SDP 還是零信任？從軟件定義到安全網格 - 網安 - 專業的網絡安全產業、社區、知識平臺

隨著虛擬化和云計算的普及，軟件定義的概念已經深入人心。不管是最初的軟件定義網絡(SDN)，還是之后的軟件定義廣域網(SD-WAN)等技術，甚至于“軟件定義一切”的宣稱等，其核心理念都是“通過在硬件設備之上建立一個虛擬層，以實現網絡與信息系統性能、功能和效能的最優化配置，同時極大的增強易用性。”

軟件定義之于網絡安全，近年來最火的幾個概念有軟件定義邊界(SDP)、零信任網絡訪問(ZNTA)、安全訪問服務邊緣(SASE)，以及Gartner發布僅三個月的網絡安全網格(Cyber Security Mesh)。這些技術概念的側重點各有不同，SDP是邊界控制，ZNTA是訪問驗證，SASE和安全網格則是整合了云、網和安全的訪問架構。同時，內嵌的安全功能的SD-WAN也成為上述技術方案的關鍵組件之一。

近日，國內一家成立僅一年半的網絡安全創業公司繹云科技，推出了整合云、網和安全的訪問架構–信域安全云網。

信域安全云網

繹云科技創始人兼CEO陳坤鵬在發布會上介紹，“信域安全云網是一種新型的云化企業業務網絡，融合了SDN技術和零信任安全原則，可以幫客戶快速在全球范圍內構建專有的符合零信任理念的業務安全訪問網絡。”

這個產品帶來的最大價值，就是快速幫客戶將原來的企業內網云化，并提供一個隱身的安全云化業務網絡。企業的業務部署在云上也好，IDC也好，也不管員工在全球的任何位置，都可以通過在企業物理網上構建一個虛擬網絡，把業務與員工安全的連接起來。該訪問架構經過繹云科技一年半的打磨，并在客戶實際環境中做了產品驗證，交付與使用均非常的方便。

SDN的技術邏輯是把網絡的管理平面和數據平面分離，由一個控制平臺統一對網絡策略（無所謂物理位置）進行集中編排，數據轉發在數據平面的各個網絡設備上按照統一編排的策略執行，從而極大的降低管理成本。與SDN在路由器、交換機上實現的思路不同，繹云科技的做法是安裝終端Agent將PC或移動終端接入SDN網絡，同時通過網關代理的方式將業務資源接入到SDN網絡（當然也可以不這樣做，但許多關鍵業務場景的客戶對在服務器上安裝軟件的做法較為排斥）。

云計算的做法是把全球的互聯網數據中心(IDC)作為物理資源，在上面構建一個虛擬網絡，從而幫助客戶脫離物理網絡的限制。信域安全云網則是把分布在全球的所有物理設備，包括PC、移動終端，以及IDC中的服務器、云上的業務系統等構建成一個新的虛擬網絡，這也是“云網”的名稱由來。在這個虛擬網絡里，網絡中的任何兩點之間在邏輯上是端到端直連，即全網狀互聯(FullMesh)。

在這種FullMesh的環境下（可稱之為極簡網絡），無需多個節點跳轉的路由策略，所有訪問都是一跳到達，因此安全訪問控制也會變得非常簡單。典型的如零信任訪問體系中的全面身份化、最小授權、動態訪問控制等，用可信身份以及可信行為，這兩個維度去重新定義邊界。以遠程辦公為例，當終端遠程登錄的時候，安全云網會檢測當前的登錄環境，根據帳號所屬的角色及帳號屬性實時分配訪問權限以訪問部署在任何地方業務系統。同時，還會對用戶的訪問行為進行持續的監聽，如果發現異常即可進行調整或控制。

圖1產品架構

信域安全云網的特色功能點

網絡隱藏。企業把業務放到公有云上，不可避免的遭受來自互聯網的攻擊。信域安全云網可以將公有云私有化，只有認證的內部員工才能訪問。通過集中的認證授權平臺對訪問主體的身份進行識別、認證，然后將訪問主體接入到信域安全云網并授予相應的訪問權限，并在訪問主體和訪問客體之間按照端到端加密、逐包驗證的方式進行業務數據傳輸，實現相互之間的訪問。這些身份認證、授權、訪問控制、隱身、加密傳輸等安全能力，保證了非認證授權的用戶無法訪問企業任何的業務資源，即使能夠監聽到業務傳輸數據也會面臨加密這一終極手段。

身份標簽。安全云網可以將所有的網絡流量打上身份標簽。傳統的網絡流量分析主要基于IP，但IP是可以變化的，無法通過IP識別出其背后的使用設備或登錄賬戶。但在安全云網中，這些打上了身份標簽的數據包可以準確的識別出具體的用戶終端和賬號，以及訪問了哪些業務系統，令行為分析更加精準高效。同時，這也意味著安全云網是一個天然具備檢測與響應能力的網絡環境，一旦發現異常訪問行為，隨時可以中斷訪問帳號和對應終端的訪問權限，響應速度和流程與傳統網絡相比，更加的快速簡單。

圖2虛擬網絡構建與細粒度訪問控制

網絡安全網格（Cyber Security Mesh）

信域安全云網的概念與SASE比較接近，但兩者最大的區別是，SASE是在公有云上將所有功能集中，而安全云網則是幫助客戶構建自己的分布式私有云或網絡，并通過在終端安裝的agent，以及包括在業務前面部署的網關代理，把安全能力放在各個端上去執行。

實際上繹云科技的安全云網與Gartner發布的2021年九大戰略技術趨勢中的網絡安全網格更為相像。戰略技術趨勢中對安全網格的描述：“網絡安全網格是一種可擴展、靈活、可靠的網絡安全控制分布式架構。當今環境下，企業的大量網絡資產已經不在傳統物理網絡邊界。網絡安全網格則從根本上允許圍繞人或聯網設備的身份來定義安全邊界。它通過策略編排的中心化和策略執行的分發，實現了一種更加模塊化和快速響應的安全手段。”

可以從中看出，網絡安全網格的幾個特點，如任何位置的安全接入、身份即邊界、策略編排中心化和策略執行的分發，以及模塊化的架構設計，均與信域安全云網的技術理念和實現非常類似。而且，與信域安全云網十分類似，安全網格也是基于云時代下的環境產物。在這一點上，繹云科技堪稱是國內第一家推出網絡安全網格并已有實際交付產品的公司。