随着移动业务的快速扩张,物联网、车联网、智慧城市的不断发展,资产保护的安全边界越来越不清晰。越来越无能了。边界安全的主要问题如下:黑客可以很容易地劫持边界内的设备,从内部攻击企业应用。随着自带设备(BYOD)、外包人员、合作伙伴和周边设备不确定性的增加,安全漏洞继续增加。企业除了将业务资源部署在传统的数据中心外,也在向外部云资源扩展,如PaaS、IaaS、SaaS。因此,边界安全网络设备不能很好地拓扑保护企业应用基础设施。边界内部设备数量持续增长,移动终端、远程办公、企业业务同时部署在内网和公有云上。这种趋势破坏了企业使用的传统安全模型。因此,需要一种新的方法来为边界不明确的网络服务场景提供更好的安全保护。基于SDP(SoftwareDefinedPerimeter,软件定义边界)的保护架构,用软件定义边界,识别网络空间中的网元,通过身份定义访问边界,是实现零信任的重要途径。SDP旨在使应用程序所有者能够在需要时部署边界,以将业务和服务与不安全的网络隔离开来。可以说,SDP是在网络边界模糊和消失的趋势下,为业务资源提供的一种隐形斗篷,防止网络黑客看到目标并发起攻击。SDP体系结构图1SDP体系结构SDP体系结构如图1所示,主要由三个主要部分组成:SDP客户端、SDP控制器、SDP网关:?SDP客户端:C/S型客户端应用、B/S型Webapplications提供统一的应用访问入口,支持应用级访问控制。?SDP控制器:主要包括身份管理、PKI、信任评估、策略管理等组件。身份管理组件对用户和终端进行认证,并根据用户和应用程序的可信度生成动态权限;PKI公钥基础设施为用户颁发身份密钥;可信评估组件对用户和应用程序进行持续的可信评估;策略管理组件根据用户权限和策略规范生成用户访问权限,生成安全隧道策略,发送给客户端和网关。?SDP网关:对应用服务的隐藏保护。收到控制器下发的策略后,与客户端建立安全隧道,作为服务代理访问应用服务。SDP要求客户端在访问受保护的服务器之前首先进行身份验证和授权,然后在端点和应用程序基础设施之间建立实时加密的连接访问路径。SDP零信任的过程主要如下:1)SDP控制器服务上线并连接相应的认证授权服务,如PKI颁发证书认证服务、设备验证、geolocation、SAML、OpenID、oAuth、LDAP、Kerberos、身份验证等多因素服务;2)SDP客户端向控制器注册,控制器为客户端生成ID和一次性密码种子,用于单包认证(SPA);3)SDP客户端使用控制器生成的一次性密码密码种子和随机数生成一次性密码,进行单包认证。单包认证后,进行用户身份认证。认证通过后,控制器将身份令牌分发给客户端;4)SPA认证和用户身份认证通过后,SDP控制器确定SDP客户端可以连接的SDP网关列表;5)SDP控制器通知SDP网关接收来自SDP客户端的通信,以及加密通信所需的所有可选安全策略、访问权限列表;6)SDP客户端向每个可以接受连接的SDP网关发起单包授权,并与这些SDP网关建立双向加密连接,如TSL、IPsec等;7)SDP客户端的服务访问请求到达SDP网关后,网关提取用户身份token,根据token、要访问的服务以及用户的权限来确认用户是否有访问服务的权限;8)允许访问的服务请求被释放。SDP应用场景基于SDP的零信任架构可以保护各类业务免受基础网络攻击。以下是一些常见的应用场景。企业应用隔离对于涉及知识产权、财务信息、人力资源等仅在企业网络内部可用的数据集,攻击者可以通过入侵网络中的计算机获得内部网络的访问权限,然后横向移动到获得对有价值的信息资产的高访问权限,从而导致数据泄露。1)企业可以在数据中心内部署SDP,将高价值应用与数据中心内的其他应用以及跨网络的未授权用户隔离开来。