软件定义边界SDP:概念、技术及应用研究综述
2021-04-09潘吴斌任国强
潘吴斌,任国强
(江苏天创科技有限公司,江苏 苏州 215000)
0 引言
随着云、移动化、IoT等新技术的快速发展,业务系统上云、远程办公成为信息化发展的必然趋势。使得网络边界越来越不清晰,让企业数据不再局限在墙内,也有更多的技术手段可以轻易突破网络边界,新的网络攻击也随之增加,如上因素逐渐导致传统安全手段形同虚设,网络安全不再止于边界安全,IT架构正在从“有边界”向“无边界”转变。边界安全模型所依赖的关键假设不再成立,谷歌也证明了这种观念是错误的,应该认为企业内网与公网一样充满危险,并基于这种假设构建企业的网络安全体系。
本文阐述了SDP相关概念、特征及主要关键技术;重点讨论了SDP产品,分析比较代表性的SDP产品;分析了SDP的挑战及机遇;最后,总结全文并展望未来研究。
1 软件定义边界SDP
SDP产品所参考的规范是国际云安全联盟CSA提出的SDP(软件定义边界)模型,该安全模型已经在国外有比较多的成功案例并发展迅速,在RSA Conference上已经连续4年悬赏破解但至今无人成功。国外产商目前普遍使用云端代理服务器或者客户端代理服务器方式来实现,而SDP产品的创新在于直接把SDP隐身技术做进浏览器内核里面,避免中间过程数据被盗。SDP以预认证和预授权作为它的两个基本支柱。通过在单数据包到达目标服务器之前对用户和设备进行身份验证和授权,SDP可以在网络层上执行最小权限原则,可以显著地缩小攻击面。
1.1 SDP架构及工作流程
软件定义边界(SDP)架构由客户端、管控平台、应用网关3个主要组件组成,如图1所示。SDP客户端用来做各种的身份验证,包括硬件身份,软件身份,生物身份等。SDP管控平台用来对所有的SDP客户端进行管理,制定安全策略。SDP管控平台还可以与企业已有的身份管理系统对接。SDP网关对所有业务系统访问进行验证和过滤。
SDP工作流程如图1所示:SDP客户端用SPA技术向管控平台发送访问请求。SDP管控平台验证用户信息,返回授权、网关信息、策略信息;同时,SDP管控平台将用户信息、策略信息发给网关。SDP客户端用SPA技术带着授权向网关发送访问请求。网关检查从SDP管控平台获取的安全策略,验证客户端授权,建立双向加密链接。SDP管控平台会随时监控连接是否符合安全策略,即时调整。
图1 软件定义边界(SDP)架构
1.2 SDP关键技术
SDP产品在TCP/IP数据通信的各层都进行授权控制,防止非法数据进入,不再惧怕IP对外开放,不再惧怕多端口对外开放。
(1)网络层:网关默认deny all一切IP访问,只有SDP客户端经过SPA授权后,才会针对客户端开放访问通道;此外通过SDP独有的私有DNS功能,实现域名内部解析,无需将域名暴露在公网,实现IP地址网络隐身。
(2)传输层:默认端口deny all一些连接请求,通过SPA动态端口授权技术,动态授权SDP客户端进行端口访问,非法连接无法进入,让开放端口不再是企业的安全隐患,开放再多端口也不怕。
(3)安全传输层:SDP客户端与网关之间采用SSL加密通信技术,防止通信数据被非法人员监听、篡改或破坏。
(4)应用层:网关对进入的每一个http请求进行HMAC动态验证,防止非法http数据以及非授权http数据通过,最大化保障企业业务系统安全访问。
1.2.1 SPA与动态端口
SDP客户端与网关通信会用到SPA技术。SDP的网关默认“拒绝一切”连接,只会接收SDP客户端发来的第一个带身份信息的包。网关验证通过后,才会允许SDP客户端建立连接。SPA和动态端口技术保证了黑客看不到网关开放的端口,无法对网关进行扫描。而且,黑客看不到服务器的内容,也就看不到攻破服务器的价值,减小了黑客进攻的意愿。
