L君最近犯了愁,因為屢試不爽的銷售拜訪方式失效了。以前L君想要拜訪某位負(fù)責(zé)人,向門衛(wèi)保安報備該園區(qū)里任何一位聯(lián)系人,便能進(jìn)入園區(qū)辦公樓,從而接觸任何一個部門領(lǐng)導(dǎo),并且能在園區(qū)內(nèi)隨意走動。然而最近的保安系統(tǒng)升級,任何一次拜訪都會開通一條到被拜訪人辦公室的安全通道,在安全通道內(nèi)接觸不到園區(qū)內(nèi)任何其他的物品或人,連周邊環(huán)境也不可見。如果想同時順序拜訪兩位或以上領(lǐng)導(dǎo),則需要在園區(qū)內(nèi)通過被拜訪人之間的特殊信任關(guān)口進(jìn)行訪問;如果30分鐘之內(nèi)沒有任何交流,則安全通道關(guān)閉、退出園區(qū),下次拜訪需再次到門衛(wèi)認(rèn)證并開啟新的安全通道。
在傳統(tǒng)網(wǎng)絡(luò)中,假如IT的防火墻或VPN可以類比升級前的門衛(wèi)保安,被訪問人類比后端服務(wù)資產(chǎn),銷售拜訪則對應(yīng)了后端資產(chǎn)的訪問請求,如下圖所示。
黑客越過防火墻之后,就好比銷售“騙”過了門衛(wèi)保安,便可以在內(nèi)網(wǎng)中訪多種數(shù)據(jù)資產(chǎn)。而升級后的保安系統(tǒng),則可以類比于零信任框架,通過Software Defined Perimeter(軟件定義邊界,即SDP)很好地解決了上述安全問題,做到“門衛(wèi)保安不好‘騙’,被訪問人不可見”的防護(hù)效果。
下面我們一起探究零信任實現(xiàn)框架SDP是什么?
為什么安全?
有哪些關(guān)鍵技術(shù)和防護(hù)場景?
01
SDP是什么
Gartner在零信任網(wǎng)絡(luò)訪問市場指南報告中稱:“SDP是圍繞某個應(yīng)用或一組應(yīng)用創(chuàng)建的基于身份和上下文的邏輯訪問邊界。應(yīng)用是隱藏的,無法被發(fā)現(xiàn),并且通過信任代理限制一組指定實體訪問,在允許訪問之前,代理會驗證指定訪問者的身份,上下文和策略合規(guī)性,這個機(jī)制將應(yīng)用資源從公共視野中消除,從而顯著減少攻擊面”。
SDP架構(gòu)分為三個部分,即客戶端、控制器、網(wǎng)關(guān):
SDP客戶端:通常是安裝在用戶終端上的一個軟件,功能包括設(shè)備驗證,和SDP網(wǎng)關(guān)建立隧道等
SDP控制器:可以充當(dāng)客戶端和后端資產(chǎn)之間的信任協(xié)調(diào)人,對用戶請求進(jìn)行身份驗證和授權(quán)驗證
SDP網(wǎng)關(guān):負(fù)責(zé)授權(quán)對之前隱藏的未知資源訪問。狹義上SDP網(wǎng)關(guān)是和客戶端之間TLS連接的終點,向控制器確認(rèn)客戶端是否可以訪問指定資源的,是否可以和應(yīng)用系統(tǒng)建立連接。廣義上還包含東西向微服務(wù)之間的訪問。
02
SDP為什么安全
由RSA組織的四次SDP黑客大賽上,每次開賽前都會向黑客介紹SDP架構(gòu)及以上三個組件。2014年第一次大賽持續(xù)了一周,超過一百萬次端口掃描,但從監(jiān)控日志來看,沒有任何一個黑客成功連接到目標(biāo)系統(tǒng)。第二次大賽進(jìn)行了一個月左右,組織者特意提供了SDP各個組件的IP地址,作為攻擊目標(biāo)。雖然來自104個國家的黑客發(fā)起了1100萬次攻擊,但還是沒有黑客挑戰(zhàn)成功。2015年第三次SDP黑客大賽上組織者降低難度,結(jié)果依舊與前兩次一樣。2016年第四次大賽主要驗證了SDP的高可用,承受住來自191個攻擊者的上百萬次攻擊,業(yè)務(wù)不中斷。
從下圖典型的SDP框架圖,SDP之所以安全,是因為控制器、客戶端、網(wǎng)關(guān)組成鐵三角架構(gòu)。并采用SPA單包授權(quán)使得服務(wù)隱身、漏掃失效,mTLS雙向認(rèn)證屏蔽了中間人攻擊。那么SDP關(guān)鍵技術(shù)有哪些,值得我們一起深入。
03
關(guān)鍵技術(shù)
SS(服務(wù)隱身)和SPA(單包授權(quán)認(rèn)證)
網(wǎng)關(guān)后面的服務(wù)端口默認(rèn)關(guān)閉,實現(xiàn)服務(wù)隱身。網(wǎng)關(guān)接收到了客戶端發(fā)出的SPA包,驗證合法之后,才會對這個客戶端的IP開放指定端口。但端口放行后,短時間內(nèi)沒有操作自動關(guān)閉,下次訪問同樣的服務(wù),放行端口動態(tài)變化。
mTLS(雙向認(rèn)證)
網(wǎng)關(guān)和客戶端雙方都有證書驗證,確保通信雙方都能互信。并且在協(xié)商過程中采用加密技術(shù),避免第三方攻擊。協(xié)商過程如下:
ABAC(基于屬性的訪問控制)
