编者按：近年来，软件定义网络(SDN)如同海藻一样疯狂地席卷全球。但火热的SDN真的安全吗？Gartner分析师Neil MacDonald表示“SDN创建了一个抽象层，这将带来很多新的攻击面，例如OpenFlow协议、供应商API等”。为解决这难题，一种新型的安全模型软件定义边界（Software Defined Perimeter）诞生了,国际云安全联盟（CSA）表示“SDP被设计为与软件定义网络（SDN）高度互补”。

1993年，美国著名卡通漫画家Peter Steiner发表了一幅闻名全球的漫画：一条狗蹲在电脑前对另一条狗说“互联网上没人知道你是一条狗”。这句话放在今天也依旧正确。当你坐在电脑旁真的能确定你对面的“用户”是谁？如何验证远程连接对面的人(或者狗)，是网络安全工作的一大重要问题。

SDP到底是什么？

软件定义的边界（SDP）是由云安全联盟（CSA）开发的一种安全框架，它根据身份控制对资源的访问。该框架基于美国国防部的“need to know”模型——每个终端在连接服务器前必须进行验证，确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施，使之不直接暴露在互联网下，使得网络资产与设施免受外来安全威胁。

SDP有时被说成是“黑云”，因为应用架构是“黑”的——根据美国国防部的定义，这个“黑”代表了架构无法被检测到。如果攻击者无法知道目标在何方，那么攻击将无法进行。因此，在SDP架构中，服务器没有对外暴露的DNS或者IP地址，只有通过授权的SDP客户端才能使用专有的协议进行连接。

SDP架构与部署模式

SDP的体系结构由两部分组成：SDP主机和SDP控制器。SDP控制器主要进行主机认证和策略下发。SDP主机和SDP控制器之间通过一个安全的控制信道进行交互。

SDP控制器是SDP的大脑，在业务驱动的前提下，它在访问者和资源之间建立动态和细粒度的“业务访问隧道”，不同于传统VPN隧道，SDP的隧道是按照业务需求来生成的，也就是说这是一种单包和单业务的访问控制，SDP控制器建立的访问规则只对被授权的用户和服务开放，密钥和策略也是动态和仅供单次使用的。通过这种类似“白名单”的访问控制形式，网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的，这种“临时并单一”的访问控制方式，将私有云资源对非法用户完全屏蔽，这样便大大防止了门外“野蛮陌生人”对云的暴力攻击（如DDoS流量攻击）、精准打击（如APT持续威胁）、漏洞利用（如心脏出血漏洞）等，通过构建“暗黑网络”来减小网络的被攻击面。

SDP工作流如下：

• 一个或多个SDP控制器上线，并且和可选的认证和授权服务建立连接；
• 一个或多个可接受连接的SDP主机上线，这些主机与控制器建立连接并被控制器认证。然而，这些主机并不对其他主机的通信进行应答，也不会响应非预分配的请求；
• 每一个发起连接的SDP主机上线，它和控制器建立连接并被控制器认证；
• 在认证通过后，SDP控制器确定一个发起连接的主机可以被授权通信的主机列表；
• SDP控制器通过加密信道通知可接受连接的SDP主机，以及一些可选的策略；
• SDP控制器将可接受连接的主机的列表和可选的策略发送给发起连接的主机；
• 发起连接的SDP主机与所有授权的可接受连接的主机之间建立Mutual TLS连接。

云安全联盟（CSA）列出了4种SDP部署模式。

• 客户端到网关部署将服务器置于接受主机后面，该主机充当受保护服务器和客户端之间的网关。客户端到网关SDP可以部署在网络内，以减少诸如操作系统（OS）和应用程序漏洞利用，中间人攻击和服务器扫描等横向移动攻击。它还可以直接部署在互联网上，以便将受保护的服务器与未经授权的用户隔离开来，并减轻攻击。
• 客户端到服务器部署类似于客户端到网关部署，客户端和服务器之间没有网关代理。客户端直接连接到主机。
• 服务器到服务器部署，用于向应用程序提供服务（通过REST API）的服务器。
• 客户端到服务器到客户端的实现依赖于客户端之间的对等（P2P）关系，可以用于聊天，视频会议，IP电话等应用程序。在此部署中，SDP模糊了连接客户端的IP地址，服务器充当两个客户端的中介。

