选择你喜欢的标签
我们会为你匹配适合你的网址导航

    确认 跳过

    跳过将删除所有初始化信息

    新闻分类

    曲子龙:从红芯隐盾谈谈SDP

    安全 作者:ksbugs 2018-12-26 22:16:45 阅读:211

    周五的那篇《算了,我也来聊聊红芯?》可能还是我解释的不到位,很多人和我交流的时候,还是在深挖到底什么是SDP,以及关于红芯浏览器及红芯隐盾的各种问题,索性接着上次聊的我这次细化的讲讲红芯的SDP。

    一直以来都觉得搞软件的特NB,为什么这样讲呢?因为搞软件的可以定义安全、定义存储、定义网络、定义……

    感觉和技术有关,软件什么都能定义亦或者还要重新定义,而今天我们要讲的SDP也被软件定义了,定义的是边界。

    什么是SDP?

    SDP的全称是Software Defined Perimeter,软件定义边界,它是由云安全联盟(CSA)提出的一个概念。

    不喜欢说那么多高深莫测的话,抛开“专业术语”来看,其实可以把SDP比作一个软件做出来的网关来理解,就是用可控的逻辑组件替代物理设备,通过软件对访问者进行设备认证及身份认证,通过认证后授信的访问者才可以对于应用基础设施的访问。

    SDP主要分成两部分:即主机和控制器(Controller)。

    主机有两个任务,即创建或者接受链接,创建连接的主机叫(IH)、接受连接的主机命名(AH)。

    控制器的任务则是对主机进行认证和下发策略,主机和控制器之间通过一个安全的控制信道进行交互。

    红芯隐盾的SDP?

    我上篇文章提过,红芯面对的客户是政府和事业单位,比如医疗系统、公安系统、政务办公系统、敏感数据比较多的体系,这些体系的内部系统,大部分都是自有的“小机房”私有化部署的。

    前些年也没有什么特定的标准化,各级单位或企业虽然按照一个需求标准,但是都是通过从当地寻找“服务商”来做,除了技术参差不齐以外,运维、安全这些也是很难跟的上的。

    虽然是私有化部署,但是很多都存在远程访问的需求,所以大部分网站的链接方式,是客户端与服务端直连的模式,以IP或者域名直接访问的,因为这样的需求,导致服务端实际还是暴露在公网中。

    由于技术的参差不齐,运维、安全跟不上,再加上使用者的安全意识薄弱,因漏洞、或因用户使用弱口令密码被黑的事件确实也屡见不鲜。

    而SDP正是在解决这个痛点,关于红芯隐盾的工作原理,我让产品小妹手绘了一个逻辑图:

    首先红芯浏览器会通过“多因子认证”的方式对客户端进行认证,通过认证后请求私有DNS获取到访问IP,再向网关发起请求,网关授信确认用户身份后,再放行对OA、Mail以及其它操作系统的访问。

    所以我在上篇文章提到,红芯隐盾的逻辑简单来说其实就是把浏览器作为一个入口点,控制台负责下发访问规则,设定黑白名,建立私有DNS划分出私有网络,外部设备没有连接DNS就没有办法访问数据,以此划分边界。

    SDP的优势?

    之前提了劣势,存在即合理嘛,所以今天还是一本正经的说说优势。

    隐藏敏感系统,减少攻击面。

    这点是不可否认的,SDP确实从某种意义上,将敏感业务系统“藏”了起来,提高了黑客攻击成本和门槛,所以我说穿条裤衩总比裸奔来的好。

    减轻DDoS攻击

    必须授信才可以访问及触达,未授权用户或设备的TCP链接会被控制器和AH拒绝掉,所以从某种意义上可以减轻DDoS攻击,但是绝对不是彻底防止,黑客还是可以用其它方式D垮服务器。

    访问控制更灵活

    相比VPN或者跳板机,SDP的策略是基于用户,而不是基于IP地址,在授信访问之前可根据用户属性对用户账户及设备创建访问策略,访问控制要灵活很多。

    溯源便捷

    基于用户及访问设备进行授信,遇到问题可以通过AH日志和IH的流量进行溯源

    相对成本低

    没什么可解释的,软件一体化的方案去PK硬件设施方案,无论时间成本还是金钱成本都会低。

    红芯该从哪方面改进?

    提问题也顺便解决问题吧,是非的事情不想过多理会,抛开“造假事件”来看,红芯浏览器使用Chrome/49 来解决XP的兼容,一方面是耍了个小聪明想去解决一些问题,另外一方面也反衬出团队技术比较弱或者预算不足的问题,当然这是一件很不负责任的行为。

    兼容最好的办法还是学学国内主流浏览器以Trident+Webkit或Trident+Blink双内核的方式来解决问题。

    从Chrome/49 到今天的Chrome/ 68,各种高中低危漏洞算下来不下200个,组合利用起来黑客可以通过几百种姿势通过对业务进行攻击,漏洞利用的攻击成本低到我诱导某用户访问我发给他的指定的一个页面,即可获取到他相关敏感的信息。

    从目前来看,如果不去解决这个问题,SDP机制虽好,但帮客户关上门的同时,也帮助黑客打开了一扇窗啊。

    再加上我上一篇文章提及过的,统一控制台(www.redcore.cn)暴露在互联网上,如果不做好措施,那么其它所有的努力都是为黑客提供了便利和工具。

    就像嘶吼小伙伴公众号里写的那样:

    管理员真的是带着包含200多个Chrome漏洞的浏览器裸奔在互联网上!!

    写在后面

    不因为一些问题一棒子打死,再次声明SDP对我列举的这些自部署私有敏感系统的客户来讲,确实是一个低成本的解决方案,这套方案也并不是红芯的国内首创,其实国内很多包括绿盟在内的安全公司,也都在提供相应的解决方案。

    创业不易,我这有什么就毫不避讳说什么的性格,可能是某些人眼界中比较蠢的那种,但是如果把这臭毛病改了,我还是我吗?

    这是个哲学问题。


    关注公众号:拾黑(shiheibook)了解更多

    [广告]赞助链接:

    四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
    关注数据与安全,洞悉企业级服务市场:http://www.ijiandao.com/

    图库
    关注网络尖刀微信公众号
    随时掌握互联网精彩
    赞助链接