在過(guò)去十多年，SSL VPN已成為眾多企業(yè)的IT基礎設施。近期利用SSL VPN設備發(fā)起的APT攻擊事件并非孤案。我們都知道在真實(shí)攻防對抗的大背景下，去年VPN設備就被爆出嚴重漏洞，近期的APT事件僅是該類(lèi)設備安全問(wèn)題的延續。

這一起APT事件，凸顯了幾方面問(wèn)題：

一、網(wǎng)絡(luò )安全行業(yè)本身面臨的“供給側改革”問(wèn)題

曾經(jīng)這個(gè)名詞伴隨2014-2015創(chuàng )業(yè)大潮被多次提及，而近期披露的APT攻擊事件，在當下推動(dòng)國產(chǎn)化的背景下，顯得更為迫切。安全能力應當是IT系統的內生能力，安全產(chǎn)品更應如此。

基于“構建可控的互聯(lián)世界”的愿景，聯(lián)軟科技在2016年提出了“可信數字網(wǎng)絡(luò )架構TDNA”(Trusted Digital Network Architecture)的理念，并在該理念下研發(fā)出了全新一代企業(yè)級安全保護平臺ESPP，集網(wǎng)絡(luò )準入控制、終端安全管理、BYOD設備管理、云主機安全管理、數據防泄密等系統于一體，通過(guò)一個(gè)平臺，統一框架，數據集中，實(shí)現更強更智能的安全保護，減輕安全管理負擔，降低采購和維護成本，致力于將安全能力融入客戶(hù)業(yè)務(wù)，打造內置安全能力。

二、利用SSL VPN作為跳板的APT攻擊，暴露了傳統IT架構的脆弱性

1.VPN的遠程接入方案，看似安全，但等同于內部網(wǎng)絡(luò )暴露在互聯(lián)網(wǎng)。當這臺暴露在互聯(lián)網(wǎng)的設備被控制，企業(yè)網(wǎng)絡(luò )的大門(mén)隨即就被打開(kāi)。

2.在單點(diǎn)完成接入、認證和授權的模式，需要設備是安全的，還要確保部署配置的安全，運行維護的安全，這其實(shí)是很高的要求，超越了大多數企業(yè)級客戶(hù)的能力，導致容易出現管理后臺對外開(kāi)放，登錄賬號弱口令。這種低級錯誤，為APT組織留下大量設備作為研究對象。

3.VPN是建立連接，再去驗證，一旦驗證通過(guò)就持續可信。而以零信任網(wǎng)絡(luò )為典型的新安全架構顛覆這種認知，強調設備、人、資源都不可信，需要持續驗證。

三、本次事件也契合RSAC2020的主題“Human Element”，不安全的產(chǎn)品是人為的，不安全的配置（管理后臺開(kāi)放、弱口令），也是人為造成的。企業(yè)安全治理的核心要素，始終是要恪守安全基本準則，減少暴露面，避免給人犯錯的機會(huì )。

此次VPN暴露出來(lái)的安全事件也凸顯了在傳統網(wǎng)絡(luò )邊界近乎消失的時(shí)代，VPN 問(wèn)題頻出，盡顯老態(tài)，需要更新的技術(shù)適應新時(shí)代信息技術(shù)的發(fā)展。

Gartner預計到2023年，60%的企業(yè)將逐步淘汰大部分VPN，支持零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)。

聯(lián)軟科技從2017年已經(jīng)開(kāi)始研究零信任架構，結合自身豐富的網(wǎng)絡(luò )安全管理和終端安全管理實(shí)踐經(jīng)驗，開(kāi)發(fā)了聯(lián)軟UniSDP安界軟件定義邊界系統。聯(lián)軟SDP系統主要基于可信身份、可信終端、可信網(wǎng)絡(luò )、可信服務(wù)四個(gè)層面實(shí)踐零信任網(wǎng)絡(luò )架構，為企業(yè)內網(wǎng)安全和云安全打造統一、安全和高效的訪(fǎng)問(wèn)入口。

其中聯(lián)軟的可信終端能為用戶(hù)提供安全沙箱功能，這個(gè)在實(shí)踐零信任理念的數據安全中跨出了一大步，聯(lián)軟的APN網(wǎng)關(guān)也具有技術(shù)專(zhuān)利，整個(gè)架構始終堅持用戶(hù)導向，保持了足夠的靈活性和開(kāi)放性。

聯(lián)軟SDP系統在消除企業(yè)安全連接中對VPN的依賴(lài)性有明顯效果，在安全性上比VPN具備先天的優(yōu)勢，主要體現在以下幾個(gè)方面：

聯(lián)軟SDP優(yōu)勢亮點(diǎn)

1) SDP架構中的單包授權（SPA）機制使得SDP控制器和網(wǎng)關(guān)對阻止DDoS攻擊更有彈性。SPA協(xié)議與傳統的TCP握手連接機制相比可花費更少的資源，使服務(wù)器能夠大規模處理、丟棄惡意的網(wǎng)絡(luò )請求數據包。

2) SDP的訪(fǎng)問(wèn)控制是基于Need to Know模型，在技術(shù)實(shí)現上確保每個(gè)用戶(hù)必須先驗證每個(gè)設備和身份，然后才能授予對網(wǎng)絡(luò )的訪(fǎng)問(wèn)權限。能夠大大減少企業(yè)IT的攻擊面，隱藏系統和應用程序漏洞，保護用戶(hù)接口不被未授權用戶(hù)訪(fǎng)問(wèn)，因此也無(wú)法利用任何漏洞。

3) SDP可以與IAM集成，實(shí)施自動(dòng)化策略，動(dòng)態(tài)的根據用戶(hù)的身份和權限控制用戶(hù)或服務(wù)能夠訪(fǎng)問(wèn)的IT系統資源。

由于SDP安全的設計理念，成熟的安全技術(shù)架構，在解決VPN存在的問(wèn)題、以及多云訪(fǎng)問(wèn)下統一入口、統一身份認證、安全審計等方面都有傳統解決訪(fǎng)問(wèn)無(wú)可比擬的優(yōu)勢，同時(shí)在第三方安全訪(fǎng)問(wèn)、促進(jìn)IT系統集成上也越來(lái)越顯示出巨大的優(yōu)勢。