取代VPN？再见NAC？论SDP的上位之路

我们都知道，中国古代有一个非常伟大的军事防御建筑——万里长城。两千多年前开始修建长城的时候，其技术已经足以抵御外来的侵略者，保护百姓的生命和财产。但如今，这种防御技术已经过时，从功能上讲，只能抵御最基本的地面攻击，这在一定程度上与传统的保护网络边界的技术相似。

传统的网络是分层架构，对于边界的定义十分明显，通过边界我们很容易区分内网和外网。如今，大多数企业都还是以防火墙为基础划分出内网和外网络的边界，并基于此构建安全体系。但随着企业逐步拥抱云计算、IoT等新兴技术，传统网络架构不断被打破，原本建立的内外边界变得模糊，类似于防火墙等传统的基于边界的安全模型工具仅将检查重点放在边界之外，难以与如今的攻击者相匹敌。传统的远程访问安全，如下一代防火墙(NGFW)和VPN等正受到挑战。

另外，如今网络发展飞快，安全边界的概念已经难以适应今天的网络环境，2009年Google遭受了APT攻击“极光行动”（Operation Aurora），遭受攻击的除了Google外，还有20多家公司，其中包括Adobe Systems、Juniper Networks、Rackspace、雅虎、赛门铁克、诺斯洛普•格鲁门和陶氏化工等。这也推动了Google重新搭建整体安全架构，从而诞生了BeyondCorp项目。

在这个用户需要随时随地访问的世界中，旧的“护城河”和“万里长城”的防御模式已经过时，企业需要考虑更敏捷、更适应的安全访问方法。

2010年，Forrester咨询公司和美国国家标准与技术局(NIST)首次提出了“零信任模型”（Zero Trust Model）概念，其核心理念是所有网络（流量）都是不可信的，甚至不信任防火墙后面的用户，应验证每一个连向其系统的访问请求。从“信任但验证””转向“永不信任，始终验证”。

典型的零信任安全架构图

基于“零信任模型”构建的安全网络将具有隔离、并行和中心化的特点。本文将重点介绍一种利用零信任来创建新的网络和安全体系结构的方法——“软件定义边界”（Software Defined Perimeter，SDP）。

软件定义边界（SDP），也称为Dark Cloud，是由国际云安全联盟（CSA）于2014年提出新一代网络安全模型。SDP借鉴了虚拟化技术和其他软件定义的体系结构的概念，旨在进一步实现网络安全现代化。

来源：云深互联

SDP主张网络隐身、零信任、最小授权，所有应用程序都将被隐藏，外部方和攻击者都看不到它，只有在对每个端点请求进行身份验证和授权之后才授予访问权限。使用SDP的公司实质上是在其服务器和其他基础架构上披上了隐形的外衣，没有人可以从外面看到，只有授权用户可以访问基础结构。

哈利波特中的隐形衣

通过在进行应用层访问(应用程序和资源)之前预先授权用户和设备，SDP保护企业免受一系列攻击。SDP体系结构由三部分组成:SDP客户端、控制器和网关。客户端本质上是安装在用户设备上的SDP软件。SDP网关保护数据中心(网络)和云应用和资源。SDP控制器是中央身份验证点和策略引擎，充当客户端和网关之间的接口，同时跟踪所有用户、设备、应用程序和基础设施。

SDP解决方案有以下几个主要特征:

1.零信任：SDP严格遵循“永不信任，始终验证”的原则，采用了最小特权原则(PoLP)。在资源对实体可见之前，将检查和验证任何访问尝试。另外，实体只能访问SDP控制器允许的资源和应用程序，所有其他资源对用户是不可见的。

2.细粒度和上下文访问控制：SDP允许访问评估上下文，如用户和设备信任，其中包括身份验证、角色、设备验证和安全、位置和时间。而基于IP地址的网络安全系统限制了用户、设备和其他访问上下文。

3.以用户为中心：SDP允许组织根据用户属性制定访问策略,这样每个用户在尝试连接时都会获得一个个性化的边界。SDP是动态的，并基于用户上下文，这大大减少了攻击面，提供了比基于IP地址的传统网络安全系统更好的保护。

4.暗网络防御：为了不受攻击者的攻击，SDP架构使用了保护机制，如单包授权(SPA)和互传输层安全(mTLS)。通过利用SPA和mTLS，可以在建立连接之前对基础设施信息以及请求者的IP地址和连接进行加密和验证。SDP组件，如控制器和网关，通过SPA和mTLS进行保护。因此，应用程序和基础设施对用户和设备来说是不可见/不可访问的，直到控制器为每个事务授权。

5.相关的访问策略：与传统的基于IP的访问策略不同，SDP强制的访问策略基于用户和设备上下文。这些策略描述了在所有情况下允许哪些用户访问资源，SDP策略旨在为用户提供对资源和应用程序的“恰好”访问。这些策略普遍适用于本地环境和基于云的环境中的用户。

