内容提要:“软件定义边界SDP”这一概念和技术在近几年业界及RSAC大会上都颇受关注,市面也有不少文章介绍,包括其基本架构和产生的各种安全效果,例如数据和控制分离、网络隐身、服务隔离、预认证预授权、VPN替代、以及身份边界等。但缺少从本质出发揭示其缘由;同时也缺乏进一步的问题挖掘,如SDP存在的挑战和局限性、以及更深入的创新性解决思路。本文试图从这些方面入手,结合数篷科技在零信任环境下的SDP实践,给出自己的分析梳理和思考。
SDP的本质
精简表述就是 “访问控制策略模型” 。上述提及的所有相关表征和安全效果都衍生于此。需着重指明的是,SDP策略模型大致应具备如下特点: “有丰富的控制逻辑、以身份为核心属性、可上下文感知、能随时间-地点-状态-环境的改变而动态调整、基于属性的访问控制实施” 。接下来,我们用演绎的方式阐述:如何从SDP的这些本质特点推衍出相应的安全结果?
复杂访问控制策略 的实现必然会产生 控制层与数据层的分离 ,即SDP典型架构所在。原因是,对比传统网络访问策略,因其多基于网段隔离故逻辑十分简单,控制流与数据流可在的同一物理设备上操作落地,例如路由器和防火墙的端口协议配置;而现今基于以身份属性为核心的访问控制策略却复杂得多,一方面导致难以继续在同一设备层面实现;另外,更重要的是为了构建和施加丰富灵活的控制,以适应新IT架构和快速响应使用场景的变化。
所以SDP采用两者分离机制:即控制流阶段,客户及其设备先进行 预认证 ,以获取丰富的属性凭据作为身份主体,再以此结合基于属性的 预授权 配置策略,映射得到仅供目标访问的特定设备和服务,从而可直接建立相应安全连接以 取代VPN 。这样做的结果屏蔽了系统中其它无关组件,自然就产生了 网络隐身和服务隔离 的安全效应,对于敏感资源大大 减少了暴露面和被攻击面 。
接下来,客户端与服务端交互访问进入到数据流阶段。期间,还可通过不断收集系统运行状态数据以及用户持续认证的信息,分析得到主客体各类相关属性及变化,如时间、地点、当前的安全环境等。从而SDP结合了上下文情境和风险感知、基于身份属性订制了 动态柔性的自适应访问控制策略 。最终形成 以业务执行为导向、以身份为边界的逻辑安全域 ,而非传统的物理网段隔离。
以上是SDP的简要描述,不难看出基本都是围绕 “访问控制策略模型” 这一根本概念出发。而定义和实现好相关策略是解决任何安全问题的开端、占据了统筹全局的战略地位。
基于SDP展现的优良特性,它的出现突破了以往传统解决方案遇到的一系列困境,主要体现在:首先,从整个网络空间的全局视角去看待和解决问题。形象地讲,典型如云管端一体化安全策略的布局,而非传统的局部解决模式,如单纯的终端安全或数据中心安全等。
其次,SDP推荐的理想策略模型本质是下一代基于属性的访问控制:ABAC model(Attribute Based Access Control),即开篇给出的特性描述,能够满足大多数复杂业务场景下的权限定义、管理和授权等方面的需求,使得安全策略在全生命周期内真正适配客观情况的衍变和相应安全要求的预期。
最后,SDP采用的实施架构对于安全风险的把控、以及安全机制与业务逻辑的融合也产生了良好效应。例如前述的VPN替代、资源隐身与隔离、以及形成的业务逻辑安全域等。综上所述,不难理解为什么SDP及其实现可广泛适用于云外包代理计算、企业级复杂计算、以及边缘计算和IoT等诸多场景。
问题挑战和解决思路
尽管SDP给出了零信任条件下、满足现代企业数据保护需求的访问控制模型,但从框架到落地实现还涉及到许多技术问题及资源整合;同时,即使在此完成基础上,SDP自身仍有一些能力缺陷。
接下来,我们先后就这两类问题逐一介绍,重点是提出疑问引发探讨。至于具体实践,将与可信计算、程序静态分析等主题一起,安排在后续的解决方案专栏中进一步阐述。
公司:数篷科技(深圳)有限公司
官网:www.datacloak.com
介绍:数篷科技是零信任安全技术的领导者,其推出的数篷DataCloak企业数据访问控制系统(DACS),是为中国企业量身打造的下一代企业安全办公解决方案,是谷歌引领的BeyondCorp安全架构在中国的最佳实践。