企业在外网开放TCP端口时总是谨小慎微,担心被恶意黑客进行诸如TCPSYNflood、端口扫描等攻击。通过SDP产品的SPA敲门技术,对网关开放的每一个端口进行授权控制,每一个客户端的TCP端口连接都会先经过SPA授权验证,验证通过后才可访问,不需要担心开放大量端口,让开放端口数量变得跟安全无关。
1.2.2 私有DNS
私有DNS功能可以隐藏业务系统的DNS、IP信息,用户可以不在外网做DNS解析,只需在SDP管控平台设置业务系统的域名与IP的对应关系。用户在登录SDP客户端时,从SDP管控平台获取业务系统的IP,进而访问业务系统。因为业务系统的DNS、IP没有暴露在互联网上,所以黑客无从发起网络攻击。
1.2.3 细粒度访问控制
因为SDP架构中包含了客户端,所以可以做到传统产品很难做到的终端安全管控,实现更细粒度的安全控制。根据最小权限原则的细粒度访问控制策略,SDP只允许应用级访问,不暴露内网。即使员工电脑上被安装了恶意软件也无法扫描、窃取内网上的资源。并按需授权,管理员可以在后台合理限制用户可以访问哪些应用。例如,只允许财务部的员工访问财务系统,不允许访问HR系统。越权访问会被网关拦截。这样,就避免了用户过度授权,大大减少攻击面,也减少了员工泄密的可能。除了应用的维度之外,还可以对用户的访问位置、访问时间等维度进行限制。
1.2.4 访问安全及身份认证
SDP产品符合零信任(Zero-Trust)安全访问模型,符合零信任网络安全理念:不自动信任网络的安全性(内网≠可信);对任何接入系统的人和设备都进行验证;每次访问都要进行身份验证和行为审计。
SDP可以对用户身份进行管理,保证用户身份和设备的合法性,包括:创建账户体系,或从现有身份管理系统如AD域、OpenLDAP、CAS等同步账户和组织架构信息。通过SDP客户端设备绑定功能,确保用户在正确的设备上使用正确的账号登录,同时可以对账户的登录时间、登录地点及IP地址进行严格控制,以防止非法人员非法接入业务系统。
SDP管控平台可以远程清除用户设备上的账号信息及使用痕迹。有效保障企业员工认证信息泄漏、设备遗失等异常情况下企业数据安全。实时的清除设备数据,即使该设备正在登录,也可以令用户立即退出。移动端浏览器还可以设置指纹、人脸识别、手机短信等多因子认证方式,保障身份安全。
1.2.5 行为审计与态势感知
SDP客户端对用户行为操作进行审计记录,如网页访问时间、网页内容复制、网页打印或者保存、文件下载等。同时,客户端将审计信息上传至SDP管控平台,通过平台态势感知模块对信息进行大数据分析并动态展示。网关对用户的非法访问请求进行拦截并记录,同时对用户的访问次数以及应用的请求次数进行记录,并将所有信息传送至SDP安全大脑平台,通过平台态势感知模块对大量数据进行统计分析,形成可视化数据。
SDP管控平台可以汇聚各个网关以及所有SDP客户端发送过来的日志及审计信息,对汇聚信息进行大数据智能统计分析,以满足企业运维及安全需求。安全态势感知平台汇聚数据,统计并展示实时活跃用户、系统激活用户及设备数量、当前在线用户数、用户访问次数以及拦截访问次数,协助运维人员快速了解员工访问情况。安全态势感知平台从多个维度对用户访问数据进行统计分析,展示企业业务应用访问排名,帮助运维了解业务系统访问及运营情况,展示企业用户访问频率排名帮助企业管理者了解员工工作情况,展示网关拦截的非法请求数量帮助运维人员核查异常用户访问情况,及时发现企业内部风险。
1.3 产品对比
VPN很好地为远程用户提供对VLAN或网段的安全访问,就好像它们实际存在于企业网络上一样。这种技术,特别是当与多因素认证相结合时,对于具有传统边界的企业以及静态用户和服务器资源来说效果很好。但是正如Gartner所说,DMZ和传统VPN是为20世纪90年代的网络设计的,已经过时,因为它们缺乏保护数字业务所需的敏捷性。
VPN有两个缺点,使得它们不适合当今的需要。首先,它们对所分配的网络提供非常粗粒度的访问控制,要么全部都可以访问,那么不能访问。尝试配置VPN以为不同用户提供不同级别的访问是不现实的。