6.独立的控制平面和数据平面：SDP有不同的控制平面和数据平面。通过控制平面验证用户身份和设备姿态，经过授权后，建立数据平面隧道进行数据传输。通过保持控件和数据平面的分离，SDP隐藏了受保护的资产。这减少了所有基于网络的攻击，因为攻击者不能攻击他们看不到的东西。分离控制面和数据面还可以提高可伸缩性和应用程序响应性。

7.应用程序级访问：SDP促进了应用程序级访问，其中控制器持有策略来授权用户和设备访问应用程序。与通常提供更广泛的网络级别访问的基于IP的网络安全方法不同，用户和设备只能在策略允许的情况下直接访问特定的应用程序和资源。

CSA做了SDP部署相关调查，结果如下：

您的企业部署SDP的原因？

从上图的调查中可以看到部署SDP的大部分原因是要替代VPN和NAC，因此业界不断有取代VPN、替代NAC的观点出现。

Gartner曾预测：到2021年，60%的企业将用SDP方案取代VPN。

VPN技术出现于30年前，主要是通过隧道技术在公共数据网络上虚拟出一条点对点的专线技术，可以实现不同网络的组件和资源之间的互相连接。相比专线连接来说VPN大幅降低了企业通信成本，因此企业也通常使用其作为远程访问方案。

但是随着云计算、虚拟化、微服务等新技术的出现，VPN的弊端开始逐渐显现。部署VPN是一个耗时的过程，其设计、管理和维护也十分复杂。另外安全性上，如果用户的证书被盗，那就意味着企业内部的整个信息系统都面临被入侵的风险。攻击者通过VPN会在企业网络里横向移动，寻找价值资产，盗窃数据等。正如Gartner所说，“DMZ和传统VPN是为20世纪90年代的网络设计的，已经过时，因为它们缺乏保护数字业务所需的敏捷性。”因此很多企业将目光转向了SDP。

SDP仅使用软件即可部署、管理和可视化网络连接，从而消除了整个安全栈对硬件的依赖，更易于管理和扩展。另外SDP通过用户身份而不是IP地址来控制对资源的访问，提供了零信任安全，并确保仅授权用户才能访问适当的数据和应用程序，降低了被攻击的风险。

VPN会被取代吗？网络安全调研机构Cybersecurity Insider于3月公布了一份《零信任进展报告》。报告显示约有四分之三的企业今年有采用零信任访问模式的计划，但有将近三分之一的企业表示缺乏实施信心，而6%的企业则根本没有信心。调研机构Market Insights在去年的预测是，VPN在2018年到2025年的复合增长率平均为18.26%，在2025年达到69.2亿美元。

数世咨询认为，目前谈SDP是否能代替VPN还为时过早。虽然SDP提供了额外的优势，但它并没有解决每个企业、应用程序或用例的所有考虑事项。如今，对于大多数迁移到云上的企业来说，SDP产品更有可能与VPN共存以保证访问安全。

网络访问控制（NAC）是一套可用于定义在节点访问网络之前如何保障网络及节点安全的协议集合，NAC最初的目标是防止PC驻留的恶意软件感染企业服务器并在整个网络中传播。十几年前企业WiFi的出现推动了NAC的采用，NAC产品将Active Directory身份验证与状态检查相结合，以确定员工是否应该访问数据中心。

但是网络复杂度不断增长，端点设备不仅仅是PC，可能是各种形式的互联网“物”，甚至是虚拟服务器。NAC不能连续监视端点的状态并在发现妥协时断开网络连接，SDP有时被称为NAC的后继者，它具有与NAC相同的元素，但与NAC相比，SDP实施时间和成本都低得多。

再见NAC？有观点认为NAC系统在某些环境中仍被证明是有价值的，SDP与NAC这两种技术实际上是互补的，SDP将概念扩展到包括应用程序加密，但不能替代NAC在网络级别提供的功能。在安全模型中，NAC处理物理边界处的较低网络外围，而SDP处理应用程序级安全。

随着“零信任安全模型”的不断发展，厂商们也纷纷推出自家的解决方案，力争在新市场中开辟出新天地。如下图矩阵中所示，英特尔、Verizon和思科是SDP市场中的先行者，Palo Alto Networks、Check Point Software Technologies、Akamai、NortonLifeLock、Fortinet、Dell、Pulse Secure等公司是市场中的创新者。

