传统的企业边界,受到了IDS/IPS以及防火墙等设备的保护,远程用户或业务合作伙伴若想从外部访问企业内部内容,则需要通过部署VPN来通过企业边界。但随着外部的访问企业内部的需求不断变化,目前VPN已经不能满足于现代的业务环境,在该环境下,用户可以从内部或者外部位置访问网络,并且企业的业务、资产、数据不再拘泥于企业边界内,而是位于多云的环境之中。这就是SDP诞生并旨在解决的问题之一。
一、传统VPN功能不足
传统的VPN无法提供保护网络所需的可见性、可控性以及威胁检测能力。
1.访问速度慢且不可靠
VPN的连接模式是隧道模式,类似于在客户端和VPN网关之间建立网络层长连接。所以很多情况下,使用VPN专用网络的连接速度慢于常规的网络连接,若用户在不同地点使用,需要反复的连接,让人心生厌烦。
2.缺乏网络分段
企业内部网络资源很少是平级化的,这就是为什么不同的用户应该对敏感资源具有不同级别的访问权限。比如说,远程工作人员不会具有与内部人员相同的网络访问权限。这就是为什么网络分段和用户访问控制对于访问敏感资源和缓解网络攻击来说至关重要。但是,传统的VPN无法为不同用户提供具有不同访问级别的粗粒度网络分段。
3.缺乏可见度
通常用于构建网络边界的设备和技术不能够对有害流量进行过滤。例如,传统的VPN技术无法区分应用程序是否是恶意的,这意味着IT部门需要负责构建和维护访问控制策略。它们也无法充分考虑加密的应用程序流量,并且无法准确识别和控制用户。
4.不适合动态网络
传统的VPN需要不断地更改、不断地二次开发,以适应网络或服务器的变化。从而使得有效管理混合云的模型变得越来越困难。
5.缺乏本地用户安全性
用户登录VPN后,VPN通常会在网络层将用户的设备连入内网,提供无约束的网络访问。因此恶意行为可以在企业网络内部进行横向攻击。
显然,企业需要一套完全不同的技术和策略来为远程用户提供安全的网络访问。
二、SDP的出现提供了一种整体解决方案
消除了整个安全方案对硬件的依赖,并且仅使用软件即可部署,管理和进行可视化的网络连接。
SDP的连接是基于Need to Know模型,这意味着必须先验证每个设备和身份,然后才能授予对网络的访问权限。这显著的减少了攻击面,对未经授权的用户隐藏了系统和应用程序漏洞。
使用SDP的原因
SDP可以更快、更好、更安全地进行网络的自定义访问。
1.自适应
通过SDP,您可以实施自动化策略,该策略指示哪些设备,用户或服务能够访问网络。
2.全局访问
使用SDP,您可以部署统一网关,从而可以从任何位置访问任何资源。
3.精确网络分段
SDP可以与IAM集成,包括Active Directory和SAML服务,使您可以利用身份精确网络分段。
4.安全和加密
SDP提供了客户端和服务器保护,身份和访问控制,操作系统和应用程序级安全,同时还使用TLS对流量进行加密保护。
5.基于用户的策略
由于SDP系统是以用户为中心的(在允许任何访问之前会先验证用户和设备),因此SDP允许企业根据用户属性创建访问策略。根据这些详细信息就可以进行自动合规性报告。
6.扩展性强
通过API将日志等数据无缝导出到SIEM(安全信息和事件管理软件产品)或分析平台(例如SumoLogic)非常简单。
7.账户劫持
SDP解决了基于cookie的会话账户劫持问题。由于所有访问都经过了预认证和预授权,因此拒绝了来自恶意端点的请求。
8.DDos攻击
单数据包授权(SPA)使SDP架构更能抵御DoS攻击。由于SPA比典型的TCP握手占用的资源少得多,因此服务器能够大规模丢弃未经请求的网络数据包。
9.降低成本
减少了手动更新防火墙的需求,减少了工作量和人工成本,并提高了生产率。
10.最低特权访问
基于策略的安全访问和网络分段可在用户与其访问的资源之间建立一对一的网络连接。其他所有内容都是不可见的,包括系统本身。这不仅将最小特权原则应用于网络,而且还通过向未授权用户隐藏网络资源来减小攻击面。
下面是防御盾罗列的常见的网络安全风险,及SDP可以起到的作用。
SDP能起到的作用
1.数据窃取
SDP可以减少公开暴露的主机的攻击面,实现服务器和网络的安全性的“最小访问权限”模型,从而有助于减少数据泄露。
2.弱身份、密码与访问管理
过去,企业VPN访问密码被盗往往导致企业数据丢失。这是因为VPN通常允许用户对整个网络进行广泛的访问,从而成为弱身份、密码与访问管理中的薄弱环节。相比之下,SDP不允许广泛的网络访问,并限制对这些主机的访问权限。这使得安全体系结构对弱身份、证书和访问管理有更大的弹性。SDP还可以在用户访问资源之前执行强认证。
3.不安全的系统接口和API
保护用户接口不被未授权用户访问是SDP的核心能力。使用SDP,未经授权的用户(即攻击者)无法访问接口,因此无法利用任何漏洞。SDP还可以通过在用户设备上运行的进程来保护API。
4.业务系统和应用程序漏洞
SDP显著减少攻击面,通过将业务系统和应用程序的漏洞隐藏起来,对于未授权用户不可见。
5.账号劫持
基于会话cookie的帐户劫持被SDP完全消除。如果没有预先认证和预先授权,并且携带适当的SPA数据包,应用服务器会默认拒绝来自恶意终端的网络连接请求。因此,即使网络请求中携带被劫持的会话cookie,也不会被SDP网关准入。
6.内部恶意人员威胁
SDP将限制内部人员造成安全威胁的能力。适当配置的SDP系统将具有限制用户仅能访问执行业务功能所需的资源。因此,所有其他资源都将被隐藏。
7.高级持续威胁攻击(APTS)
APTS本质上是复杂的、多方面的,不会被任何单一的安全防御所阻止。SDP通过限制受感染终端寻找网络目标的能力,并且在整个企业中实施多因子认证,有效减少攻击面,从而降低APT的存在可能性和传播。
8.数据泄密
SDP通过执行最小权限原则,并将网络资源对未授权用户隐藏起来,来减少数据丢失的可能性。而且,SDP可以通过适当的DLP解决方案来增强。
9.DDoS
SDP架构中的单包授权(SPA)技术使得SDP控制器和网关对阻止DDoS攻击更有弹性。SPA与典型的TCP握手连接相比可花费更少的资源,使服务器能够大规模处理、丢弃恶意的网络请求数据包。与TCP相比,基于UDP的SPA进一步提高了服务器的可用性。
因而可见,SDP相较于传统的VPN隧道技术,不但能够解决VPN本身的一些弱点,同时也提供了很好的安全性能。