零信任 核心原理与架构定义

一、现状（gartner报告市场的预测）

• 社会/政府/企业数字化转型加快
• 新技术新应用兴起带来全新安全挑战
• 网络威胁态势日益严峻
• 组织内部安全威胁持续增长
• 重塑传统边界安全防护刻不容缓

二、用户面临的问题

• 员工自带设备（BYOD）,外包人员设备，合作伙伴关联设备如何做到即允许访问又要解决安全问题（SDP+持续身份认证）
• 国内处于数字转型时期，企业不断采用云计算资源，PaaS,IaaS,SaaS,传统边界安全产品在网络拓扑上无法完全解决暴露面问题。(SDP软件定义边界)
• 黑客能够轻松的劫持边界内的设备（网络钓鱼攻击），从内部攻击企业应用。（IDS/IPS）
• 企业面对的外部安全漏洞扫描，0day漏洞无法及时处理（SDP软件定义边界+资产隐身）
• 行政人员面对员工离职/入职需要开通一系列办公软件账号和权限（统一身份认证）
• 面对企业自建的内部机房 的主机管理，既要允许员工访问，同时要监控/隔离员工行为（微隔离）
• 面对企业知识产品保护，做到对员工行为监督与审计（用户行为分析）

三、特点

• 用户在访问应用之前，SDP要求请求方进行身份验证，并获得授权。然后在请求方 与应用方之间 实时创建双向加密隧道（https解决单向加密隧道）。

四、三角架构图

• 

• 通常SDP控制器，SDP网关的主机和端口不对外开放（telnet 不通，ping不通，snmp扫描不通）
  总之采取任何资产探测和扫描都无法感知零信任系统的存在。这一点与VPN本质的区别，也是替代VPN的第一印象（刻板印象）

• 首先客户端通过SPA单包协议敲门， 向控制器发起单包报文（严格的HOTP时序加密算法），系统内部才会响应此报文，否则无响应（此处抵制了DDos攻击）。临时允许当前客户端建立TLS的双向加密证书 控制隧道的连接。

• 控制器中的身份认证组件（设备认证，地理认证，终端认证）等多因子身份认证对设备和用户进行认证。

• 控制中心对本用户最小授权，比如平时只用OA，只对他分配OA权限，其他任何应用从网络层拒绝连接。

• 客户端发起应用请求，得先通过控制器的权限校验，同时控制器通知网关，临时允许客户端建立MTLS双向加密证书的 多路复用隧道 的连接。

五、时序图

• 

• 客户端通过udp协议向控制器发起SPA单包协议

• 控制器临时允许本客户端建立双向证书加密隧道

• 客户端发起登录请求，控制器响应客户端登录请求

• 控制器下发本用户的访问策略信息

• 客户端发起应用访问，通过控制器实时权限验证，同时通知网关临时允许客户端建立MTLS多路复用隧道

• 客户端与网关之间建立tcp四层 报文交换链路

六、SDP能力

• SDP的设计至少包括五层安全性

  • 对设备进行身份认证和验证

  • 对用户身份验证和授权

  • 确保双向加密通信

  • 动态提供连接

  • 控制用户与服务之间的连接并且同时将这些连接隐身

  • • SDP架构组件	减轻或减少安全威胁	额外效益
      服务器“变黑”	所有外部网络攻击和跨域攻击	SDP组件（控制器/网关）接受客户端通过安全协议（SPA单包授权）进行身份验证前，不会响应任何连接请求
      减少拒绝服务（Dos）攻击	服务器Dos攻击	面向Internet的服务通常位于SDP网关（网络防火墙）后面，因此可以抵御Dos攻击，SPA可以保护SDP网关免受Dos攻击
      检测错误包	快速检测所有外部网络和跨域攻击	从任何其他主机请求进来的数据包必须是合法的SPA报文，否则认为是攻击
      验证用户和设备身份	来自未授权的用户和设备的连接	所有主机之间的连接必须使用身份验证来验证设备和用户是否是SDP授权成员
      不允许中间人攻击	中间人攻击	双向加密证书能够抵御中间人利用单边证书来劫持报文
      细粒度访问控制	来自欸之设备的外部用户数据的窃取	只允许授权用户和设备与服务器建立连接
      取消广域网接入	攻击面最小化	设备只能访问策略允许的特定主机和服务，不能越权访问其他网段和子网，甚至指定端口

七、潜在应用领域

• SDP是一种安全架构，所以可以很好的提供多种使用场景

• 网络场景	现有技术的局限性	SDP优势
  基于身份的网络访问控制	传统的网络解决访问提供粗粒度的网络隔离，并且以IP为基准。	SDP允许创建与组织架构相关的以身份为中心的访问呢控制，且访问控制在网络层实施。如，SDP只允许财务用户访问财务管理系统，SDP只允许IT人员访问ssh服务
  网络微隔离	传统的网络安全工具使用微隔离服务提高网络安全性是一种劳动密集型工作	SDP能够实现基于用户自定义控制的网络微隔离，通过SDP可以自动控制对特定服务的网络访问，消除了手动配置
  远程访问（替代VPN）	VPN为用户提供安全的远程访问，但是只提供组力度的访问控制，整个内网都将暴露出来	SDP可以提供远程访问，同时提供基于用户的最小授权粒度的资源访问
  第三方访问	传统方式采用VPN，提供粗粒度的访问策略	SDP提供细粒度的策略访问控制，只允许第三方访问指定服务
  用户行为审计	传统采用应用内部提供行为采集。如果应用较多将是一个庞大的工程	SDP通过网关流量行为统一分析，将用户访问轨迹和行为进行可视化展示
  简化企业合规控制和报告	合规报告需要技术团队付出高昂的巩固走	SDP降低了合规范围（微隔离），通过一身份为中心的日志记录和访问报告
  防御DDos攻击	传统方式将主机和端口暴露在公网，通过 waf检测或防火墙过滤丢弃，占用带宽。	SDP可以对未授权用户不可见

八、拓展

• 安全信息和事件管理集成（SIEM）
• 建议把所有安全事件推送到SIEM系统，便于生产网络安全态势整体画像
• 对终端环境的感知性和可视化的能力提升

九、总结

• SDP通过最小化攻击面降低安全风险
• SDP通过分离访问控制和数据信道来保护关键资产和基础架构
• SDP提供了一个集成的安全体系结构，可以具备以下能力
  • 用户行为感知
  • 终端环境感知
  • 网关的报文/流量 感知（应用防火墙）
  • 策略系统（IDS/IPS）