下面着重介绍一下部分厂家的解决方案。

BeyondCorp是Google模仿的零信任安全框架，可将访问控制从外围转移到单个设备和用户。最终结果使员工可以在任何位置安全地工作，而无需传统的VPN。

与传统的边界安全模型不同，BeyondCorp不基于物理位置或发起请求的网络位置来授予用户访问服务和应用的权限；相反，访问策略的制定完全基于设备的信息、状态和当前设备的使用者信息等等。BeyondCorp模型默认内部网络和外部网络都是不可信的，需要动态评估当前访问请求的安全等级，并确保此等级满足应用的最低安全要求。

2018年思科以23.5亿美元的现金收购了Duo Security，Duo已经提供了自己的从端点到基于云的资产的零信任连接版本。思科可以将Duo的服务与自己的产品结合起来，以构建最全面的SaaS和本地NAC / SDP之一，以增加其客户群，同时随着SDP的推出与Cyxtera，Google和Zscaler等竞争。

Akamai是CDN的发明者和服务提供商，它原有的24万台服务器的代理平台也是它转型到以SDP提供零信任服务的重要因素。Akamai的IAP模型与Google的Beyond Corp模式相似。它通过企业应用程序访问（EAA）云产品提供工作负载保护的服务。

EAA允许企业通过Internet（无论是托管在云中还是在数据中心中）提供对私有应用程序的访问，并执行最小特权和零信任的原则。只有经过身份验证的用户和设备才能访问他们有权访问的内部应用程序，并且不需要打开或维护入站防火墙端口。EAA将数据路径保护、单点登录、身份访问、应用程序安全以及管理可见性和控制功能集成到由Akamai智能平台支持的基于云的单个服务中。它最终可以保护私有企业应用程序，从而最大程度地减少了攻击面并使企业基础结构和数据对公众不可见。

赛门铁克19年2月收购了一家开发SDP技术的初创公司Luminate Security，计划将Luminate的安全访问云系统整合到其Integrated Cyber Defense Platform中。Luminate提供了一个统一的安全堆栈，该堆栈仅允许点对点临时用户访问整个环境和基础结构中的特定公司资源。企业管理员可以将连接仅授予授权用户的特定应用程序和资源。

Verizon 2018年11月通过从Vidder收购PrecisionAccess™解决方案，进一步增强了其SDP安全服务。Verizon的SDP服务创建了一个网络边界，该边界为用户和设备提供了受信任的统一访问控制。访问控制跨内部网络、云和外部用户，通过不断确保只有授权用户使用的受信任设备才能查看和访问受信任的应用程序，从而增强了安全性。Vidder的技术已集成到Verizon的SDP服务中。

Vidder是SDP计划的先驱。Vidder公司较出名的SDP解决方案是PrecisionAccess。PrecisionAccess的架构如下图所示，由三个组件组成，PA控制器、PA网关和PA客户端。PA控制器决定了哪些PA客户端可以互相连接。控制器有可能将信息转发到外部的认证服务，比如证实、地理定位、身份服务器等。PA客户端与PA控制器进行通信来请求可连接的主机列表。控制器可以在提供信息之前向PA网关之内的主机请求信息，如软硬件清单。初始时，PA网关之内的主机只与PA控制器进行通信，只在控制器的请求下与PA客户端建立连接。

Zscaler Private Access采用以用户和应用程序为中心的网络安全方法。它确保只有授权用户和设备才能访问特定的内部应用程序。ZPA不使用物理或虚拟设备，而是使用轻量级基础架构软件将用户和应用程序连接到Zscaler Security Cloud。ZScaler Private Access解决方案类似SDP的安全概念，Zscaler Connector相当于是SDP网关，ZApp客户端是Initiating主机，Central Authority是SDP Controller。Broker（ZEN）是一个额外的组件，它消除了对数据中心或云网络段的传入连接的需求。在客户端和连接器之间添加了一层额外的Mutual TLS，以提供额外的加密和信任层。

MarketsandMarkets预测，全球SDP市场规模将从2019年的29亿美元增长到2024年的138亿美元，在预测期间的复合年增长率（CAGR）为36.5％。市场的主要增长动力包括对减少网络复杂性的基于策略的安全架构的需求不断增长，以及对基于云的应用程序的需求不断增长。

SDP自提出以来，到如今不过只有6年的时间，但其发展势态十分迅猛。作为零信任安全模型的实现之一，各大厂商也在积极布局SDP细分市场。至于取代VPN、替代NAC，部分观点表示短时间内不太可能实现，更多的是互相补充，共筑安全防线。

参考链接：

https://zhuanlan.zhihu.com/p/126462721

https://blog.csdn.net/baidu_41700102/article/details/104314375

https://www.kbvresearch.com/software-defined-perimeter-market/

https://www.sec-un.org/%E4%BB%8Ebeyondcorp%E8%AF%B4%E8%B5%B7/

https://www.linkedin.com/pulse/zero-trust-perimeter-security-better-safe-than-sorry-har-gootzen