SDP在組網中的實踐
在當下的網絡安全領域,SDP是一個火熱的話題。SDP(Software Defined Perimeter)即“軟件定義邊界”是由云安全聯盟開發的一種安全框架,基于零信任的概念,對于每個連接服務器的終端,都必須在連接前進行身份驗證和授權,確保所有訪問的可信性。由于全部訪問都需在確保可信的環境中進行,它可以確保企業的核心網絡資產隱藏在安全保護之下,不直接暴露在公網中,以避免核心數據資產受到安全威脅。
換句話來說,在SDP架構面前,每一個訪問者都是不可信的,只有在驗證后才會給予訪問者訪問相應服務器的“鑰匙”。如果我們把服務器比作“門”,那么,對于訪問者來說,如果沒有鑰匙,便找不到對應的門;即使拿著鑰匙,也只能打開鑰匙所對應的門。SDP將服務與不安全的網絡隔離開,有效改善了企業面臨的諸如容易被黑客通過釣魚軟件或木馬入侵企業、移動辦公等新型網絡訪問模式帶來的安全風險、傳統數據逐漸轉移上云的過程中面臨的威脅等等,協助企業實現安全過渡,使企業無懼在全面開展數字化建設的當下所面臨的諸多挑戰。
SDP的架構
在SDP中,傳統的企業邊界被打破,防火墻不再是企業唯一的邊界,內網也通過邏輯進行劃分;同樣,公有云和私有云之間也需要建立新的邊界。SDP適應軟件定義網絡架構,為云而生,尤其適應混合組網環境,與SD-WAN(軟件定義廣域網)結合,為企業組網賦予更深一層的安全防護能力。
基于自研SD-WAN云網絡服務平臺,整合SDP控制器與SDP主機的能力,結合SD-WAN虛擬云網關、中心節點與多終端客戶端的網絡組建與控制能力,將SDP控制器的能力與中心云網關結合,云網關提供基于零信任模型的應用保護,根據用戶進行具體的授權。同時,SDP客戶端適應多終端操作系統,可以在不同終端上統一展示用戶被授權訪問的全部應用。
SDP的架構體系包括:
- SDP客戶端:做為C/S型客戶端應用、B/S型Web應用提供統一的應用訪問入口,支持應用級別的訪問控制,支持跨內核控件調用、插件的安全管控,實現簡約、快速和安全的一體化。
- 安全網關:作為用戶授權訪問內部應用的入口,安全網關將外網用戶和內網資源隔離,過濾非法的訪問。
- SDP域控制器與策略服務器:提供網關設備的注冊,隱藏網關地址,避開惡意威脅源的掃描與非法行為。
- 認證服務器:實現用戶身份預驗證、預授權,對接企業內部第三方認證系統,客戶端的請求先經過認證服務器,得到認證授權再將結果返回給SDP域控制器。
SDP與組網結合的解決方案
在SDP的應用場景中,最常見的情況就是一個企業有一個總部和一個或多個地理上分散的分支機構,企業擁有的物理網絡(內網)無法把這些機構連接在一起。外部地區的員工在執行工作任務時需要訪問企業資源,可能是遠程辦公場景,或在企業外其他地區使用企業所有或個人擁有的設備進行訪問。由于SDP的架構天然適應SD-WAN的網絡架構,因此,依托自身的技術優勢,將SDP與SD-WAN組網結合的解決方案,為更多的企業提供零信任安全的網絡架構,受到越來越多客戶的青睞。
用戶可以通過不同終端向SDP控制器發送預授權請求,策略控制器依據預設策略進行判斷后,將認證結果返回SDP控制器,并由SDP控制器將訪問控制列表發給客戶端;之后,訪問權限內的云網關才收到認證請求。在確認認證信息無誤后,客戶端實現接入,完成訪問連接的建立。
在SDP與組網有機融合的過程中,SDP控制器依舊扮演解決方案中“大腦”的角色,對發起方進行動態的身份認證,并協助發起訪問請求的終端與目標服務器之間建立受信的安全訪問隧道。不得不提的是,這一通道的建立并非固定的,而是隨請求變化而隨時構建的、動態的訪問隧道,它將網絡中的各式潛在威脅進行有效屏蔽,構建更加安全的網絡邊界。
SDP實踐案例與成果
在某一金融行業單位的實踐中,用戶完成了業務系統和網絡等IT基礎架構的平滑升級,以適應業務快速發展的需求。
用戶的數據中心設置在兩個不同的省,并且使用了虛擬化技術,因此網絡邊界很難通過單一防火墻進行防護;同時,內部的服務器多處于不同的網段中,員工急需一種方案在平滑使用跨網段的應用;用戶希望能夠有效實現邊界防護,保障不同地點數據中心的安全性,并實現基于應用的訪問授權,保證用戶訪問應用過程中的安全防護。
基于客戶的需求,提供SDP控制器,復用企業內部原認證系統,實現對用戶的身份認證,建立可信的終端與安全網關之間的連接。用戶發起訪問請求后,兩個不同省數據中心內的授權應用同屏顯示,實現“所見即所用”。SDP接收主機貼近服務器放置,將企業的應用服務器隱藏,僅經過SDP認證服務器認證后的訪問才可以與服務器在授信區域進行數據交換。
下圖為SDP架構在客戶環境中部署的架構圖。認證通道和數據通道被有效的隔離,通過一臺客戶端即可訪問不同網段應用,實現了客戶的需求。
SDP案例實踐成果:
(1) SDP與組網結合幫助案例中的金融單位內部員工擴寬了辦公模式。從傳統的企業內部通過PC接入網絡進行辦公,擴展到可隨時隨地通過多移動終端進行安全辦公——這樣的轉換僅需建立安全訪問隧道即可,無需任何其他操作,且隧道可一鍵安全建立,減輕操作的復雜程度,提升效率;
(2) 金融單位內部的IT管理人員無需進行復雜的配置和管理,相比傳統的安全軟硬件部署的模式,SDP與組網結合可以協助企業內部IT管理人員顯著提升效率,并且幫助企業控制IT管理成本;
(3) 對不同的金融企業,或是企業內部的不同部門,他們都有不同的安全需求。SDP的理念是以用戶為中心,這套方案可以確保資源能夠根據用戶的需求進行靈活調配,并且確保所有與安全相關的操作都在云中執行,在基本無需額外維護的同時,確保網絡訪問更易于控制、更加靈活,完美地契合了正在數字化轉型中的大中型企業的需求。
總結
SDP與組網結合的改造,企業的終端客戶只要使用客戶端通過驗證,無需關注自己的權限歸屬,即可訪問授權范圍內的應用。企業的IT管理者不再為繁雜的認證規則所累,在保證安全的前提下,提高易用性、可維護性。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
