SDP远程办公接入平台方案

互联网接入安全解决方案SDP远程办公接入平台方案contents目录1背景介绍23SDP远程办公接入平台介绍方案效果简介4案例介绍背景介绍业务数字化转型的趋势以前现在生产网办公网研发区出差SOHO办公生产网办公网研发区生产服务器办公服务器研发服务器云数据中心移动化趋势（如移动办公、移动业务处理）云化、对数据安全的重视烟囱式分散部署访问位置固定、不支持BYOD弹性访问传统边界安全解决方案VPN方案接入方案自发布至今以有近20年依然不够安全多云环境的支持能力全平台全能力支持灵活的性能扩展能力缺乏面向新技术的扩展能力授权=入内网互联网暴露问题对各类攻击无抵抗力用户体验难以优化稳定和效率难以满足要求CSO最应投入的十大安全项目Gartner2018年2023年2023年淘汰VPN，替换为ZTNAZTNA的其他应用基于ZTNA构建生态圈业务应用Gartner2019MarketGuideforZeroTrustNetworkAccess

2022年80%重新定义边界-SDP软件定义边界40%60%提出SDP定义2013年CSA备注：Gartner报告指出ZTNA即为SDPSDP安全架构可有效抵御十大威胁安全威胁SDP作用1数据泄露SDP通过添加预验证和预授权层来减少公开暴露的主机的攻击面，实现服务器和网络的安全性的“最小访问权限”模型，从而有助于减少数据泄露的许多攻击方式。剩余风险:数据泄露的几个其他攻击方式不适用于SDP，包括钓鱼、错误配置和终端保护。授权用户对授权资源的恶意访问将不会被SDP直接阻止。2弱身份、密码与访问管理过去，企业VPN访问密码被盗往往导致企业数据丢失。这是因为VPN通常允许用户对整个网络进行广泛的访问，从而成为弱身份、密码与访问管理中的薄弱环节。相比之下，SDP不允许广泛的网络访问，并限制对这些主机的访问权限。这使得安全体系结构对弱身份、证书和访问管理有更大的弹性。SDP还可以在用户访问资源之前执行强认证。剩余风险:企业必须有一个积极的参与者来调整IAM流程，并确保访问策略被正确定义。过于宽泛的准入政策会给企业带来风险。3不安全的界面和API保护用户界面不被未授权用户访问是SDP的核心能力。使用SDP，未经授权的用户(即攻击者)无法访问UI，因此无法利用任何漏洞。SDP还可以通过在用户设备上运行的进程来保护API。目前SDP部署的主要焦点一直是保护用户对服务器的访问。服务器到服务器的访问至今还不是SDP的一个重点，但是我们希望这将在不久的将来被包含在SDP范围内。剩余风险:服务器到服务器API调用在这个时候不是SDP的常见用例，因此这种API服务可能不会受到SDP系统的保护。4系统和应用程序漏洞SDP显著减少攻击面，通过将系统和应用程序的漏洞隐藏起来，对于未授权用户不可见。剩余风险:授权用户可以访问授权的资源，存在潜在的攻击可能性。其它安全系统如SIEM或IDS必须用来监控访问和网络活动(见下文的内部恶意人员威胁)。安全威胁SDP作用5账号劫持基于会话cookie的帐户劫持被SDP完全消除。如果没有预先认证和预先授权，并且携带适当的SPA数据包，应用服务器会默认拒绝来自恶意终端的网络连接请求。因此，即使网络请求中携带被劫持的会话cookie，也不会被SDP网关准入。剩余风险:钓鱼或密码窃取仍然是一个风险，但SDP可以通过执行强身份验证来降低这种风险，并有基于诸如地理定位等属性来控制访问的策略。6内部恶意人员威胁