为什么需要SDP？

为了阻止所有类型的网络攻击，包括DDoS、中间人攻击、服务器查询(OWASP十大威胁之一)和高级持续性威胁(ATP)，SDP的安全模型融合了设备身份验证、基于身份的访问和动态配置连接三大组件，虽然SDP中的安全组件都很常见，但这三者的集成却是相当创新的。

SDP要求用户拿出多种身份验证变量，比如时间、位置、机器健康状况和配置等，用以证实该用户身份，或者验证用户能否被信任。这一上下文信息可使公司企业识别出非法用户——即便该用户持有合法用户凭证。

访问控制是动态的，能够应对风险和权限提升。用户与系统和应用间的互动是实时的。在会话中，用户可以执行任意数量不同风险级别的事务。举个例子，用户可以多次查看电子邮件、打印机密文档，以及更新企业博客。当用户行为或环境发生变化时，SDP会持续监视上下文，基于位置、时间、安全状态和一些自定义属性实施访问控制管理。

SDP还能够脚本化，以便能够检查除设备信息之外的更多情况。SDP能够收集并分析其他数据源，以提供上下文，帮助进行用户授权动作。这能确保在合法用户试图访问新设备或不同设备上资源的时候，有足够的信息可供验证用户并授权访问。

一旦用户可被验证，我们就可以确信用户是谁（可能是骗子或狗狗），SDP在用户和所请求的资源间创建一条安全的加密隧道，保护二者之间的通信。而且，网络的其他部分则被设为不可见。通过隐藏网络资源，SDP可减小攻击界面，并清除用户扫描网络和在网络中横向移动的可能性。

最后，因为当今IT环境的复杂性和巨大规模，SDP需可扩展并高度可靠。最好是打造得像云一样能够容纳大规模扩展，且是分布式和恢复力强的。

SDP使用案例

SDP可以支持大量的用例，这些用例可以帮助IT领导人支持新的业务活动，简化IT架构和操作。许多企业已经在为各种关键用例使用软件定义的边界。需要注意的是，并不是所有的SDP服务都是以相同的方式构建的，所以安全和网络专家在部署SDP时，应该根据实际场景来规划部署方式。下表中列举了一些SDP的应用场景:

SDP与传统VPN的区别

目前，虚拟专用网络（VPN）是很多公司远程访问的解决方案之一。但是，VPN用户一旦获得授权就可以广泛访问公司网络上的资源。这种广泛访问的方法使潜在的敏感资源和信息暴露给VPN用户和攻击者。因此，围绕软件定义的边界解决方案（SDP）成为安全远程访问的一个更具吸引力的替代方案。

传统的VPN具有过度信任、访问广泛、复杂等问题。首先传统VPN遵循以网站为中心的拓扑结构，具有广泛的信任度。其次在传统的VPN网络访问中，一旦用户登陆了VLAN，他们的主机就可以广播地址解析协议（ARP），以检查是否有其他东西连接到这个网段。由于地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这最终会创建一个相当大的攻击界面，供黑客使用。最后，在企业迁移到云时，VPN管理变得复杂。IT管理员必须在不同的地理位置配置和协调VPN、防火墙策略。这反过来又很难拦截未经授权的访问。

软件定义边界完全颠倒了传统的网络安全模型，每个网络资源、用户、设备和数据中心、应用程序都可以连接到SDP云。与传统的以站点为中心的方法相反，用户现在成为网络的中心。在这种情况下，我们拥有一个以用户为中心的拓扑结构，用户位于中心，可以从任何地方访问应用程序，无论是在云端还是旧数据中心。

