1.6　零信任网络和SDP

现有的防御机制只能解决部分问题。SDP可以在TCP/IP和TLS之前执行，降低威胁参与者将易受攻击的协议作为攻击向量的可能。符合CSA SDP规范的软件定义边界实现了零信任，可以阻止常见的DDoS攻击、凭证盗用及OWASP发布的著名十大威胁等攻击。

SDP架构是基于零信任理念的新一代网络安全架构。SDP的基本原则是“ABCD”，即“A不假设任何事，B不相信任何人，C检查所有内容，D阻止威胁”。尽管零信任应用于OSI模型的第3层（网络层），但考虑常见的架构模式（如访问混合云服务的应用程序），在尽可能将零信任网络部署在接近域边界的位置时必须小心，需要确保其具有最佳性能并防止不必要的服务延迟。

1.6.1　为什么需要零信任网络和SDP

现有的网络安全措施与建筑物的墙和门类似，攻击者会尝试破坏或绕过它们，可以为其强化“门锁”并进行严密监控，以确保攻击者不会闯入。我们可能想知道谁在“敲门”，又想避免攻击者碰到锁。我们也可以将数字资产保护起来，通过持续的威胁诊断将未授权用户拒之门外。众所周知，攻击者的主要目标是渗透到网络中并横向移动，以访问具有更高特权凭证的系统。零信任架构可以防止未授权用户的越权行为，将访问限制在授权范围内。

下列内容对快速更改网络安全的实现提出了要求。

1. 不断变化的边界

在传统范式下，网络边界固定，受信任的内网受负载均衡和防火墙等网络设备的保护。传统范式已被虚拟网络取代，且过去的网络协议不是原生安全的。实际上，许多网络协议（如IPSec和SSL等）都存在已知漏洞。大量的移动设备和物联网设备给传统网络带来了挑战。

云计算的引入使网络安全环境发生变化，网络安全环境的变化与其他变化（如BYOD的要求、机器到机器的连接、远程访问的增加、网络钓鱼攻击的增加等）一同向传统安全手段提出了挑战。混合架构也在快速发展，在混合架构中，企业通过云平台提供联合办公设施。通过点到点（包括与第三方的互联）连接方式，重新定义了领域边界。

2. IP地址挑战

当前，一切网络服务都依赖对OSI模型中IP地址的信任，这带来了一个问题：IP地址缺乏用户信息，无法验证访问请求的完整性。其无法获取用户上下文信息，仅提供连接信息，且不对终端或用户的可信度提供指示。TCP协议是OSI模型中第4层的双向通信协议，因此，当内部可信主机与外部不可信主机进行通信时，会接收到不可信信息。

IP地址的任何更改都可能使配置更复杂，导致错误的设置在网络安全组和网络访问控制列表中蔓延。被遗忘的内部主机对陈旧协议（如ICMP网络支持）的默认设置可能为攻击者提供攻击入口。

IP地址可以动态分配，当用户更换位置时IP地址会发生变化，因此，不应将其作为网络位置的基准。

3. 实施集成控制的挑战

网络连接的可见性和透明性对网络安全和安全工具的使用提出了挑战。当前，网络安全控制手段的集成通过收集多个系统的日志数据，并转发给安全信息与事件管理（Security Information and Event Management，SIEM）系统或安全编排和自动化响应（Security Orchestration, Automation Response，SOAR）系统进行技术分析来实现。

网络连接的单点信任很难实现。在允许访问请求通过防火墙前，集成身份管理是一项非常消耗资源的任务。对于大多数开发、运营团队来说，使用安全编码规范、应用防火墙和防DDoS攻击十分重要。

目前，为单个应用程序提供控制安全态势的能力仍然是一项巨大的挑战。改造应用程序和容器平台的安全性需要集成访问控制、身份管理、令牌管理、防火墙管理、代码、脚本、管道和图像扫描，并对其进行整体编排。

1.6.2　零信任网络和SDP能解决的问题

零信任网络和SDP能在以下方面发挥作用。

1. 先连接后验证

当前，网络连接的主要协议是传输控制协议（Transport Control Protocol，TCP）。当应用程序使用该协议进行连接时，先建立连接，再进行身份验证，通过身份验证后，即可交换数据。

先连接后验证允许未授权用户进入，这些用户在网络中且可以执行恶意活动。

为设备提供连接到互联网的IP地址时，完成以下工作。

（1）拒绝尝试连接的恶意用户，其主要通过威胁情报进行标识。

（2）通过漏洞、补丁和配置管理功能加固。但事实证明这种做法不可行。

（3）部署没有用户上下文的网络层防火墙设备。这些防火墙容易受到内部攻击或使用过时的静态配置。（注意：下一代防火墙NGFW虽然考虑了用户上下文、应用上下文和会话上下文，但仍然是基于IP地址的，受应用层漏洞影响，可能产生不确定的结果。）

这些技术都不能实现有效防护。零信任的实现要求对网络、主机和应用平台基础设施上的各层攻击免疫。

2. 端点监视需要消耗大量计算、网络和人力资源

目前，使用AI进行端点监视无法正确检测未授权访问。虽然受保护资源有各种虚拟隔离，但是随着时间的推移，攻击者可以通过捕获身份的详细信息来了解授权机制及伪造人员、角色和应用的身份验证凭证，从而进行破坏。

现有的人工智能模型是简单的行为模型，大多基于多重线性回归分析和专家系统，或经过训练可检测模式的神经网络。如果有足够的时间序列数据，则可以将AI安全检测模型扩展到基于时间的事件。这些模型用于非进化系统，主要在事后检测入侵模式。AI快速发展，需要检测和预防新的、不断发展的威胁。检测带有欺骗意图的全新入侵行为，需要结合性能、交易数据模式和安全专家的分析。仅进行端点监视仍然会使企业容易受到不可检测的攻击。

对于高度机密的数据来说，保证其安全性的最好方法是在攻击发生前进行防范。SDP可以逐个分析数据包，发现非法的身份标识，从而拒绝存在风险的数据交换行为。

3. 缺乏用户上下文的数据包检查

网络数据包检查有其局限性，数据包“分析”发生在应用层，入侵可能在检测前发生。

传统的数据包检查是在防火墙上或防火墙附近使用入侵检测系统（IDS）在重要的战略监控区域完成。传统的防火墙通常基于源IP地址控制对网络资源的访问。检查数据包的根本挑战是根据源IP地址识别用户。虽然可以使用现有技术检测某些攻击（如DDoS攻击等），但是大多数攻击（如代码注入和凭证盗用）都发生在应用层，需要检查用户上下文。

SDP可以通过数据包检查用户上下文，可以结合网络数据，在入侵前检测风险。