SDP将限制内部人员造成安全威胁的能力。适当配置的SDP系统将具有限制用户仅能访问执行业务功能所需的资源，而所有其他资源都将被隐藏。剩余风险:SDP不阻止授权用户对授权资源的恶意访问。7高级持续威胁攻击(APTs)APTS本质上是复杂的、多方面的，不会被任何单一的安全防御所阻止。SDP通过限制受感染终端寻找网络目标的能力，并且在整个企业中实施多因子认证，有效减少攻击面，从而降低APT的存在可能性和传播。剩余风险:预防和检测APTS需要多个安全系统和过程结合起来进行深入的防御。8数据丢失SDP通过执行最小权限原则，并将网络资源对未授权用户隐藏起来，来减少数据丢失的可能性。SDP还可以通过适当的DLP解决方案来增强。剩余风险:SDP不阻止授权用户对授权资源的恶意访问。9DDoS攻击SDP架构中的单包授权(SPA)技术使得SDP控制器和网关对阻止DDoS攻击更有弹性。SPA与典型的TCP握手连接相比可花费更少的资源，使服务器能够大规模处理、丢弃恶意的网络请求数据包。与TCP相比，基于UDP的SPA进一步提高了服务器的可用性。剩余风险:虽然SPA显著降低了由无效SPA包所施加的计算负担，但它仍然是非零的，因此面向公众的SDP系统仍然可能受到大规模DDoS攻击的影响。10共享技术问题SDP可以由云服务提供商使用，以确保管理员对硬件和虚拟化基础设施的访问管理。有关服务提供商的硬件管理控制面板访问。剩余风险:云服务提供商除了SDP之外，还必须使用各种安全系统和流程。以上部分内容引自：云安全联盟CSA

|软件定义边界在IaaS中的应用SDP远程办公接入平台介绍基于SDP搭建企业远程办公接入平台数据平面安全接SSL加密隧道访问代理负载均衡边界防御控制策略执行应用接口隐藏数据保护身份认证中心身份管理单点登录身份认证权限管理终端管理中心信息采集环境检查设备管理可视化水印应用防篡改沙盒隔离数据防护中心SDP

SeverSDP

Client数据中心APNAPN基于SDP架构搭建安全、高效易用、高扩展的远程办公接入平台数据本地加密总部网络策略控制中心身份信任评估终端环境评估行为分析策略管理管理平面SDP系统流程介绍XX安全客户端C/SB/S终端可信安全网关应用访问控制模块安全隧道模块3，设备验证、建立安全隧道4、业务安全访问代理生产服务区办公服务区业务服务区5、单点登录、业务访问访问控制引擎身份及权限管理多因素身份认证智能访问控制应用发布模块0、后台应用发布，如OA等1、用户身份认证2、动态访问控制策略基于Zero

Trust理念的SDP安全架构高冗余/高可靠身份认证中心日志审计中心可信服务设备管理可信终端身份认证多因素认证可信身份安全检查策略总控安全沙箱SPASSL双向校验可信网络国密支持独立应用隧道SSO单点登录身份及认证SDP

Sever授权管理安全管控策略控制审计分析全方位的安全保护确保“可信终端”行为审计日志记录沙盒系统数据隔离水印模块防止拍照泄密U盘控制外发控制本地数据加密存储基于应用的高颗粒度授权控制粘贴复制禁止出沙盒“可信终端”-安全沙盒沙盒数据加密存储即使硬盘丢失也保障数据不泄露实体文件线性可控假如特定文件损坏，也仅影响该文件本身体验优化操作体验同本地操作一致，文件读写速度基本无影响本地沙盒可确保企业数据处于在企业可控空间范围内数据隔离确保本地数据与企业数据无交互，避免互联网连接封闭空间，策略总控沙盒内所有访问、安全策略均受到企业整体控制授权接入合法用户才可接入沙盒基于角色授权及多因素的“可信身份”多因素认证身份IT人员财务人员访问授权结果完全访问限制访问拒绝接入

账号密码CA证书扫码手机令牌短信OTP令牌业务人员应用A应用B应用C应用DIT✓✓X✓财务✓✓XX非法XXXX“可信身份”–

SSO单点登录CRMOAERPHRMailSCM支持联动企业内部IAM系统支持SSO模块，提供调用接口SPA（SinglePacketAuthorization）