整个软件定义的边界模型假定为零信任。它假设用户、设备和服务之间不存在任何信任。零信任不仅基于身份：用户的ID，他们的设备，还包括他们访问的服务、应用程序和网络。基于身份的访问控制用于阻止或允许网络连接。

在配置方面，传统的VPN需要配置在每个数据中心和云上。而通过SDP，管理员可以向平台添加一次网络资源，然后以集中方式管理云中的所有策略。使用完全基于云的SDP解决方案的另一个好处是，在授予数据中心或虚拟私有云内的访问权限时，几乎不需要额外的配置和维护。所有与安全相关的活动，都在云中执行。

总之，SDP的安全远程访问机制吸引了众多企业的关注。它为用户和资源实现了自定义的网络访问策略。这些资源对于未授权的用户来说是不可见的，减少了潜在的攻击面。SDP解决方案以客户为导向，使其更易于控制、全面适用和灵活。这些特点超越了传统VPN服务的优点。

SDP与SDN高度互补

当提到软件定义边界时，可能会有人问“它与软件定义的网络（SDN）有关系吗？” 云安全联盟（CSA）表示“SDP被设计为与软件定义网络（SDN）高度互补”。似乎SDP是为了预防网络攻击而实施的SDN。

根据定义，SDN是一种计算机网络方法，允许网络管理员通过抽象出更高级别的功能来管理网络服务。SDN通过控制平面和转发平面分离来管理网络基础设施。它具有动态性、可管理性、成本效益和适应性，是当今各组织的理想选择。

SDP是一个安全控制框架，在授予对应用程序基础结构的访问权限之前，设备和身份是经过验证的。因此，虽然SDN是建立动态网络基础设施的概念，让用户能够以尽可能多的吞吐量快速有效地进行点对点连接，但SDP遍历多个OSI层，使用经过审查的安全模型将应用程序和用户与可信网络联系起来。二者高度互补，对于未来的云技术来说，它们显然比传统的IT系统更安全。

SDN和SDP相结合能为网络管理和安全带来1+1>2的效果。首先当组织需要管理和保护不断增长的数据量时，完整的网络可见性和透明度是必不可少的。通过SDN和SDP提供网络自动化和业务流程，可以创建更多数据，以提供有价值的见解和及时的警报，为IT管理人员提供安全分析的良好基础。其次，SDP与SDN功能密切配合可以从设备到应用程序提供安全的点对点网络隧道，在动态基础上最小化网络攻击面。所以，SDP与SDN的结合对于云技术、网络安全都有深远意义。

SDP潜在的挑战

尽管SDP给出了零信任条件下、满足现代企业数据保护需求的访问控制模型，但从框架到落地实现还涉及到许多技术问题及资源整合；同时，即使在此完成基础上，SDP自身仍有一些能力缺陷。

• SDP方法的最大挑战之一是带外控制器，当初始认证请求完成后，认证的信息不会停留在实际的数据路径中。假设一个用户连接到企业应用程序的场景，在通过SDP控制器进行初始认证和授权之后，客户端或IH将根据策略和端口号通过SDP网关建立一个带有应用程序服务的隧道。如果同一用户感染了恶意软件，它可以很容易地通过开放端口传播到其他应用程序。
• 无论是物理的还是逻辑的安全域总是有既定边界，而对于某些开放业务、包括一些实际需求往往不得不违背信息流安全策略，即高安全域内的敏感数据需要流向低安全域，这是SDP本身无法解决的。例如，假设存在内、外两个不同等级的安全域：银行向监管机构上报数据相当于从内网流向外网；供应链上下游厂家给平台提交数据也是从内部流向外部。其实无论是组织内外都大量存在类似的案例。因此，即使有安全边界但所谓泄漏通道在现实场景中也是必须考虑的。
• SDP面临的另一类挑战是难以解决横向攻击。理论上，SDP通过隐藏网络资源，侧重规划安全策略的实施空间和范围，减小攻击面，但没有落地安全策略的实施机制。因此，无论是某个终端还是服务器第一时间被攻破后，攻击很可能转移至其它设备或应用，即横向攻击。

