4月7日,360企业安全顺利举办“第八期360春耕行动系列直播”活动,本次直播围绕“数字化战‘疫’SDP技术及方案趋势”展开,360企业安全集团云安全产品专家张利民担任分享嘉宾,向大家深度解读了软件定义边界(SDP)技术如何在当下发展成为新的风口。
“传统安全边界已经被打破,企业上云是技术演进的方向”,张利民表示,过去企业通过在其数据中心边界部署安全解决方案,来阻止对企业应用的外部威胁,而现在边界消失, SDP旨在通过软件的方式,在“移动+云”的时代背景下,为企业构建起一个虚拟边界,有效保护企业的数据安全。
“软件定义边界”新安全模型崛起
SDP的全称是Software Defined Perimeter,即“软件定义边界”,是国际云安全联盟CSA于2013年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP并不是最近才提出来的概念,张利民指出,之前在美国国防部和美国情报体系中,内部有多个网络访问已经实施了基于身份验证和授权的类似架构,它通常应用于机密或高端的网络,由国防部来进行定义,每台服务器隐藏在远程的访问网关背后,用户必须通过该设备的身份认证才能查看授权和相关访问。
随着云计算、移动互联网、IoT、5G等安全架构的崛起,传统的网络安全架构不能适应时代的需求。过去企业的服务器和终端设备主要应用于内网环境中,企业安全都是围绕内网的“墙”来进行建设的,这就是大家熟知的基于防火墙物理边界的模型。然而,物理边界有天然的局限性,今天的企业不可能把数据局限在自己的办公大楼里。
张利民表示,企业要拥抱云计算,但不可能把所有云都装到自己的防火墙里;企业要拥抱移动办公、IoT,也不可能把防火墙修到酒店机场;企业还要拥抱大数据、人工智能,不可避免与外部合作伙伴发生数据的交换。因此,防火墙这种物理安全边界正在新技术趋势下逐渐被替代,传统防御模型在万物互联的时代变得过时,现在急需SDP这样一种新兴技术和新安全模型来解决问题。
“移动+云”的发展趋势,让SDP可以为企业构建出一个虚拟边界并利用基于身份的访问控制机制,为企业应用和服务穿上“隐身衣”,使网络黑客因看不到目标而无法对企业的资源发动攻击,进一步让企业的数据安全得到有效保护。
安全优势与商业优势并驾齐驱
张利民认为,传统的安全机制是以网络为中心,比如它是授权整个网段和子网,是所有子网中的端口和应用全部开通,粒度比较大没有那么精细化;它整个的人为设定是内网可信,因为传统的思路是外网高危,重边界,把边界作为安全唯一的一个途径,但其实内网的危险性也是很大的。
现在的SDP零信任的设计理念是先进行鉴权,SPA和双向TLS加密机制验证设备,再是相关用户、设备和应用三者相结合,先鉴权、后联接、再访问。这是以用户身份为中心,不再区分内网和外网,所有的连接都是零信任的,甚至建立连接之后,每一个互访都要进行再次的验证。
基于此,张利民认为SDP具备独特的安全优势与商业优势。
SDP的安全优势:
1、 SDP最小化攻击面降低安全风险;
2、 SDP通过分离访问控制和数据信道,保护关键资产和基础架构,从而阻止潜在的基于网络的攻击;
3、SDP提供了整个集成的安全体系结构,这一体系结构是现有的安全设备难以实现的;
4、SDP提供了基于连接的安全架构,而不是基于IP的替代方案。因为整个IT环境爆炸式的增长,云环境中的边界缺失使得基于IP的安全性变得脆弱。
5、SDP允许预先审查控制所有连接,从哪些设备、哪些服务、哪些设施可以进行连接,所以它整个的安全性方面是比传统的架构是更有优势的。
SDP的商业优势:
1、SDP节省成本及人力,使用SDP替代传统网络安全组件可以降低采购和支持的成本;
2、SDP可提高IT运维灵活性,更快的响应业务和安全的需求;
3、SDP可以提供和响应GRC,GRC是治理、风险和合规,同传统方法相比,SDP降低了风险,可以抑制风险减少整个攻击面,防止基于网络或应用程序漏洞被利用攻击;
4、SDP合规范围增加及成本降低,通过集中控制,从注册设备用户到特定的应用程序服务连接,SDP可以改进整个合规性的数据收集、报告和审计的过程;
5、SDP整个业务的敏捷性和创新性,SDP使企业能够快速、安全地实施实施优先业务;
6、SDP快速可控和安全采用云架构,它是通过降低所需的安全架构,支持公有云、私有云、数据中心或混合云环境中的应用程序,SDP可以帮助企业快速、可控和安全地采用云架构。
SDP安全守护方案—360远程云盾甲
最后,张利民为大家介绍了360的SDP安全守护方案——360远程云盾甲,360远程云盾甲是基于SDP的理念设计开发的一个产品解决方案,先进行授权,再进行访问,最小权限原则和最短授权原则。通过浏览器可以精细到整个URL级别,比如控制复制、截屏和打印类等最常见的泄露访问行为。
具体来看,360远程云盾甲有六大优势:
一是帮助企业应用和服务器在网络上实现隐身,减少客户业务系统被攻击的风险。
二是为企业提供一种更灵活的替代VPN的方案,实现远程办公更安全更便捷的方案。
三是助力企业业务发展,为企业用户访问应用提供一致的体验,与用户当前所在的网络或所在的位置无关。
四是文档模式自动切换、JS引擎自动切换、资源动态替换、JS脚本重载等一些列强大的兼容性技术解决方案让用户顺畅无感知访问所有业务系统web页面。
五是基于高版本浏览器内核全面支持系列Windows系统(包含WindowsXP)、国产操作系统(包含UOS)、Mac、Android、iOS系统,提供全方位办公体验。
六是360企业安全浏览器经过大量的市场客户使用,易用性、稳定性和安全性极佳。
值得一提的是,360的远程云盾甲解决方案在新冠肺炎疫情期间是免费使用的。今年以来,受疫情影响,不少复工企业纷纷选择远程办公,巨大的需求引爆了远程办公市场,各类在线化办公解决方案也成为“防疫战”中的重要组成部分,这对办公网络的安全性提出了很大的考验,特别是公司数据的保护层面。面对企业IT架构从“有边界”向“无边界”转变,软件定义边界SDP技术的出现解决了上述问题, 360远程云盾甲更是提供了一套完备的SDP安全守护方案,保障各企业工作能够顺利开展,高效完成。