第二,即使公司对VPN提供的控制级别感到满意,VPN也是一种只能控制远程用户的孤立解决方案。它们不会帮助保护内部用户,这意味着组织需要一组完全不同的技术和策略来控制内部部署用户的访问。这将使协调和对准这两个解决方案所需的工作量增加一倍以上。
Gartner指出:到2021年,60%的企业将逐步淘汰VPN使用软件定义边界SDP。从网络安全、数据安全等方面对主流SDP产品进行对比,结果如表1所示。
表1 SDP产品对比
2 SDP机遇与挑战
2.1 SDP机遇
传统的网络安全仅基于IP地址,根本不考虑用户,而SDP策略是基于用户的,它要求任何访问之前都需要对用户和设备进行验证,允许企业根据用户属性创建访问策略,执行最小特权原则,更细粒度的访问控制。通过利用目录组成员身份,IAM分配的属性,角色等,公司可以以某种方式定义和控制对云资源的访问,这对公司业务,安全和合规性很有意义。
在身份管理方面,SDP和IAM可以互补。SDP可以利用已经部署的IAM系统进行认证,加速SDP开发。另外,SDP实现可以使用用户的IAM属性作为SDP策略的元素,如目录组成员身份,目录属性或角色。SDP系统也可以包括在由IAM系统管理的身份生命周期中。如SDP管控平台信任第三方IAM系统用于用户身份认证和用户身份生命周期管理。因此,当第三方用户在其IAM系统处停用时,用户将自动无法访问受SDP保护的资源,因为他们无法再通过联合身份验证。
SDP的预认证和预授权作为两项基本技术。在认证和授权之前不会有任何数据包到达服务器,从而可以使云资源对未授权用户完全不可见。这完全消除了许多攻击向量,包括暴力攻击,洪水攻击,以及基于TLS漏洞的攻击,如Heartbleed和Poodle。
由于AH记录日志和控制所有IH的网络流量,所以SDP可以提供详细的对每个用户访问的可见性,所以SDP能够根据这些信息自动提供合规性报告。
SDP可以帮助企业降低成本。首先,减少IT任务工作量,减少雇用额外工作人员的需要。第二,精简合规性将减少准备和执行审计所需的时间和精力。最后,SDP作为其他技术(例如NAC)的替代还可以帮助企业节省资金。
2.2 SDP潜在的挑战
尽管SDP给出了零信任条件下、满足现代企业数据保护需求的访问控制模型,但从框架到落地实现还涉及到许多技术问题及资源整合;同时,即使在此完成基础上,SDP自身仍有一些能力缺陷。
SDP方法的最大挑战之一是带外控制器,当初始认证请求完成后,认证的信息不会停留在实际的数据路径中。如果同一用户感染了恶意软件,它可以很容易地通过开放端口传播到其他应用程序。
无论是物理的还是逻辑的安全域总是有既定边界,而对于某些开放业务、包括一些实际需求往往不得不违背信息流安全策略,即高安全域内的敏感数据需要流向低安全域,这是SDP本身无法解决的。例如,假设存在内、外两个不同等级的安全域:银行向监管机构上报数据相当于从内网流向外网;供应链上下游厂家给平台提交数据也是从内部流向外部。其实无论是组织内外都大量存在类似的案例。因此,即使有安全边界但所谓泄漏通道在现实场景中也是必须考虑的。
SDP面临的另一类挑战是难以解决横向攻击。理论上,SDP通过隐藏网络资源,侧重规划安全策略的实施空间和范围,减小攻击面,但没有落地安全策略的实施机制。因此,无论是某个终端还是服务器第一时间被攻破后,攻击很可能转移至其他设备或应用,即横向攻击。
3 结束语
SDP技术有望解决许多安全挑战。通过SPA技术只向合法用户开放指定端口,屏蔽绝大多数网络攻击。采用双向认证及加密技术杜绝中间人攻击。SDP不止验证用户身份,还要验证用户设备,保证连接都是来自合法设备,同时用户只能访问有授权的应用。这符合“最小化授权”原则,保证威胁无法横向蔓延。SDP技术作为一种新的网络安全模型,能满足很多场景可靠的安全访问需求。