產品經理看RSA：新的軟體定義邊界「新」在哪兒？

一年一度的的安全圈盛事RSA大會已經拉上帷幕，本屆RSA2017中，雲安全作為老生常談的話題，又被提升到了新的高度。安博通產品經理注意到，不同於前幾屆的趨勢呼籲與概念創新，雲安全已經成為安全領域的普遍共識和主流方案。除了不斷的湧現出眾多新興雲安全廠商之外，傳統安全廠商也將雲安全作為言必稱的話題，意圖在這塊新蛋糕上鞏固自己的老地位。

RSA2017第一天，保留節目CSA Summit（雲安全聯盟論壇）便吸引了大量的關注者，在主題演講環節，各大安全廠商就大家關心的問題發表了各自新的建議，值得關注的是在今年論壇上，CSA提出了全新的SDP-New Software Defined Perimeter（軟體定義邊界）概念。而在後面幾天的展會上，各廠商也都紛紛展示和發布自己的New SDP解決方案，其中既包括老牌CheckPoint、Cisco、HP (Aruba)、SOPHOS、Juniper等NGFW（下一代防火牆）與NAC（網路准入控制）廠商，也有Cryptzone、Vidder等創新廠家。New SDP將雲計算環境中IaaS層面的安全問題做了系統的架構和總結，值得筆者帶著大家一同探索和分享。

RSA2017 CSA Summit現場

雲安全概念分類

在了解New SDP之前，我們有必要對當前紛雜的「雲安全」概念領域與技術範疇做一個分類與梳理，便於大家理解。首先從大的層面講，我們還需要分清楚「雲安全」與「安全雲」的區別。

簡單講「安全雲」，筆者認為用英文「Security as a Cloud」翻譯更為貼切。它是集中構建一整套安全能力和安全管理的資源池，讓用戶在接入公有雲SaaS業務之前，先在這朵「替身雲」里「隱藏」和「躲避」，從而解決身份、訪問、加密、應用、數據、內容等層面的安全問題，這個領域典型的方案有CASB、雲WAF、雲DDoS等應用，代錶廠家有BlueCoat、Skyhigh、Zscaler、Incapsula等，筆者在之前的文章中已經有過介紹，詳見文末「回顧閱讀」。

安博通產品經理則傾向於將「雲安全」翻譯為「Security of a Cloud」，它才是我們近幾年所普遍關注的雲計算環境本身的安全體系。眾所周知，在這個體系中需要解決遠程用戶訪問雲的安全隱患和數據中心內虛擬機伺服器之間的安全問題，也就是我們通常所說的「南-北」問題和「東-西」問題。而SDP正是解決前者問題的技術路線之一，安博通在國內致力推廣的解決方案主要也用於解決這類問題。後者問題目前解決方案也有很多，包括Micro-Segmentation（微格離）、EDR（終端檢測與響應）、Flow Visibility（流可視）等方案，其中比較明星的自適應安全實踐者illumio、青藤雲等廠商，筆者會在後面做專題研究與分享。

New SDP架構是什麼?

雲安全技術在發展初期，對於IaaS邊界的安全防範似乎主要就是在網路出口布置一個硬體防火牆，而對於遠程用戶訪問，最有效的辦法也只是VPN接入。但是後期出現了各種各樣的問題，雲的租戶不滿足共用防火牆，希望得到更個性化的服務，傳統防火牆和VPN更無法滿足租戶動態遷移、業務快速部署，策略隨需生成、策略及時收回、策略路徑可視等要求。於是，軟體定義的邊界SDP方案誕生，現階段主要用於靈活管理租戶出入的網路流量（南北流量）安全與用戶身份安全。