商业解决方案

目前市场中有很多商业和开源解决方案提供SDP功能。Vidder和CryptZone有推向市场的SDP解决方案。一些网络软件产品中也提供SDP中的关键元素，例如Cisco ACI（以及类似的开源项目），VMware NSX，Nuage VSP。谷歌已经发布了BeyondCorp来分享这些概念。Cisco，HPE，Juniper提供的NAC解决方案也提供类似SDP的解决方案。Verizon Enterprise等服务提供商已开始接受这些概念。软件定义边界的概念被许多安全或网络设备供应商采用。

Vidder是软件定义边界（SDP）计划的先驱。Vidder的可信访问控制技术利用除了授权用户外所有人都看不到服务器的方法，来减轻网络的攻击。Vidder公司较出名的SDP解决方案是PrecisionAccess。PrecisionAccess只允许受信任的客户端访问企业应用程序，隔离受感染的设备。无论应用程序是在内部还是云端，PrecisionAccess都可以保护应用程序和服务器免受未经授权的用户，未注册的设备的攻击。PrecisionAccess架构在连接层和应用层运行，而不是使用传统的基于网络的控件，因此成本较低。

Cryptzone的AppGate SDP是一种新的安全方法。它使用Software Defined Perimeter（软件定义边界）保护网络，该模型可动态地在用户与其访问的资源之间创建一对一的网络连接。AppGate 3.0版本增加了新功能，可帮助组织提供安全，经过身份验证的资源访问，包括单数据包授权技术，可防止未经授权的用户隐藏网络资源。从技术角度来看，该方案有一个控制器，它充当SDP网络的集中身份验证点和策略存储点。另外，还有一组保护网络资源的网络网关，安装在端点设备上的客户端。客户端用于创建一个安全的、加密的虚拟专用网络（VPN）隧道，以便在策略允许的情况下访问资源。AppGate SDP也可在各种云市场中使用。

Zscaler Private Access采用以用户和应用程序为中心的网络安全方法。它确保只有授权用户和设备才能访问特定的内部应用程序。ZPA不使用物理或虚拟设备，而是使用轻量级基础架构软件将用户和应用程序连接到Zscaler Security Cloud。ZScaler Private Access解决方案类似SDP的安全概念，Zscaler Connector相当于是SDP网关，ZApp客户端是Initiating主机，Central Authority是SDP Controller。Broker（ZEN）是一个额外的组件，它消除了对数据中心或云网络段的传入连接的需求。在客户端和连接器之间添加了一层额外的Mutual TLS，以提供额外的加密和信任层。

Google的BeyondCorp是一种无边界的网络IT基础架构，它基于用户和设备身份验证和授权，并为用户提供特定应用程序的临时访问权限。其愿景是不再有防火墙、VPN。根据各个设备和用户的身份和安全状态授予权限。BeyondCorp使安全策略具有灵活性，可扩展性和可管理性。BeyondCorp就是在身份认证后把结果（人和设备）关联至基于具体业务构建的vnet网段，形成了一个个不同安全等级的隔离域，用户如果想跨域访问必须遵守相关安全策略。但是，并非每个组织都拥有实施BeyondCorp的IT基础架构的知识，资源和时间。组织必须拥有大量预算和人力来开发，构建和维护适合其特定情况的BeyondCorp类架构。这可能是一项重大挑战，特别是对于那些没有这些资源的小型企业。