确保“可信网络”服务隐藏抗Dos攻击防攻击SPA协议：在初次建立连接时，要求协商的第一个包必须为SPA报文，且该报文中会携带私有凭证；此特性使得SPA协议具备天然安全性“可信网络”-应用级隧道技术最小授权：采用应用级隧道，非网络隧道，避免授权入网后，网络全通按需授权：APN同后端系统的连接，仅在终端发起请求后连接，闲时无连接CRMERPMailAPN微服务技术架构-高可靠的“可信服务”隐私保护框架SDP微服务架构APN网关服务后台管理服务缓存服务门户接口业务服务数据库服务服务组件功能组件统一认证/资源授权服务用户及身份管理授权控制安全管控审计日志按需扩展扩容无感知高冗余高可靠所有服务组件均支持独立扩展“可信服务”-用户行为可视提供详细的用户行为分析，为企业提供管理依据支持统计和分类各业务系统在线访问的员工数量支持统计和分类应用系统的访问情况支持统计和分类接入终端的情况方案效果介绍先进的安全架构带来让远程办公更安心APNSeverSDP空间应用隧道A应用隧道B内网扫描内网探测访问应用AB外的应用数据外发SPA实现应用暴露面极大收敛基于应用的隧道技术避免授权后内网完全暴露通过创造本地可信空间实现内网数据隔离保护双向SSL证书保护链路数据安全Internet路由分离确保互联网流量不流入企业内网SQL注入攻击DDOS泛洪攻击XSS跨站脚本攻击TLS漏洞攻击SSL中间人攻击扫描“看不见的人”也“可信”接入请求合规用户合规用户企业敏感数据非法用户拒绝登录不合规用户拒绝登录并发警报通知不同的用户享受不同的数据库使用权限行为审计你是谁？你安全么？你可以做什么？你在做什么？多种身份认证安全认证动态授权多因素认证账号密码、生物特征OTP、证书、安全令牌带外认证、单点登录数据使用控制管理允许的使用方法基于策略的访问控制风险检查数据使用审计和报告审计每一个用户和应用对数据使用情况的历史分析报告风险报告自适应访问用户鉴别验证用户和设备最小授权用户上手“零”学习成本统一Protal基于授权的应用可视，用户对自己所获得授权情况一目了然独立SDP数据空间，使用安全方便应用支持SSO，无需记忆繁琐密码安全能力透明，用户无感知业务发布同时支持PC和手机启动SDP

client可进入门户“一小时”快捷部署业务区DMZInternetSDP

Sever

APN

远程接入用户SDP

client快速上线部署：第一步：系统部署（约30分钟）DMZ区部署SDP

Sever及APN备注:两个组件可部署于同一物理服务器第二步：环境准备1.申请CA证书2.DMZ防火墙为APN提供公网访问地址，仅需开放443端口3.打通APN和内网所需发布应用的路由第三步：用户接入（5分钟）用户访问APN公网地址，在页面上下载SDP

Client，并安装，获得授权即可接入网络支持和现网VPN体系并行使用业务区DMZInternetSDP

Sever

APN

敏感应用SDP发布SSL/IPSEC

VPN

非敏感应用可继续使用SSL

VPN方案建议：SDP方案可作为VPN的升级方案，并可完全替代VPN。如现有接入体系需要保留使用，建议可部署SDP并行使用，业务相关的高风险应用可通过SDP隧道发布。VPN方案对比序号对比项SDPSSLVPN1互联网暴露面互联网地址无法被扫描，完全隐藏存在任何人可连接的互联网接入入口2抗DDOS能力极大减缓DDOS攻击无3抗攻击能力默认不接受任何TCP连接，连接为白名单机制，对未知攻击有天然防御能力基本无防御能力4隧道机制基于应用隧道，用户获得授权后，内网依然不可见基于L3的网络隧道，用户获得授权后，内网完全暴露5企业数据保护本地沙盒可确保企业数据不出沙盒，数据本地落地加密，沙盒策略收到企业总控本机数据和企业数据均存储在一起，由用户自主管理，安全性低6终端本机互联网流量管控本地沙盒实现空间隔离，策略灵活，可限制沙盒连接本地互联网，沙盒外可正常访问.一刀切方案，1.允许连接互联网时，同时访问内网；2.本地中断互联网连接，所有互联网流量走企业内部的互联网出口7

