在当前的网络安全领域,SDP是一个热门话题。SDP(SoftwareDefinedPerimeter)是云安全联盟开发的安全框架。基于零信任的理念,每个连接到服务器的终端在连接之前都必须经过身份验证和授权,以确保所有访问的可信性。由于所有访问都需要在可信环境中进行,可以保证企业核心网络资产隐藏在安全保护之下,不直接暴露在公网,避免核心数据资产受到安全威胁。也就是说,在SDP架构面前,每一个访问者都是不可信任的,只有经过验证,访问者才会得到访问相应服务器的“钥匙”。如果我们把服务器比作一扇“门”,那么,对于访问者来说,如果没有钥匙,就找不到对应的门;就算他有钥匙,也只能打开钥匙对应的门。SDP将业务与不安全网络隔离,有效改善企业面临的安全风险,如黑客通过钓鱼软件或木马、移动办公等新型网络接入方式容易被黑客入侵,以及传统数据逐步迁移到网络的过程云端。过程中面临的威胁等,协助企业实现安全转型,让企业无惧当前数字化建设面临的诸多挑战。SDP架构在SDP中,传统的企业边界被打破,防火墙不再是企业的唯一边界,内网也进行了逻辑划分;同样,需要在公共云和私有云之间建立新的边界。SDP适配软件定义网络架构,为云而生,尤其适用于混合组网环境。结合SD-WAN(软件定义广域网),为企业网络提供更深层次的安全防护能力。基于自主研发的SD-WAN云网络服务平台,融合了SDP控制器和SDP主机的能力,结合了SD-WAN虚拟云网关、中心节点、多节点的网络建立和控制能力。终端客户端将SDP控制器的能力与中心和云网关相结合,云网关基于零信任模型提供应用保护,并根据用户进行特定的授权。同时,SDP客户端适配多终端操作系统,可以在不同终端上统一展示用户被授权访问的所有应用。SDP的架构包括:SDP客户端:作为C/S客户端应用和B/SWeb应用,提供统一的应用访问入口,支持应用级访问控制,支持跨内核控制调用,插件化安全控制,实现简单、快速、安全的一体化。安全网关:作为用??户授权访问内部应用的入口,隔离外网用户与内网资源,过滤非法访问。SDP域控制器和策略服务器:提供网关设备的注册,隐藏网关地址,避免扫描恶意威胁源和非法活动。认证服务器:实现用户身份预认证和预授权,对接企业内部的第三方认证系统。客户端的请求首先通过认证服务器,获得认证授权,然后将结果返回给SDP域控制器。SDP与网络相结合的解决方案在SDP的应用场景中,最常见的情况是一个企业有一个总部和一个或多个地理位置分散的分支机构,而企业拥有的物理网络(内网)无法将这些连接在一起的机构连接起来。外地员工在执行工作任务时需要访问企业资源,可能是远程办公场景,也可能是使用企业外其他区域的企业自有或个人自有设备访问。由于SDP的架构天然适配SD-WAN的网络架构,依托自身的技术优势,SDP与SD-WAN组网相结合的解决方案为更多企业提供零信任、安全的网络架构,越来越受欢迎.更受顾客的青睐。用户可以通过不同的终端向SDP控制器发送预授权请求,策略控制器根据预设策略判断后将认证结果返回给SDP控制器,SDP控制器将访问控制列表发送给客户端;之后,访问权限内的云网关才会收到认证请求。客户端确认认证信息无误后,实现访问,完成访问连接的建立。在SDP与组网有机结合的过程中,SDP控制器在解决方案中仍然扮演着“大脑”的角色,对发起方进行动态身份认证,协助发起接入请求的终端与终端之间建立可信安全。目标服务器访问隧道。不得不提的是,这条通道的建立并不是固定不变的,而是随着请求的变化随时构建的动态接入隧道,有效屏蔽了网络中的各种潜在威胁,构建了更加安全的网络边界。SDP实践案例及成果在某金融行业单位实践中,用户完成业务系统、网络等IT基础设施的平滑升级,满足业务快速发展的需求。用户数据中心设置在两个不同省份,采用虚拟化技术,难以通过单一防火墙保护网络边界;同时,大部分内部服务器都在不同的网段,员工迫切需要一种解决方案来平滑地跨网段使用应用程序;用户希望有效实施边界防护,保障异地数据中心的安全,实现基于应用的访问授权,确保用户访问应用过程中的安全保护。基于客户的需求,提供SDP控制器,复用企业内部原有的认证系统,实现对用户的身份认证,建立终端与安全网关之间的可靠连接。用户发起接入请求后,同屏展示两个不同省份数据中心的授权应用,实现“所见即用”。SDP接收主机靠近服务器放置,隐藏了企业的应用服务器,只有经过SDP认证服务器认证的访问才能与信任区内的服务器进行数据交换。下图是部署在客户环境的SDP架构的架构图。认证通道和数据通道有效隔离,不同网段的应用可以通过一个客户端访问,满足了客户的需求。SDP案例实践成果:(1)SDP与网络相结合,帮助案例中金融单位内部员工拓展了办公模式。从传统的企业通过PC接入网络办公,可以扩展为随时随地通过多个移动终端进行安全办公——这样的改造只需要建立一个安全的接入隧道,无需任何其他操作,隧道可以一键建立,降低操作复杂度,提高效率;(2)金融机构的IT管理人员无需进行复杂的配置和管理。与传统的安全软硬件部署模式相比,SDP与网络的结合可以协助内部管理者显着提高效率,帮助企业控制IT管理成本;(3)不同的财务公司或公司内部的不同部门有不同的安全要求。SDP的概念是以用户为中心的。该方案可以保证资源可以根据用户需求灵活分配,保证所有与安全相关的操作都在云端进行。在基本不需要额外维护的同时,保证网络访问更高效。更易掌控,更灵活,完美贴合大中型企业数字化转型需求。总结一下SDP和网络结合的改造,企业的终端客户只要使用客户端通过认证就可以访问授权范围内的应用,不需要关注归属地自己的权利。企业IT管理者不再为繁杂的认证规则所累,在保证安全的前提下提高易用性和可维护性。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
