SDP 还是零信任?从软件定义到安全网格
随着虚拟化和云计算的普及,软件定义的概念已经深入人心。不管是最初的软件定义网络(SDN),还是之后的软件定义广域网(SD-WAN)等技术,甚至于“软件定义一切”的宣称等,其核心理念都是“通过在硬件设备之上建立一个虚拟层,以实现网络与信息系统性能、功能和效能的最优化配置,同时极大的增强易用性。”
软件定义之于网络安全,近年来最火的几个概念有软件定义边界(SDP)、零信任网络访问(ZNTA)、安全访问服务边缘(SASE),以及Gartner发布仅三个月的网络安全网格(Cyber Security Mesh)。这些技术概念的侧重点各有不同,SDP是边界控制,ZNTA是访问验证,SASE和安全网格则是整合了云、网和安全的访问架构。同时,内嵌的安全功能的SD-WAN也成为上述技术方案的关键组件之一。
近日,国内一家成立仅一年半的网络安全创业公司绎云科技,推出了整合云、网和安全的访问架构–信域安全云网。
信域安全云网
绎云科技创始人兼CEO陈坤鹏在发布会上介绍,“信域安全云网是一种新型的云化企业业务网络,融合了SDN技术和零信任安全原则,可以帮客户快速在全球范围内构建专有的符合零信任理念的业务安全访问网络。”
这个产品带来的最大价值,就是快速帮客户将原来的企业内网云化,并提供一个隐身的安全云化业务网络。企业的业务部署在云上也好,IDC也好,也不管员工在全球的任何位置,都可以通过在企业物理网上构建一个虚拟网络,把业务与员工安全的连接起来。该访问架构经过绎云科技一年半的打磨,并在客户实际环境中做了产品验证,交付与使用均非常的方便。
SDN的技术逻辑是把网络的管理平面和数据平面分离,由一个控制平台统一对网络策略(无所谓物理位置)进行集中编排,数据转发在数据平面的各个网络设备上按照统一编排的策略执行,从而极大的降低管理成本。与SDN在路由器、交换机上实现的思路不同,绎云科技的做法是安装终端Agent将PC或移动终端接入SDN网络,同时通过网关代理的方式将业务资源接入到SDN网络(当然也可以不这样做,但许多关键业务场景的客户对在服务器上安装软件的做法较为排斥)。
云计算的做法是把全球的互联网数据中心(IDC)作为物理资源,在上面构建一个虚拟网络,从而帮助客户脱离物理网络的限制。信域安全云网则是把分布在全球的所有物理设备,包括PC、移动终端,以及IDC中的服务器、云上的业务系统等构建成一个新的虚拟网络,这也是“云网”的名称由来。在这个虚拟网络里,网络中的任何两点之间在逻辑上是端到端直连,即全网状互联(FullMesh)。
在这种FullMesh的环境下(可称之为极简网络),无需多个节点跳转的路由策略,所有访问都是一跳到达,因此安全访问控制也会变得非常简单。典型的如零信任访问体系中的全面身份化、最小授权、动态访问控制等,用可信身份以及可信行为,这两个维度去重新定义边界。以远程办公为例,当终端远程登录的时候,安全云网会检测当前的登录环境,根据帐号所属的角色及帐号属性实时分配访问权限以访问部署在任何地方业务系统。同时,还会对用户的访问行为进行持续的监听,如果发现异常即可进行调整或控制。
图1产品架构
信域安全云网的特色功能点
网络隐藏。企业把业务放到公有云上,不可避免的遭受来自互联网的攻击。信域安全云网可以将公有云私有化,只有认证的内部员工才能访问。通过集中的认证授权平台对访问主体的身份进行识别、认证,然后将访问主体接入到信域安全云网并授予相应的访问权限,并在访问主体和访问客体之间按照端到端加密、逐包验证的方式进行业务数据传输,实现相互之间的访问。这些身份认证、授权、访问控制、隐身、加密传输等安全能力,保证了非认证授权的用户无法访问企业任何的业务资源,即使能够监听到业务传输数据也会面临加密这一终极手段。
身份标签。安全云网可以将所有的网络流量打上身份标签。传统的网络流量分析主要基于IP,但IP是可以变化的,无法通过IP识别出其背后的使用设备或登录账户。但在安全云网中,这些打上了身份标签的数据包可以准确的识别出具体的用户终端和账号,以及访问了哪些业务系统,令行为分析更加精准高效。同时,这也意味着安全云网是一个天然具备检测与响应能力的网络环境,一旦发现异常访问行为,随时可以中断访问帐号和对应终端的访问权限,响应速度和流程与传统网络相比,更加的快速简单。
图2虚拟网络构建与细粒度访问控制
网络安全网格(Cyber Security Mesh)
信域安全云网的概念与SASE比较接近,但两者最大的区别是,SASE是在公有云上将所有功能集中,而安全云网则是帮助客户构建自己的分布式私有云或网络,并通过在终端安装的agent,以及包括在业务前面部署的网关代理,把安全能力放在各个端上去执行。
实际上绎云科技的安全云网与Gartner发布的2021年九大战略技术趋势中的网络安全网格更为相像。战略技术趋势中对安全网格的描述:“网络安全网格是一种可扩展、灵活、可靠的网络安全控制分布式架构。当今环境下,企业的大量网络资产已经不在传统物理网络边界。网络安全网格则从根本上允许围绕人或联网设备的身份来定义安全边界。它通过策略编排的中心化和策略执行的分发,实现了一种更加模块化和快速响应的安全手段。”
可以从中看出,网络安全网格的几个特点,如任何位置的安全接入、身份即边界、策略编排中心化和策略执行的分发,以及模块化的架构设计,均与信域安全云网的技术理念和实现非常类似。而且,与信域安全云网十分类似,安全网格也是基于云时代下的环境产物。在这一点上,绎云科技堪称是国内第一家推出网络安全网格并已有实际交付产品的公司。
