疫情反复无常,各行各业复工成为难题,远程办公的需求持续爆发。咱们上回书到,目前市面上主流的远程办公安全方案分别基于VPN技术和零信任技术,我们就二者的区别和差异之处进行了分享。 远程办公安全方案还在用VPN?来试试更in的玩儿法 。本期我们继续为您带来零信任系列内容,并将围绕零信任SDP网络隐身技术的实现方式及带来架构革新进行分享。
作为零信任的最佳实践架构之一,SDP(Software Defined Perimeter)即软件定义边界一直备受市场瞩目,各类基于零信任SDP的解决方案不断被推出,但究其根源,无外乎以下3种实现方式:
01 UDP认证,TCP传输
默认关闭所有TCP端口,拒绝一切TCP连接,UDP端口通过抓包捕获SPA敲门包,验证用户身份,对不合法的信息,丢弃处理;对合法用户的IP暂时放行TCP端口,建立TLS加密传输隧道,然后关闭TCP端口,此时用户连接状态保持,可正常访问内网授权应用。而 TLS加密隧道的问题是传输效率低,这点可通过主流安全厂商的专利技术实现高速加密传输。
02 UDP认证,UDP传输
依旧采用UDP认证原理,但关闭TCP端口。其传输依靠基于UDP协议的网络隧道,其优点是传输效率和安全性高。
03 TCP认证,TCP传输
TCP认证,是以TLS 握手包扩展字段中的 OTP 动态码,采用特定的加密算法,作为客户端与服务端通信的校验码。如果OTP动态码正确,则连接建立成功。如果失败,则拒绝连接。而传输技术,则采用的是TLS加密传输隧道。
无论哪种实现方式,其最终的目的是践行零信任以身份为中心的理念: 先认证,再连接 。零信任SDP基于“零信任”理念,可将企业业务应用从互联网上“隐身”,进而有效减少攻击面,缓解或者彻底消除多种安全威胁、风险和漏洞,具体可参考国际云安全联盟CSA发布的《十二大网络安全威胁》白皮书。
说完零信任的零信任 SDP网络隐身技术的实现方式,再来聊聊零信任SDP在架构上带来了哪些革新。
众所周知,数字化转型不断推动企业IT资源上云,呈现多云、混合云、私有云等多种形态,企业业务移动化进程也在不断加快,企业IT架构正在从“有边界”向“无边界”转变。
此种网络环境下,较传统的VPN相比,零信任SDP可实现管理控制平面与传输数据平面的分离,其天然的可扩展性更适合多云、混合云架构。又因为SDP是软件形态,所以能更加便捷、低成本的提供SaaS服务。
目前市面上的零信任SDP方案,基于不同行业客户的属性和需求,普遍可提供私有化部署以及SaaS服务两种模式,其方案架构表现为:
01 私有化部署模式:
实现企业私有云的安全接入,同时,这种架构也很适合大型企业,满足多数据中心接入的需求,从下面这张架构图可以看到,管控平台集中部署,多个数据中心分别部署零信任安全网关,各安全网关受零信任管控平台统一管理,实现根据用户权限同时访问多中心应用资源。
02 SaaS服务模式:
SDP管控平台和网关部署在公有云上,构建起一个虚拟的安全边界,在企业公有云或者私有云的边界部署连接器,实现接入服务的注册,进而建立用户和数据中心的连接,实现我们的用户对公有云、私有云应用的快速安全接入访问。 美国上市企业、云安全服务商 Zscaler就是用的这个方案
对没有专业安全服务团队的企业来说,选择云安全服务,即可依托于云安全服务商专业的安全专家资源,享受更敏捷、更高效、弹性的享受最专业的安全保障。相信随着企业的业务逐步上云或者大量使用SaaS服务,越来越多的企业会选择零信任安全架构,进而解决数字化转型的安全痛点。
选择零信任方案 仍需擦亮眼睛
最后,随着零信任概念的愈发火热,零信任俨然已经成为网络安全行业的新宠儿,以至于做安全行业的,纷纷推出“零信任安全方案”,新瓶装旧酒的推出了多种零信任产品或者解决方案。甲方朋友们仍需擦亮眼睛,不看广告看“疗效”~
指掌易近年来一直在零信任领域进行深入研究,积极践行“零信任“安全理念,并围绕行业客户应用场景,推出EDTA企业数据可信访问解决方案,为企业在不可信的网络环境中构建新的安全边界。该方案目前已成功落地应用于多个行业头部客户,并获得良好口碑。指掌易凭借在零信任安全市场上先进的技术方案和丰富的落地案例,成功入选《IDC 特殊研究:中国网络安全市场新趋势-零信任市场研究》、《IDC创新者:零信任之软件定义边界与微隔离技术》、《IDC PeerScape:CIO视角-中国零信任市场研究》等多项报告,零信任能力获得IDC高度认可。