转载

RSAC热点主题之二：“软件定义边界”在企业数据安全领域引发的思考

内容提要：“软件定义边界SDP”这一概念和技术在近几年业界及RSAC大会上都颇受关注，市面也有不少文章介绍，包括其基本架构和产生的各种安全效果，例如数据和控制分离、网络隐身、服务隔离、预认证预授权、VPN替代、以及身份边界等。但缺少从本质出发揭示其缘由；同时也缺乏进一步的问题挖掘，如SDP存在的挑战和局限性、以及更深入的创新性解决思路。本文试图从这些方面入手，结合数篷科技在零信任环境下的SDP实践，给出自己的分析梳理和思考。

SDP的本质

精简表述就是 “访问控制策略模型” 。上述提及的所有相关表征和安全效果都衍生于此。需着重指明的是，SDP策略模型大致应具备如下特点： “有丰富的控制逻辑、以身份为核心属性、可上下文感知、能随时间-地点-状态-环境的改变而动态调整、基于属性的访问控制实施” 。接下来，我们用演绎的方式阐述：如何从SDP的这些本质特点推衍出相应的安全结果？

复杂访问控制策略 的实现必然会产生 控制层与数据层的分离 ，即SDP典型架构所在。原因是，对比传统网络访问策略，因其多基于网段隔离故逻辑十分简单，控制流与数据流可在的同一物理设备上操作落地，例如路由器和防火墙的端口协议配置；而现今基于以身份属性为核心的访问控制策略却复杂得多，一方面导致难以继续在同一设备层面实现；另外，更重要的是为了构建和施加丰富灵活的控制，以适应新IT架构和快速响应使用场景的变化。

所以SDP采用两者分离机制：即控制流阶段，客户及其设备先进行 预认证 ，以获取丰富的属性凭据作为身份主体，再以此结合基于属性的 预授权 配置策略，映射得到仅供目标访问的特定设备和服务，从而可直接建立相应安全连接以 取代VPN 。这样做的结果屏蔽了系统中其它无关组件，自然就产生了 网络隐身和服务隔离 的安全效应，对于敏感资源大大 减少了暴露面和被攻击面 。

接下来，客户端与服务端交互访问进入到数据流阶段。期间，还可通过不断收集系统运行状态数据以及用户持续认证的信息，分析得到主客体各类相关属性及变化，如时间、地点、当前的安全环境等。从而SDP结合了上下文情境和风险感知、基于身份属性订制了 动态柔性的自适应访问控制策略 。最终形成 以业务执行为导向、以身份为边界的逻辑安全域 ，而非传统的物理网段隔离。

以上是SDP的简要描述，不难看出基本都是围绕 “访问控制策略模型” 这一根本概念出发。而定义和实现好相关策略是解决任何安全问题的开端、占据了统筹全局的战略地位。

基于SDP展现的优良特性，它的出现突破了以往传统解决方案遇到的一系列困境，主要体现在：首先，从整个网络空间的全局视角去看待和解决问题。形象地讲，典型如云管端一体化安全策略的布局，而非传统的局部解决模式，如单纯的终端安全或数据中心安全等。

其次，SDP推荐的理想策略模型本质是下一代基于属性的访问控制：ABAC model（Attribute Based Access Control）,即开篇给出的特性描述，能够满足大多数复杂业务场景下的权限定义、管理和授权等方面的需求，使得安全策略在全生命周期内真正适配客观情况的衍变和相应安全要求的预期。

最后，SDP采用的实施架构对于安全风险的把控、以及安全机制与业务逻辑的融合也产生了良好效应。例如前述的VPN替代、资源隐身与隔离、以及形成的业务逻辑安全域等。综上所述，不难理解为什么SDP及其实现可广泛适用于云外包代理计算、企业级复杂计算、以及边缘计算和IoT等诸多场景。

问题挑战和解决思路

尽管SDP给出了零信任条件下、满足现代企业数据保护需求的访问控制模型，但从框架到落地实现还涉及到许多技术问题及资源整合；同时，即使在此完成基础上，SDP自身仍有一些能力缺陷。

接下来，我们先后就这两类问题逐一介绍，重点是提出疑问引发探讨。至于具体实践，将与可信计算、程序静态分析等主题一起，安排在后续的解决方案专栏中进一步阐述。

SDP隐式推荐功能强大的ABAC模型，但并没有给出相关架构协议。而ABAC核心技术包括各类属性认证凭据的管理和统一鉴权框架，所以一定需要与企业原有IAM体系整合，一方面实现平滑集成对接；更重要的是发挥ABAC优势特点。对此，可能涉及到的关键技术有：人员-设备-状态-应用-服务等属性元数据的打通关联；所对应产生认证凭据的分布式存储-更新-分发-查询-吊销等一系列安全管理；不同认证协议的集成和兼容、以及认证结果的封装转义；还包括鉴权框架中PEP、PDP、PAP等抽象机制在相应业务逻辑和架构条件下的合理实现。总之，ABAC融入企业原有访问控制体系将产生不小的技术挑战和一定的运营成本，驱动的目标自然是其带来的细粒度管控能力；当然，从另外一类“轻量实现”的视角也会同时考虑：是否可以适度放大管控粒度以降低成本，从而结合业务属性形成“域”级别的安全边界来满足相关隔离需求？
基于数篷科技的经验认知和业界真实案例，比如谷歌BeyondCorp,表明上述想法在企业整体安全框架下是可行的。 例如，BeyondCorp就是在身份认证后把结果（人和设备）关联至基于具体业务构建的vnet网段，于是形成了一个个不同安全等级的隔离域，跨域访问则必须遵守相关安全策略。因此，SDP的一类重要实现最终反映在安全域的构建形成。这确实极大简化了实施举措，同时既能完成业务目标、又可保障域内各项资源的安全使用，包括数据防泄漏等。但我们也注意到，无论是物理的还是逻辑的安全域总是有既定边界，而对于某些开放业务、包括一些实际需求往往不得不违背信息流安全策略，即高安全域内的敏感数据需要流向低安全域，这是SDP本身无法解决的。例如，假设存在内、外两个不同等级的安全域：银行向监管机构上报数据相当于从内网流向外网；供应链上下游厂家给平台提交数据也是从内部流向外部。其实无论是组织内外都大量存在类似的案例。因此，即使有安全边界但所谓泄漏通道在现实场景中也是必须考虑的。如何处置其安全将在后文中讨论。
SDP面临的另一类挑战是难以解决横向攻击的问题。抽象地看，SDP侧重规划安全策略的实施空间和范围，但没有落地安全策略的实施机制。因此，无论是某个终端还是服务器第一时间被攻破后，攻击很可能转移至其它设备或应用，即横向攻击。解决的关键是实现 可信计算TEE （Trusted Execution Environment，前文中有叙述），使其真实保障相关安全策略的严格执行。所以， SDP+TEE 从顶层安全设计的高度看，实现了安全策略与实施机制的完美统一；从实际落地的展现形式看，创建了高安全级别的可信计算网络。因此SDP和TEE构成了零信任环境下网络空间数据安全解决方案的基石。
SDP技术已逐步被实践证明为零信任安全的重要推手，希望此文抛砖引玉激发更多思考。
公司：数篷科技（深圳）有限公司

官网：www.datacloak.com

介绍：数篷科技是零信任安全技术的领导者，其推出的数篷DataCloak企业数据访问控制系统(DACS)，是为中国企业量身打造的下一代企业安全办公解决方案，是谷歌引领的BeyondCorp安全架构在中国的最佳实践。