在過去十多年，SSL VPN已成為眾多企業(yè)的IT基礎(chǔ)設(shè)施。近期利用SSL VPN設(shè)備發(fā)起的APT攻擊事件并非孤案。我們都知道在真實(shí)攻防對抗的大背景下，去年VPN設(shè)備就被爆出嚴(yán)重漏洞，近期的APT事件僅是該類設(shè)備安全問題的延續(xù)。

這一起APT事件，凸顯了幾方面問題：

一、網(wǎng)絡(luò)安全行業(yè)本身面臨的“供給側(cè)改革”問題

曾經(jīng)這個名詞伴隨2014-2015創(chuàng)業(yè)大潮被多次提及，而近期披露的APT攻擊事件，在當(dāng)下推動國產(chǎn)化的背景下，顯得更為迫切。安全能力應(yīng)當(dāng)是IT系統(tǒng)的內(nèi)生能力，安全產(chǎn)品更應(yīng)如此。

基于“構(gòu)建可控的互聯(lián)世界”的愿景，聯(lián)軟科技在2016年提出了“可信數(shù)字網(wǎng)絡(luò)架構(gòu)TDNA”(Trusted Digital Network Architecture)的理念，并在該理念下研發(fā)出了全新一代企業(yè)級安全保護(hù)平臺ESPP，集網(wǎng)絡(luò)準(zhǔn)入控制、終端安全管理、BYOD設(shè)備管理、云主機(jī)安全管理、數(shù)據(jù)防泄密等系統(tǒng)于一體，通過一個平臺，統(tǒng)一框架，數(shù)據(jù)集中，實(shí)現(xiàn)更強(qiáng)更智能的安全保護(hù)，減輕安全管理負(fù)擔(dān)，降低采購和維護(hù)成本，致力于將安全能力融入客戶業(yè)務(wù)，打造內(nèi)置安全能力。

二、利用SSL VPN作為跳板的APT攻擊，暴露了傳統(tǒng)IT架構(gòu)的脆弱性

1.VPN的遠(yuǎn)程接入方案，看似安全，但等同于內(nèi)部網(wǎng)絡(luò)暴露在互聯(lián)網(wǎng)。當(dāng)這臺暴露在互聯(lián)網(wǎng)的設(shè)備被控制，企業(yè)網(wǎng)絡(luò)的大門隨即就被打開。

2.在單點(diǎn)完成接入、認(rèn)證和授權(quán)的模式，需要設(shè)備是安全的，還要確保部署配置的安全，運(yùn)行維護(hù)的安全，這其實(shí)是很高的要求，超越了大多數(shù)企業(yè)級客戶的能力，導(dǎo)致容易出現(xiàn)管理后臺對外開放，登錄賬號弱口令。這種低級錯誤，為APT組織留下大量設(shè)備作為研究對象。

3.VPN是建立連接，再去驗(yàn)證，一旦驗(yàn)證通過就持續(xù)可信。而以零信任網(wǎng)絡(luò)為典型的新安全架構(gòu)顛覆這種認(rèn)知，強(qiáng)調(diào)設(shè)備、人、資源都不可信，需要持續(xù)驗(yàn)證。

三、本次事件也契合RSAC2020的主題“Human Element”，不安全的產(chǎn)品是人為的，不安全的配置（管理后臺開放、弱口令），也是人為造成的。企業(yè)安全治理的核心要素，始終是要恪守安全基本準(zhǔn)則，減少暴露面，避免給人犯錯的機(jī)會。

此次VPN暴露出來的安全事件也凸顯了在傳統(tǒng)網(wǎng)絡(luò)邊界近乎消失的時(shí)代，VPN 問題頻出，盡顯老態(tài)，需要更新的技術(shù)適應(yīng)新時(shí)代信息技術(shù)的發(fā)展。

Gartner預(yù)計(jì)到2023年，60%的企業(yè)將逐步淘汰大部分VPN，支持零信任網(wǎng)絡(luò)訪問。

聯(lián)軟科技從2017年已經(jīng)開始研究零信任架構(gòu)，結(jié)合自身豐富的網(wǎng)絡(luò)安全管理和終端安全管理實(shí)踐經(jīng)驗(yàn)，開發(fā)了聯(lián)軟UniSDP安界軟件定義邊界系統(tǒng)。聯(lián)軟SDP系統(tǒng)主要基于可信身份、可信終端、可信網(wǎng)絡(luò)、可信服務(wù)四個層面實(shí)踐零信任網(wǎng)絡(luò)架構(gòu)，為企業(yè)內(nèi)網(wǎng)安全和云安全打造統(tǒng)一、安全和高效的訪問入口。

其中聯(lián)軟的可信終端能為用戶提供安全沙箱功能，這個在實(shí)踐零信任理念的數(shù)據(jù)安全中跨出了一大步，聯(lián)軟的APN網(wǎng)關(guān)也具有技術(shù)專利，整個架構(gòu)始終堅(jiān)持用戶導(dǎo)向，保持了足夠的靈活性和開放性。

聯(lián)軟SDP系統(tǒng)在消除企業(yè)安全連接中對VPN的依賴性有明顯效果，在安全性上比VPN具備先天的優(yōu)勢，主要體現(xiàn)在以下幾個方面：

聯(lián)軟SDP優(yōu)勢亮點(diǎn)

1) SDP架構(gòu)中的單包授權(quán)（SPA）機(jī)制使得SDP控制器和網(wǎng)關(guān)對阻止DDoS攻擊更有彈性。SPA協(xié)議與傳統(tǒng)的TCP握手連接機(jī)制相比可花費(fèi)更少的資源，使服務(wù)器能夠大規(guī)模處理、丟棄惡意的網(wǎng)絡(luò)請求數(shù)據(jù)包。

2) SDP的訪問控制是基于Need to Know模型，在技術(shù)實(shí)現(xiàn)上確保每個用戶必須先驗(yàn)證每個設(shè)備和身份，然后才能授予對網(wǎng)絡(luò)的訪問權(quán)限。能夠大大減少企業(yè)IT的攻擊面，隱藏系統(tǒng)和應(yīng)用程序漏洞，保護(hù)用戶接口不被未授權(quán)用戶訪問，因此也無法利用任何漏洞。

3) SDP可以與IAM集成，實(shí)施自動化策略，動態(tài)的根據(jù)用戶的身份和權(quán)限控制用戶或服務(wù)能夠訪問的IT系統(tǒng)資源。

由于SDP安全的設(shè)計(jì)理念，成熟的安全技術(shù)架構(gòu)，在解決VPN存在的問題、以及多云訪問下統(tǒng)一入口、統(tǒng)一身份認(rèn)證、安全審計(jì)等方面都有傳統(tǒng)解決訪問無可比擬的優(yōu)勢，同時(shí)在第三方安全訪問、促進(jìn)IT系統(tǒng)集成上也越來越顯示出巨大的優(yōu)勢。