软件定义边界 (SDP) 安全访问技术发展研究及政策建议

摘自：《网络安全技术和产业动态》2022年第2期，总第20期。

中国网络安全产业联盟（CCIA）主办，恒安嘉新（北京）科技股份公司、北京天融信网络安全技术有限公司供稿。

软件定义边界（Software Defined Perimeter，SDP）是一种基于零信任（Zero Trust）理念构建的资源访问管理的安全框架。SDP要求访问端必须通过多因子的身份验证后，才获得所请求资源信息并在二者之间建立起安全通信隧道，实现资源安全访问控制。SDP是通过软件定义方式以动态虚拟形式构建起一种逻辑隔离边界，将服务隐藏起来，服务对外并不直接暴露域名或IP地址，攻击者在网络空间中无法直接看到攻击目标。SDP通过这种隐藏服务的方式来提高服务系统安全性。

一、技术发展情况

SDP网络安全模型在2014年由国际云安全联盟（CSA）提出，SDP借鉴了软件定义网络（Software Defined Network，SDN）的思想，并于2015年被Google公司落地成BeyondCorp项目。SDP体系架构包含客户端、控制器及网关三个组件，其中客户端主要负责向控制器发起验证身份请求，并将验证后访问请求转发给网关；控制器负责身份认证及配置策略管控全过程；网关主要保护业务资源（服务器），并防护各种网络攻击，只允许来自合法授权客户端的流量通过。

图1 SDP体系架构图

SDP具有以下技术优势：

1．客户端进行透明的无感知多安全要素认证，其中包括认证设备的可靠性和接入通道的可靠性等。

2．控制通道与数据通道的分离，满足访问控制策略的复杂性、动态自适应性，更加快速响应使用场景的变化。

3．网关默认不开放任何服务端口，执行先认证后开放动态端口的形式，整个认证过程均在客户端与控制器进行交互，不涉及对于具体服务的访问。

4．单包授权（SPA）和互传输层（MutualTLS）等协议，做到网关与客户端双向相互认证，避免中间人攻击。

SDP能够保障了访问授权安全，却难以保障完成授权的用户行为完全合法。SDP可结合UEBA（用户行为分析）对进入授权客户端行为进行持续记录、分析和判断。两者结合可打造用户访问全过程授权访问行为安全。

二、发展难点分析

SDP工作原理是将关键资产服务隐藏在网关后方，其充当了客户端和服务应用之间的代理，其发展难点主要包括以下三个方面：

1．动态实时决策引擎的响应效率

SDP控制器作为动态实时决策引擎，负责依据设备信息、用户标识、行为感知等相关信息，利用动态多轮打分机制对客户端请求进行可信等级划分，最终决策授予客户端对资源的访问权限，该决策响应必然对访问效率有所影响。

2．安全方案的个性化自动推荐

不同的SDP应用场景应实现个性化需求，针对客户端的身份标识，资源访问需求，数据敏感性等，既要满足行业标准约束，也符合客户定制化需求。结合人工智能技术，进一步实现SDP准确、高效的个性化自动推荐。

3．安全威胁情报的全方位整合

SDP策略制定需要结合威胁情报辅助，帮助企业预防和识别各种威胁。如何针对不同的SDP部署场景，整合符合安全场景的威胁情报，是SDP提升精细化安全管控能力的关键。

三、产业落地情况

SDP于2018年入选Gartner CSO最应该投入的十大安全项目。欧美国家加强从顶层设计制定推动SDP发展战略。2021年9月7日，美国管理与预算办公室发布了《联邦零信任战略》，网络安全与基础设施安全局发布了《零信任成熟度模型》《云安全技术参考架构》公开征集意见，这些共同组成联邦各级机构的网络安全架构路线图，并要求在2024年末完全部署到位。新冠肺炎疫情期间，各国政府都鼓励远程办公模式，SDP市场需求日益增长。

国外谷歌、思科、Verizon推出的SDP产品相对成熟，国内深云SDP、亚信安全SDP、奇安信SDP、恒安嘉新SDP、天融信SDP等起步相对较晚但发展迅速。SDP技术保障终端用户在任意网络环境中安全、高效、稳定地访问企业资源和数据，目前已经在运营商、金融等行业试点运行。

四、意见和建议

随着大数据、云计算、移动互联网等新技术的快速发展，云端资源的安全访问控制尤其重要，SDP应用会更加广泛，建议从以下三个方面促进SDP的发展：

1．加强SDP技术的功能扩展

SDP聚焦针对服务的访问的保护，当前，不能阻止已授权用户对资源的恶意访问，存在潜在风险，因此，需要结合审计、监测和响应功能监测授权用户访问和网络活动，并作出自动化响应。

2．充分发挥行业协会组织作用，推动SDP技术发展

SDP发展还需要产业联盟和行业协会引领。目前CSA大中华区已经成立SDP工作组，推行多试点示范，加速SDP应用在我国的落地。

3．加快构建SDP技术标准体系

SDP标准体系具体包括产品功能、组件、接口、技术指标、威胁情报等方面。建议开展SDP相关标准研制。

声明：本文来自CCIA网安产业联盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。