零信任應用實踐:SDP技術應用場景與方案落地

語言: CN / TW / HK

隨著移動業務快速擴充套件,物聯網、車聯網、智慧城市的持續發展,資產防護的安全邊界越來越不清晰,傳統的邊界防護架構越來越顯得力不從心。邊界安全主要存在的問題有如下幾點:

• 黑客可以輕鬆劫持邊界內的裝置並從內部攻擊企業應用。

• 隨著自帶裝置(BYOD)、外包人員、合作伙伴的增多,以及邊界內部裝置不確定因素的增加,導致安全漏洞不斷增多。

• 企業的業務資源除了部署在傳統資料中心,也在不斷向外部雲資源擴充套件, 如PaaS,IaaS和 SaaS。因此,邊界安全網路裝置在拓撲上並不能很好地保護企業應用基礎設施。

邊界內部裝置不斷增長,移動終端、遠端辦公、企業業務在內網和公有云同時部署,這樣的趨勢已經破壞了企業使用的傳統安全模型。因此需要一種新方法,能夠對邊界不清晰的網路業務場景進行更好的安全保護。

基於SDP(Software Defined Perimeter,軟體定義邊界)的防護架構,以軟體定義邊界,將網路空間的網路元素身份化,通過身份定義訪問邊界,是零信任落地實現的一種重要方式。SDP旨在使應用程式所有者能夠在需要時部署邊界,以便將業務和服務與不安全的網路隔離開來。

可以說,SDP是在網路邊界模糊和消失趨勢下給業務資源提供的隱身衣,它使網路黑客看不到目標而無法發動攻擊。

SDP架構

圖1 SDP架構

SDP架構如圖1所示,主要由SDP客戶端、SDP控制器、SDP閘道器三個主要部分組成:

• SDP客戶端:為C/S型客戶端應用、B/S型Web應用提供統一的應用訪問入口,支援應用級別的訪問控制。

• SDP控制器:主要包含身份管理、PKI、可信評估、策略管理等元件。身份管理元件,對使用者和終端認證,基於使用者和應用的可信度生成動態許可權;PKI公鑰基礎設施,為使用者頒發身份金鑰;可信評估元件,對使用者、應用進行持續可信評估;策略管理元件,根據使用者許可權以及策略規範生成使用者訪問許可權,生成安全隧道策略,並下發到客戶端和閘道器。

• SDP閘道器:對應用業務進行隱藏保護。在接收到控制器下發的策略後,和客戶端建立安全隧道,並起到業務代理作用,訪問應用業務。

SDP要求客戶端在訪問被保護的伺服器之前,首先進行認證和授權,然後在端點和應用基礎設施之間建立實時加密連線訪問通路。SDP零信任的流程主要如下:

1)  SDP 控制器服務上線,連線至適當的認證和授權服務,例如PKI頒發證書認證服務、裝置驗證、地理定位、SAML、OpenID、oAuth、LDAP、Kerberos、多因子身份驗證等服務;

2)  SDP客戶端在控制器註冊,控制器為客戶端生成ID和一次性口令的種子,用於單包認證(SPA);

3)  SDP客戶端利用控制器生成的一次性口令種子和隨機數生成一次性口令,進行單包認證,單包認證後,進行使用者身份認證,認證通過後控制器為客戶端分發身份令牌;

4)  在SPA認證、使用者身份認證通過後,SDP控制器確定SDP客戶端可以連線的SDP閘道器列表;

5)  SDP控制器通知SDP閘道器接收來自SDP客戶端的通訊,以及加密通訊所需的所有可選安全策略、訪問許可權列表;

6)  SDP客戶端向每個可接受連線的SDP閘道器發起單包授權,並建立與這些SDP閘道器的雙向加密連線,例如TSL、IPsec等;

7)  SDP客戶端的業務訪問請求到達SDP閘道器後,閘道器提取使用者身份令牌,根據令牌、要訪問的業務和使用者的許可權確認使用者是否有許可權訪問該業務;

8)  允許訪問的業務請求予以放行。

SDP 應用場景

基於SDP的零信任架構能夠保護各種型別的業務服務免受網路基礎攻擊,以下是幾種比較常見的應用場景。

企業應用隔離

對於涉及智慧財產權、財務資訊、人力資源的資料,以及僅在企業網路內可用的其他資料集,攻擊者可能通過入侵網路中的一臺計算機,從而進入內部網路,然後橫向移動獲得高價值資訊資產的訪問許可權,造成資料洩露。