IAM及SSO的支持支持企业IAM联动支持SSO接口调用通常采用凭证代填方式，安全性扩展性差8多云架构下的部署及扩展管控分离架构，可在确保安全的情况下，实现多云环境接入每个入口都是一个新的风险暴露面，另外全局接入依赖第三方设备：如负载均衡9性能冗余及扩展基于模块化扩容，部署架构灵活性极高HA或设备级扩容，难以应对复杂网络架构下的性能扩展：如两地三中心10多平台支持全平台易用性体验好支持平台多因素认证，手机平台可扫描登录PC平台移动终端使用体验极大下降，由于采用L3隧道技术，在杀后台的手机上，VPN经常中断全平台接入支持-平滑升级至UEM方案移动设备可穿戴设备LinuxIOT设备中标麒麟WindowsMac设备

iphone

统一接入增强可见性简化管理提高安全性增强合规性提高操作效率减少建设成本XXUEM统一端点解决方案：UEM由”PC端SDP方案”及”移动端EMM方案”两套方案共同组成；UEM方案架构为统一架构，统一后台，统一身份管理“移动平台接入”同”PC平台接入”存在使用差异，所以EMM和SDP产品能力略有差异SDP整体方案优势安全互联网服务隐藏、天然抗攻击应用级隧道技术，避免内网全面暴露终端数据沙盒保护高效易用支持多因素认证，支持SSO部署简单、运维简单用户行为记录分析，提供决策依据扩展微服务架构、模块化扩展统一后台架构，支持扩展移动平台接入支持混合云网络XXSDP方案能够实现企业边界的安全延展帮助企业搭建安全、高效、易用的统一远程接入平台XXSDP

-统一远程接入平台远程办公远程业务远程运维云业务发布案例介绍XXUEM客户介绍XXUEM客户介绍550000+银行业最大的移动管控案例17000+

30+应用证券业最大的移动管控案例电信业最大的移动管控案例之一30000+70000+制造业最大的移动管控案例之一300000+保险业最大的移动管控案例5000+医疗业最大的移动管控案例之一苏州超算中心项目效果安全高效建立统一登录门户，用户认证后只显示授权的应用终端安装启动安全助手并进行身份认证后，可连接后台系统直接进行相关业务操作用户可在门户内自助修改密码，如忘记密码可通过后台设置的邮箱或手机号辅助进行密码重置规范管理为超算中心管理员和租户提供了统一用户认证平台和集中身份管理平台提供单点登录API，供各应用系统集成。用户访问授权应用时可直接登录无需再次身份认证重庆保利项目效果安全高效通过SDP架构实现互联网入口隐藏，免受互联网攻击用户接入后，清晰了解自己的授权能力用户体验良好，推广无阻力规范管理身份统一认证，联动内部ERP账号实现用户统一登录数据安全统一管理应用接入统一管理典型案例：招商证券云锁项目基本信息业务需求项目背景：互联网访问安全关键需求：内部系统包括移动OA、大投行、报销系统等，需在互联网访问，需解决中间人攻击、重放攻击、数据传输泄露等风险需求难点：用户已把OA推送到员工手机，现需要互联网访问，因而需要在增加安全性的同时，不改变用户原有使用体验解决方案通过部署XX安全网关，实现移动端以及PC终端从互联网访问内部业务系统，通过以SDK方式提供安全能力，让安全隐藏在业务背后，在解决互联网访问安全的同时，提升用户使用体验项目简介项目名称：招商证券云锁项目项目规模：全国10000点移动终端以及600点PC终端项目时间：2018年10月启动，至今完成一期项目招商证券—云锁移动安全支撑平台项目随着互联网+的发展，内部系统包括移动OA、大投行、报销系统等，需在互联网访问存在不安全的HTTP请求、SQL注入、数据传输泄露等风险隐藏业务服务器，实现漏洞屏蔽，防扫描、防攻击入侵实现数据加密传输防止数据在传输过程被非法监听实现数据传输双向证书校验，防止中间人攻击统一安全接入，兼容安卓与IOS移动终端、兼容Windows终端兼容现有新版OA以及旧版OA，兼容H5以及原生应用，实现应用深度整合以SDK形式与现