2)未经授权的用户将无法检测到受保护的应用程序,这将减轻这些攻击所依赖的横向移动。私有云和公有云混合场景1)SDP将应用聚合到网关统一管控。2)对于私有云和公有云混合的应用场景,SDP可以对服务进行统一保护,实现用户无差异感。软件即服务(SaaS)1)软件即服务(SaaS)提供商可以使用SDP安全框架来保护他们提供的服务。在这个应用场景中,SaaS服务就是一个SDP网关,所有想要访问的用户都是SDP客户端。2)通过使用SDP架构,SaaS厂商在为全球互联网用户提供服务的同时,不再需要担心安全问题。基础设施即服务(IaaS)1)基础设施即服务(IaaS)提供商可以为客户提供SDP即服务作为受保护的入口。2)客户可以充分利用IaaS的灵活性和成本效益来减少各种潜在的攻击。平台即服务(PaaS)1)平台即服务(PaaS)提供商可以通过提供SDP架构作为服务的一部分来实现差异化。2)为最终用户提供可以减轻基于网络的攻击的嵌入式安全服务。与云桌面VDI结合使用1)虚拟桌面基础设施(VDI)可以部署在弹性云中,这样使用VDI就可以按小时付费。2)如果VDI用户需要访问公司内部服务器,VDI可能难以使用并且可能产生安全漏洞。如果VDI与SDP相结合,这两个问题都可以通过更简单的用户交互和细粒度的访问来解决。物联网(IoT)1)大量新设备正在连接到互联网。为了管理这些设备,从中提取信息,或两者兼而有之,后端应用程序是关键任务,因为它们充当私人或敏感数据的保管人。2)软件定义的边界可用于隐藏这些服务器及其在Internet上的交互,以最大限度地提高安全性和正常运行时间。SDP零信任的落地应用H3C融合电信级可信网关、安全接入终端、安全态势分析引擎的核心优势,真正构建了以安全接入为核心的SDP零信任解决方案。该方案主要由SDP客户端、SDP可信网关和SDP控制器组成。结合零信任研究实践,通过对用户的统一安全接入和动态权限管理,实现身份、终端和应用系统的安全可信。.目前支持两种模式,客户端模式和无客户端模式。客户端模式:客户端模式应用于安全级别较高的场景,需要在终端PC上安装客户端。客户端在进行业务接入前必须通过SPA认证才能进行后续的业务处理,该模式下可以对用户和终端进行实时风险评估,实现策略的动态调整。图2客户端模式?策略中心和网关默认关闭所有服务端口。?终端安装客户端插件后,需要对客户端进行注册,确保客户端可信(可控)。注册客户端获取身份ID和设备指纹(SPA种子)。?客户端在接入服务前,根据设备指纹和随机数,通过HOTP算法生成一次性密码,并进行SPA认证,确保设备可信。?SPA认证通过后,客户端到策略中心进行认证。认证通过后,策略中心向网关下发用户权限、用户Token、用户上线信息。?用户认证通过后,客户端向网关进行SPA认证。认证通过后,建立可信隧道进行业务访问。?策略中心对用户和终端进行实时风险评估,根据风险调整用户权限,并向网关发送动态权限和控制指令。Clientless模式:Terminalless模式适用于安全级别不高的场景。终端PC只需通过浏览器进行用户认证和业务接入即可。该模式不涉及风险评估功能和SPA认证。图3Clientless模式?策略中心和网关需要默认开放业务需要访问的端口。?用户访问服务时,如果没有用户token,网关会跳转到认证页面对用户进行多因素认证,认证通过后将用户token推送给用户。?用户认证通过后,将用户上网信息推送至网关,实时对用户风险、终端风险、资产风险进行安全评估,根据风险动态生成权限并发送至网关.?用户携带用户令牌访问服务,网关根据用户令牌识别用户并进行动态访问控制。