1) 企業可以在資料中心內部署SDP,以便將高價值應用程式與資料中心中的其他應用程式隔離開來,並將它們與整個網路中的未授權使用者隔離開。

2) 未經授權的使用者將無法檢測到受保護的應用程式,這將減輕這些攻擊所依賴的橫向移動。

私有云和公有云混合場景

1) SDP將應用統一彙總到閘道器,進行統一的管控。

2) 對於私有云、公有云混合的應用場景, SDP可以對業務進行統一防護,實現使用者無差異感。

軟體即服務(SaaS)

1) 軟體即服務(SaaS)供應商可以使用 SDP 安全架構來保護他們提供的服務。在這種應用場景下,SaaS 服務就是一個SDP閘道器,而所有要訪問的使用者就是SDP客戶端。

2) 通過使用SDP架構,SaaS 廠商在將服務提供給全球網際網路使用者的同時不必再為安全問題擔憂。

基礎設施即服務(IaaS)

1) 基礎設施即服務(IaaS)供應商可以為客戶提供 SDP 即服務作為受保護的入口。

2) 客戶可以充分利用 IaaS的靈活性和價效比,減少各種潛在的攻擊。

平臺即服務(PaaS)

1) 平臺即服務(PaaS)供應商可以通過將 SDP 架構作為服務的一部分來實現差異化。

2) 為終端使用者提供了一種嵌入式安全服務,可以緩解基於網路的攻擊。

與雲桌面VDI聯合使用

1) 虛擬桌面基礎架構(VDI)可以部署在彈性雲中,這樣VDI的使用可以按小時支付。

2) 如果VDI使用者需要訪問公司內部伺服器,VDI可能難以使用,並且可能會產生安全漏洞。如果VDI與SDP相結合,就可以通過更簡單的使用者互動和細粒度訪問來解決這兩個問題。

物聯網(IoT)

1) 大量的新裝置正在連線到網際網路上。要管理這些裝置或從這些裝置中提取資訊,亦或兩者兼有,後端應用程式的任務很關鍵,因為要充當私有或敏感資料的保管人。

2) 軟體定義邊界可以用於隱藏這些伺服器及其在 Internet上的互動,以最大限度提高安全性和正常執行時間。

SDP零信任的落地應用

通過整合一體化電信級可信閘道器、安全准入終端和安全態勢分析引擎的核心優勢,新華三已實際構建以安全接入為核心的SDP零信任解決方案。方案主要由SDP客戶端、SDP可信閘道器、SDP控制器組成,結合對零信任的研究實踐,通過對使用者的統一安全接入及動態許可權管理,實現了身份、終端、應用系統的安全可信。目前支援兩種模式,有客戶端模式和無客戶端模式。

客戶端模式:

客戶端模式應用在安全級別較高的場景下,需要在終端PC安裝客戶端。客戶端在進行業務訪問前都要先通過SPA認證才能進行後續的業務處理,並且此模式下可以實時對使用者和終端進行風險評估,實現策略的動態調整。

圖2 客戶端模式

• 策略中心和閘道器預設關閉所有服務埠。

• 終端安裝客戶端外掛後,需要客戶端註冊,確保客戶端可信(可以對客戶端進行控制)。註冊後的客戶端獲得身份ID、裝置指紋(SPA種子)。

• 客戶端進行業務訪問前,根據裝置指紋和隨機數,藉助HOTP演算法生成一次性口令,進行SPA認證,確保裝置可信。

• SPA認證通過後,客戶端到策略中心進行認證,認證通過後,策略中心下發使用者許可權、使用者令牌,並把使用者上線資訊下發到閘道器。

• 客戶端在使用者認證通過後,和閘道器進行SPA認證,認證通過後建立可信隧道,進行業務訪問。

• 策略中心實時進行使用者、終端的風險評估,根據風險調整使用者許可權,並將動態許可權、控制指令下發到閘道器。

無客戶端模式:

無終端模式應用在安全級別要求不高的場景,終端PC只需要通過瀏覽器進行使用者認證和業務訪問,此模式不涉及風險評估功能和SPA認證。

圖3 無客戶端模式

• 策略中心、閘道器需要預設開啟業務需要訪問的埠。

• 使用者訪問業務時,如無使用者token,會被閘道器重定向到認證頁面,對使用者進行多因素認證,認證通過後為使用者推送使用者token。

• 使用者認證通過後,將使用者上線資訊推送到閘道器,並對使用者風險、終端風險、資產風險進行實時安全評估,根據風險動態生成許可權,下發到閘道器。

• 使用者攜帶使用者token訪問業務,閘道器根據使用者token識別使用者,進行動態訪問控制。