典型IaaS環境如上圖所示，眾位讀者應該非常熟悉。然而當我們從雲用戶的角度，而不是雲服務提供商的角度去理解IaaS安全的時候，有必要再闡述一遍我們慣常的解決手段。上圖表示的雲環境中示意了兩個獨立的私有雲資源（虛擬機群組），這兩個私有雲資源分別有不同的用戶組和訪問許可權。按照我們常規的部署方式，在兩個資源前面，我們分別部署了防火牆設備（實體的或虛擬的皆可），並啟用了路由策略、網關策略、訪問控制策略等規則，以保證兩塊資源分別的安全與合規。然而，如此部署的這些年，我們是不是一直在面臨某些新問題呢？

不變的永遠是變化

雲環境中，計算資源是高度動態的，服務在不停的創建和收回。手工管理和跟蹤訪問控制策略幾乎是不可能的。同時用戶也是高度動態的，同一個用戶可能在同時擁有不同的角色，來交叉訪問和操作不同的資源和服務。

位置只是人的新屬性

不同身份的用戶，就算坐在同一張桌子上，近在眼前的他們也許在訪問的是完全不同的服務資源。而同一塊資源的訪問者，又很可能來自天南海北，這些遠在天邊的訪問者們又需要相同的安全策略。

IP地址的難題

正是因為上述兩個原因，IP地址的管理將是重大的難題。IP地址和用戶身份再也不可能一一對應，傳統的基於IP的訪問控制將在這個環境中完全失效。訪問控制策略將會隨著身份、服務、時間等要素的疊加，產生級數形態的增加和變化。

最終，擺在我們面前的就是如下兩個問號：

1. 遠程用戶如何接入？

在我們傳統觀念中，遠程接入最成熟的手段無他，只有VPN（包括點對點VPN和移動接入VPN）。當前的VPN技術足夠成熟，可以同時解決遠程接入、數據加密、身份認證、高可靠性等需求，但是要解決上述的問題，VPN存在兩大軟肋：首先，VPN的控制方式太過於靜態和粗粒度，一旦VPN隧道建立，所有隧道內的用戶都可以無限制的訪問伺服器資源，根本沒有解決用戶分類、資源隔離、用戶分級、動態調整等需求。其次，當前的VPN技術只是針對遠程用戶，而針對本地用戶又不適用。按照剛才「位置只是屬性」的概念，本地和遠程用戶其實應該統一管理和控制，策略與許可權不應該割裂和區分對待。

2. 複雜的訪問策略如何可視化管控？

當如上的情況發生，動態的用戶訪問動態的資源，訪問控制策略的條數將以級數方式產生，筆者曾經有過計算（如下圖），傳統網路中4個訪問節點之間的訪問控制關係有12種可能，尚且可以用人工方式管理，而在雲計算環境中N個動態節點加之服務（S）和時間（T）的變化，可能產生成千萬上億條訪問策略，這個規模的安全策略，必須要藉助自動化方式進行可視化的管理和變更。

來，讓New SDP架構大顯身手

新SDP架構創新之處，在於用細粒度的訪問控制手段與可視化的策略管理能力，來保護雲用戶接雲環境時面臨的上述問題。

新SDP架構核心採用預授權、預認證、預調度、可視化等幾項技術。如上圖所示，SDP的大腦是SDP Controller（SDP控制器），在業務驅動的前提下，它在訪問者和資源之間建立動態和細粒度的「業務訪問隧道」，不同於傳統VPN隧道，SDP的隧道是按照業務需求來生成的，也就是說這是一種單包和單業務的訪問控制，SDP控制器建立的訪問規則只對被授權的用戶和服務開放，密鑰和策略也是動態和僅供單次使用的。通過這種類似「白名單」的訪問控制形式，網路中未被授權的陌生訪問在TCP鏈接建立階段就是完全被屏蔽和拒絕的，這種「臨時並單一」的訪問控制方式，將私有雲資源對非法用戶完全屏蔽，這樣便大大防止了門外「野蠻陌生人」對雲的暴力攻擊（如DDoS流量攻擊）、精準打擊（如APT高級持續威脅）、漏洞利用（如心臟出血漏洞）等，通過構建「暗黑網路」來減小網路的被攻擊面。

