛保安,便可以在內網中訪多種數據資產。而升級后的保安系統,則可以類比于零信任框架,通過Software Defined Perimeter(軟件定義邊界,即SDP)很好地解決了上述安全問題,做到“門衛保安不好‘騙’,被訪問人不可見”的防護效果。

下面我們一起探究零信任實現框架SDP是什么?

為什么安全?

有哪些關鍵技術和防護場景?

01

SDP是什么

Gartner在零信任網絡訪問市場指南報告中稱:“SDP是圍繞某個應用或一組應用創建的基于身份和上下文的邏輯訪問邊界。應用是隱藏的,無法被發現,并且通過信任代理限制一組指定實體訪問,在允許訪問之前,代理會驗證指定訪問者的身份,上下文和策略合規性,這個機制將應用資源從公共視野中消除,從而顯著減少攻擊面”。

SDP架構分為三個部分,即客戶端、控制器、網關:

SDP客戶端:通常是安裝在用戶終端上的一個軟件,功能包括設備驗證,和SDP網關建立隧道等

SDP控制器:可以充當客戶端和后端資產之間的信任協調人,對用戶請求進行身份驗證和授權驗證

SDP網關:負責授權對之前隱藏的未知資源訪問。狹義上SDP網關是和客戶端之間TLS連接的終點,向控制器確認客戶端是否可以訪問指定資源的,是否可以和應用系統建立連接。廣義上還包含東西向微服務之間的訪問。

02

SDP為什么安全

由RSA組織的四次SDP黑客大賽上,每次開賽前都會向黑客介紹SDP架構及以上三個組件。2014年第一次大賽持續了一周,超過一百萬次端口掃描,但從監控日志來看,沒有任何一個黑客成功連接到目標系統。第二次大賽進行了一個月左右,組織者特意提供了SDP各個組件的IP地址,作為攻擊目標。雖然來自104個國家的黑客發起了1100萬次攻擊,但還是沒有黑客挑戰成功。2015年第三次SDP黑客大賽上組織者降低難度,結果依舊與前兩次一樣。2016年第四次大賽主要驗證了SDP的高可用,承受住來自191個攻擊者的上百萬次攻擊,業務不中斷。

從下圖典型的SDP框架圖,SDP之所以安全,是因為控制器、客戶端、網關組成鐵三角架構。并采用SPA單包授權使得服務隱身、漏掃失效,mTLS雙向認證屏蔽了中間人攻擊。那么SDP關鍵技術有哪些,值得我們一起深入。

03

關鍵技術

SS(服務隱身)和SPA(單包授權認證)

網關后面的服務端口默認關閉,實現服務隱身。網關接收到了客戶端發出的SPA包,驗證合法之后,才會對這個客戶端的IP開放指定端口。但端口放行后,短時間內沒有操作自動關閉,下次訪問同樣的服務,放行端口動態變化。

mTLS(雙向認證)

網關和客戶端雙方都有證書驗證,確保通信雙方都能互信。并且在協商過程中采用加密技術,避免第三方攻擊。協商過程如下:

ABAC(基于屬性的訪問控制)

通過屬性來感知用戶的訪問上下文行為,并動態調整用戶信任級別。在實際實現中,這些屬性可以包括用戶身份,終端類型,設備屬性,接入方式,接入位置,接入時間等。值得一提的是不同于常見的將用戶通過某種方式關聯到權限的方式,ABAC則是通過動態計算一個或一組屬性來是否滿足某種條件來進行授權判斷。

RBAC(基于角色的權限控制)

每個用戶關聯一個或多個角色,每個角色關聯一個或多個權限,從而可以實現了非常靈活的權限管理,這樣用戶只能訪問具有權限的應用。

04

防護場景

場景一、安全加固(現網安全)

威脅分析:

◆現網安全接入網關設備通常采用旁路部署方式,邏輯上部署在用戶和被保護的服務器之間

◆網關到服務器之間使用明文傳輸,存在安全隱患

◆改造難,老舊業務系統沒有廠家維護;采用硬件網關的方式實現訪問鏈路的https協議成本較高;通過中間件的形式進行業務系統改造,對業務廠家的要求較高,易出現對接難、對接時間長的問題

解決方案:

●SDP網關貼近化部署,網關代替應用監聽業務服務端口,實現對所有訪問流量的訪問控制,有效屏蔽非授權用戶對內網應用系統的直接訪問等威脅

●采用國密算法,端到端全流程加密,規避最后100米的風險

場景二、應用零信任化(本地應用、云計算安全)

威脅分析:

◆應用服務端口暴露在網絡中,對內網可見

◆應用與應用、應用與微服務、微服務與微服務互相訪問,存在東西向滲透威脅

解決方案:

●應用端口默認關閉,即服務隱身,SDP網關負責開啟與關閉

●API網關以插件化的形式部署在應用服務器上,嚴格控制東西流量

場景三、遠程安全辦公(數字化轉型、物聯網等安全)

威脅分析:

◆供應鏈攻擊,供應鏈合作伙伴用戶淪為網絡釣魚攻擊的目標,從而滲入內網

◆“薅羊毛”攻擊,羊毛黨賺的是商家平臺的補貼差價,薅一次羊毛需要跑通6個環節:評估風險并找到適合下手的活動-獲取手機號-用手機號注冊帳號并通過平臺的認證-購買秒殺工具-操作薅羊毛-分羊毛。其主要防御點在于身份認證的策略

解決方案:

●SDP控制器對賬號和設備及生物識別進行多因子認證與授權(MFA),形成零信任動態防御體系

場景四、5G融合(5GC、MEC安全)

威脅分析:

◆5G將涉及海量已連接的設備,導致終端和用戶多樣化,威脅面擴大

◆MEC側開放數據接口濫用及漏掃,導致可用性降低

◆5GC與EPC融合的NSA時期,越權管理,惡意網絡功能注冊,導致機密性降低

解決方案:

●SDP網關與5GC和MEC深度融合,通過SDP控制器對5G身份安全技術要素(隱藏標識符、用戶唯一永久身份標志SUPI等)進行統一認證與管理

●MEC業務隱身,通過SDP網關統一入口,實現安全訪問

05

零信任展望

標準與規范:

零信任現在缺少安全標準和規范,以及對解決方案的評估機制,可以從國家層出臺相關政策,發起標準制定流程。

技術應用:

一方面,技術上需要深入研究與突破,魔高一尺道高一丈,需要不斷演進SDP架構;另一方面,技術與5G、AI、IOT等融合應用的解決方案實踐與成熟。

產業發展:

推進零信任架構與傳統架構之間的銜接,傳統安全廠商網絡安全產品與零信任架構的適配方案。

本文首發公眾號《權說安全》

免責聲明：市場有風險，選擇需謹慎!此文僅供參考，不作買賣依據。

關鍵詞：