2018年10月，思科收购Duo Security以解决“新”安全边界问题。SDP对思科尤其重要，因为许多组织将其视为VPN替代品，这是思科需要捍卫的细分市场。Duo公司提供了从端点到基于云资源的零信任连接解决方案。思科可以将Duo的服务与自己的产品结合起来，将最全面的SaaS和本地NAC / SDP整合到其客户群中，同时与Cyxtera，Google和Zscaler等公司竞争。此外，思科还与BlackRidge Technology合作，将BlackRidge传输访问控制（TAC）与思科身份服务引擎（ISE）集成在一起。当一个用户访问一个网络时，他们的凭证被传递给思科的ISE并进行验证。BlackRidge创建了一个ISE代理，它与Cisco pxGrid集成，以检测ISE何时对网络设备进行身份验证，可以将该设备的访问权限扩展到相关的云资源。然后，通过BlackRidge TAC网关保护云中的资源，创建允许访问的策略。这使得基于Cisco ISE的统一策略管理和审计可用于混合云和融合IT和IIoT网络。

2017年5月，Verizon Enterprise Solutions推出了一项新的软件定义边界（SDP）服务，该服务通过隔离企业应用程序和最终用户设备之间的通信来实现，从而能够快速识别和防止基于网络的网络攻击，例如拒绝服务，连接劫持和凭证窃取。2017年9月，该公司与Vidder合作，Verizon的新服务有助于保护企业在整个数据中心和云环境中免受凭据盗窃、恶意软件传播和服务器攻击。2018年1月，Verizon与网络安全软件公司Fhoosh宣布合作，通过快速的端到端数据保护来推动软件定义边界（SDP）服务。2018年11月，Verizon购买了Vidder的PrecisionAccess解决方案和其他软件定义的边界资产。

Pulse Secure（2014年7月从瞻博网络分离出来，专注于安全访问解决方案的公司）推出了一种新的软件定义边界（SDP）产品，旨在为组织提供对资源和应用程序的安全访问。Pulse SDP由三个关键组件组成：SDP控制器，SDP客户端和SDP网关。客户端组件位于最终用户设备上，而网关则有助于将流量定向到正确的数据中心或云资源。SDP控制器定义客户端可以连接的策略和可访问的资源。整个产品架构分为两部分，一个独立的控制平面（在授予访问之前验证身份、设备和安全状态）和一个数据平面（允许实体和应用程序之间直接、高速的数据传输）。由于基于SDP进程连接的设备只能连接到控制器，并有条件地访问控制器所持有的资源，所以整个攻击面就会降低，攻击者或恶意软件不会在边界内横向移动。

结语：

由于云、虚拟、内部部署和混合WAN等多种新兴技术的兴起，企业对SDP解决方案的需求也在不断增长。据悉，到2025年全球软件定义的边界市场价值预计将达到12,247.9百万美元。2017年至2025年，SDP年复合增长率将达到30.9%。SDP能否颠覆网络防火墙和VPN技术，打破传统的网络安全技术部署还不好判断，但不难发现SDP可以提供以人为中心、可管理的、普遍存在的、安全的和敏捷的访问,它顺应了现在网络安全的发展趋势。

参考
1.https://www.darkreading.com/why-security-needs-a-software-defined-perimeter/a/d-id/1332666
2.https://www.sohu.com/a/253812526_490113
3.http://www.waverleylabs.com/software-defined-network-sdn-or-software-defined-perimeter-sdp-whats-the-difference/
4.https://mp.weixin.qq.com/s/eoH9BYJrOTrZRzeed4lcng
5.https://sdn.ieee.org/newsletter/march-2017/software-defined-perimeters-an-architectural-view-of-sdp
6.https://www.csoonline.com/article/3053561/learning-about-sdp-via-google-beyondcorp.html
7.https://www.eweek.com/security/cryptzone-appgate-update-secures-the-software-defined-perimeter
8.https://blackcloud.blog/tag/cisco-aci/
9.https://www.zscaler.com/products/zscaler-private-access