New SDP的另一項創新在於業務安全策略的管理與可視化。SDP建立了一整套基於用戶和業務的訪問控制列表，而不是傳統的IP地址。在網路中嚴格定義了用戶、用戶組、服務、IAM標籤、角色等屬性，實現了為真實業務服務的策略體系。同時配合策略可視化和流量行為可視化的手段，對這些海量動態的「業務策略」進行自動化管理和運維。

CSA的SDP專題研究小組認為，New SDP給用戶帶來的好處在於：

同時，本次大會上CSA提出 SDP的發展趨勢和方向為：

集成化：隨著傳統安全廠商越來越重視雲安全，各大傳統安全廠商正在將其在傳統領域的優勢複製到雲安全領域來。除了IPS、AV、QOS，HA，VPN等盒子上耳熟能詳的傳統基礎功能，DPI、URL過濾、UEBA等、IAM等廣義的安全的功能也都將集成到到雲環境中。全品類、全功能、高度集成正在成為CheckPoint、Palo Alto Networks、FortiNet等傳統安全大廠在SDP方案中的競爭亮點。vFW，vDPI、vWAF、vDLP等產品互相配合。由集中SDP控制器統一調度，配合SDN動態修改安全策略，快速遷移，自動部署已經成為優秀產品所必須的功能。

可視化：可視化已經成為安全方面最讓人關注的價值點之一。雲內的流量中有什麼行為和隱患？各個節點上的動態安全策略是否符合規定？雲內有那些未知的安全威脅和漏洞？這些是用戶最關心的問題，也是安全廠商必須提供給用戶的內容。而這也是SDP需要關注的重要方向。同時CSA還建議將伺服器與用戶進程之間的東西向流量的檢測與響應，未來也應該集成到SDP大框架中。

值得一提的是，本屆RSA2017大會上，來自的安博通公司也向用戶首次展示了基於策略可視和虛擬調度的私有雲安全解決方案，符合New SDP的各項技術要求：

安博通基於策略可視和虛擬調度的私有雲安全解決方案

安博通推出的雲安全解決方案面向國內雲等保的合規要求，充分考慮到雲內資源的動態和變化之特點，採用自適應的SDP Controller作為核心策略和虛擬流量調度工具，同時支持業務隧道的創建與動態回收，流量監控與分析、業務策略分析與可視化、身份認證與安全服務門戶等功能，吸引了與會各界的眼球。

回顧閱讀：什麼是CASB？

CASB可譯為雲訪問安全代理。CASB的提出者Gartner是這樣定義的：「雲訪問安全代理（CASB）是位於雲服務使用者和雲服務提供者之間的本地或基於雲的安全策略執行點，以在訪問基於雲的資源時組合和插入企業安全策略。 CASB合併多種類型的安全策略實施。 示例安全策略包括認證，單點登錄，授權，憑證映射，設備分析，加密，標記化，日誌記錄，警報，惡意軟體檢測/預防等。」

CABS主要解決的問題是，隨著企業用戶使用SaaS服務越來越多，加之BYOD越來越流行，大多數IT運維人員並不清楚企業內使用了什麼雲服務，使用了多少的雲服務，何時何地誰使用了雲服務，就形成灰色的「IT陰影」（shadow IT）。CABS作為部署在雲服務使用者和提供商之間的「經紀人」，能夠使用反向代理、轉發代理、API模式，結合安全分析和UEBA（用戶與實體行為分析）、DLP（數據泄密防護）和DCAP（數據轉接客戶訪問協議）以及數據加密和身份認證等技術，幫助企業在雲上資源被連接訪問的過程中加以監控和防護。

CASB提供圍繞四個功能的功能：

CASB的主要廠家有賽門鐵克（Blue Coat）、Skyhigh、Palo Alto Networks、CipherCloud、思科（CloudLock）。眾多的CASB廠商在發展路線上已經有一些區別，一部分廠商關注的是SaaS層的安全防護，以及針對數據內容的處理，另一部分廠商則是關注基於IaaS、PaaS層的架構層安全。