通過屬性來感知用戶的訪問上下文行為,并動態(tài)調(diào)整用戶信任級別。在實際實現(xiàn)中,這些屬性可以包括用戶身份,終端類型,設(shè)備屬性,接入方式,接入位置,接入時間等。值得一提的是不同于常見的將用戶通過某種方式關(guān)聯(lián)到權(quán)限的方式,ABAC則是通過動態(tài)計算一個或一組屬性來是否滿足某種條件來進(jìn)行授權(quán)判斷。
RBAC(基于角色的權(quán)限控制)
每個用戶關(guān)聯(lián)一個或多個角色,每個角色關(guān)聯(lián)一個或多個權(quán)限,從而可以實現(xiàn)了非常靈活的權(quán)限管理,這樣用戶只能訪問具有權(quán)限的應(yīng)用。
04
防護(hù)場景
場景一、安全加固(現(xiàn)網(wǎng)安全)
威脅分析:
◆現(xiàn)網(wǎng)安全接入網(wǎng)關(guān)設(shè)備通常采用旁路部署方式,邏輯上部署在用戶和被保護(hù)的服務(wù)器之間
◆網(wǎng)關(guān)到服務(wù)器之間使用明文傳輸,存在安全隱患
◆改造難,老舊業(yè)務(wù)系統(tǒng)沒有廠家維護(hù);采用硬件網(wǎng)關(guān)的方式實現(xiàn)訪問鏈路的https協(xié)議成本較高;通過中間件的形式進(jìn)行業(yè)務(wù)系統(tǒng)改造,對業(yè)務(wù)廠家的要求較高,易出現(xiàn)對接難、對接時間長的問題
解決方案:
●SDP網(wǎng)關(guān)貼近化部署,網(wǎng)關(guān)代替應(yīng)用監(jiān)聽業(yè)務(wù)服務(wù)端口,實現(xiàn)對所有訪問流量的訪問控制,有效屏蔽非授權(quán)用戶對內(nèi)網(wǎng)應(yīng)用系統(tǒng)的直接訪問等威脅
●采用國密算法,端到端全流程加密,規(guī)避最后100米的風(fēng)險
場景二、應(yīng)用零信任化(本地應(yīng)用、云計算安全)
威脅分析:
◆應(yīng)用服務(wù)端口暴露在網(wǎng)絡(luò)中,對內(nèi)網(wǎng)可見
◆應(yīng)用與應(yīng)用、應(yīng)用與微服務(wù)、微服務(wù)與微服務(wù)互相訪問,存在東西向滲透威脅
解決方案:
●應(yīng)用端口默認(rèn)關(guān)閉,即服務(wù)隱身,SDP網(wǎng)關(guān)負(fù)責(zé)開啟與關(guān)閉
●API網(wǎng)關(guān)以插件化的形式部署在應(yīng)用服務(wù)器上,嚴(yán)格控制東西流量
場景三、遠(yuǎn)程安全辦公(數(shù)字化轉(zhuǎn)型、物聯(lián)網(wǎng)等安全)
威脅分析:
◆供應(yīng)鏈攻擊,供應(yīng)鏈合作伙伴用戶淪為網(wǎng)絡(luò)釣魚攻擊的目標(biāo),從而滲入內(nèi)網(wǎng)
◆“薅羊毛”攻擊,羊毛黨賺的是商家平臺的補(bǔ)貼差價,薅一次羊毛需要跑通6個環(huán)節(jié):評估風(fēng)險并找到適合下手的活動-獲取手機(jī)號-用手機(jī)號注冊帳號并通過平臺的認(rèn)證-購買秒殺工具-操作薅羊毛-分羊毛。其主要防御點在于身份認(rèn)證的策略
解決方案:
●SDP控制器對賬號和設(shè)備及生物識別進(jìn)行多因子認(rèn)證與授權(quán)(MFA),形成零信任動態(tài)防御體系
場景四、5G融合(5GC、MEC安全)
威脅分析:
◆5G將涉及海量已連接的設(shè)備,導(dǎo)致終端和用戶多樣化,威脅面擴(kuò)大
◆MEC側(cè)開放數(shù)據(jù)接口濫用及漏掃,導(dǎo)致可用性降低
◆5GC與EPC融合的NSA時期,越權(quán)管理,惡意網(wǎng)絡(luò)功能注冊,導(dǎo)致機(jī)密性降低
解決方案:
●SDP網(wǎng)關(guān)與5GC和MEC深度融合,通過SDP控制器對5G身份安全技術(shù)要素(隱藏標(biāo)識符、用戶唯一永久身份標(biāo)志SUPI等)進(jìn)行統(tǒng)一認(rèn)證與管理
●MEC業(yè)務(wù)隱身,通過SDP網(wǎng)關(guān)統(tǒng)一入口,實現(xiàn)安全訪問
05
零信任展望
標(biāo)準(zhǔn)與規(guī)范:
零信任現(xiàn)在缺少安全標(biāo)準(zhǔn)和規(guī)范,以及對解決方案的評估機(jī)制,可以從國家層出臺相關(guān)政策,發(fā)起標(biāo)準(zhǔn)制定流程。
技術(shù)應(yīng)用:
一方面,技術(shù)上需要深入研究與突破,魔高一尺道高一丈,需要不斷演進(jìn)SDP架構(gòu);另一方面,技術(shù)與5G、AI、IOT等融合應(yīng)用的解決方案實踐與成熟。
產(chǎn)業(yè)發(fā)展:
推進(jìn)零信任架構(gòu)與傳統(tǒng)架構(gòu)之間的銜接,傳統(tǒng)安全廠商網(wǎng)絡(luò)安全產(chǎn)品與零信任架構(gòu)的適配方案。
本文首發(fā)公眾號《權(quán)說安全》
免責(zé)聲明:市場有風(fēng)險,選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。
關(guān)鍵詞: