在如今新技術(shù)和云化的沖擊下，VPN已如風(fēng)燭殘年的老人一般，盡顯老態(tài)。

今年疫情期間的遠程辦公VPN泄密事件造成某公司市值蒸發(fā)近1個(gè)億，前不久發(fā)生的黑客利用企業(yè)SSL VPN漏洞進(jìn)行攻擊的消息，讓業(yè)內人士重新認識到是否有一種解決方案既具有VPN的方便易用性，也能兼備更好的安全性。答案顯然是有的，基于零信任架構設計的SDP方案在行業(yè)內逐漸嶄露頭角。

SDP VS VPN

相比較自發(fā)布至今已有近20年的VPN接入方案，SDP概念則是由云安全聯(lián)盟（CSA）于2013年提出的，顯得更年輕一些，那么二者的具體區別有哪些呢？

01 互聯(lián)網(wǎng)暴露面

SDP互聯(lián)網(wǎng)地址無(wú)法被掃描，完全隱藏；VPN存在任何人可連接的互聯(lián)網(wǎng)接入入口 。

02 抗DDoS能力

SDP極大減緩DDoS攻擊；VPN無(wú)。

03 抗攻擊能力

默認不接受任何TCP連接，連接為白名單機制，對未知攻擊有天然防御能力；VPN基本無(wú)防御能力。

04 訪(fǎng)問(wèn)控制

細粒度訪(fǎng)問(wèn)控制用戶(hù)獲得授權后，內網(wǎng)依然不可見(jiàn)；VPN中用戶(hù)獲得授權后，內網(wǎng)完全暴露。

05 企業(yè)數據保護

本地沙盒可確保企業(yè)數據不出沙盒，數據本地落地加密，沙盒策略受到企業(yè)總控；VPN本機數據和企業(yè)數據均存儲在一起，由用戶(hù)自主管理，安全性低。

06 用戶(hù)體驗

SDP更快捷、穩定、易用；VPN慢，易斷線(xiàn)，不穩定。

07 運維管理

支持企業(yè)IAM聯(lián)動(dòng)，支持SSO接口調用；VPN通常采用憑證代填方式，安全性與擴展性差。

基于上述對比，可以得出，SDP相比較VPN，有三個(gè)核心優(yōu)勢：

（一）安全

在VPN傳統的連接中，客戶(hù)端與服務(wù)器端的連接，需要把服務(wù)端的端口發(fā)布在公網(wǎng)中，這樣做的后果一是服務(wù)端有漏洞，有可能被利用；二是當用戶(hù)通過(guò)登錄頁(yè)面輸入用戶(hù)名和密碼，這一操作有可能使得用戶(hù)名和密碼被竊取。如果我們使用SDP技術(shù)的話(huà)，首先客戶(hù)端會(huì )進(jìn)行多因素認證，認證設備的可靠性等，這一步對用戶(hù)而言是透明的。認證通過(guò)之后，才進(jìn)入用戶(hù)登錄階段，這一點(diǎn)相對于VPN更安全。

（二）可維護性和擴展性

SDP基于零信任架構設計，采用LVS等負載均衡方案，可以快速橫向或縱向擴容；而VPN受到設備采購和上下線(xiàn)網(wǎng)絡(luò )設備兼容性的問(wèn)題，在緊急情況下擴容難度較大。

（三）用戶(hù)體驗

SDP如果在面臨網(wǎng)絡(luò )質(zhì)量低的情況時(shí)，只要短鏈接請求即可使用；而VPN基于隧道技術(shù)，采用長(cháng)鏈接的方式，對網(wǎng)絡(luò )帶寬要求高，容易出現掉線(xiàn)、重連等問(wèn)題。

零信任架構實(shí)踐

SDP是基于零信任架構設計來(lái)應對邊界模糊化帶來(lái)的問(wèn)題，以此達到保護企業(yè)數據安全的目的。而零信任核心思想是企業(yè)不信任內外部的任何人／事／物，除非明確了接入者的身份，否則就不能連接網(wǎng)絡(luò )。

在2010年Forrester的分析師約翰·金德維格正式提出零信任的概念，如今10年過(guò)去了，在網(wǎng)絡(luò )邊界逐漸模糊的情況下，零信任安全針對傳統邊界安全架構思想進(jìn)行了重新評估和審視，并在當下的安全架構中給出了新的應用和防護。實(shí)踐零信任有哪些路徑呢？筆者找到了一些資料供大家參考。

在零信任架構實(shí)踐中最常見(jiàn)的是網(wǎng)絡(luò )訪(fǎng)問(wèn)控制，這類(lèi)零信任方案統稱(chēng)為零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)（ZeroTrust Network Access，簡(jiǎn)稱(chēng)ZTNA），細分的流派有CSA SDP和BeyondCorp兩類(lèi)。

CSA SDP流程圖：由客戶(hù)端發(fā)起的認證請求，控制器經(jīng)過(guò)訪(fǎng)問(wèn)控制策略判斷下發(fā)指令，最終Gateway根據指令放行或阻斷。    谷歌“BeyondCorp”模型是關(guān)于零信任實(shí)現的最早討論和文檔化的例子。

BeyondCorp零信任策略： 從特定網(wǎng)絡(luò )連接，不確定您可以訪(fǎng)問(wèn)哪些服務(wù)； 對服務(wù)的訪(fǎng)問(wèn)權限，基于我們對您和您的設備的了解授予； 所有對服務(wù)的訪(fǎng)問(wèn)，必須經(jīng)過(guò)認證、授權、加密。

圖源于網(wǎng)絡(luò )

這兩種技術(shù)路線(xiàn)都是將后面的應用隱藏，除非用戶(hù)提供了自己的身份和訪(fǎng)問(wèn)資源，否則是無(wú)法訪(fǎng)問(wèn)應用的。Gartner在之前的報告中將上述這兩類(lèi)又統稱(chēng)為軟件定義邊界SDP，而且據Gartner相關(guān)數據顯示，到2021年，60%企業(yè)將逐漸淘汰VPN而使用軟件定義邊界。

隨著(zhù)谷歌、微軟逐漸實(shí)踐零信任安全解決方案，加上如今零信任架構的興起，不少的企業(yè)開(kāi)始紛紛搭建自己的零信任方案，目前零信任多用于解決身份管理和訪(fǎng)問(wèn)控制的問(wèn)題，聚焦于軟件定義邊界（SDP）、微隔離等方向。SDP可以提供對于網(wǎng)絡(luò )系統、服務(wù)和應用的以人為中心、可管理的、普遍存在的、安全的和敏捷的訪(fǎng)問(wèn)。它解決了TCP/IP中的一個(gè)設計漏洞（在認證之前即對報文進(jìn)行處理）。由于SDP的部署代價(jià)更低，筆者認為，未來(lái)SDP可能顛覆網(wǎng)絡(luò )防火墻和VPN技術(shù)，發(fā)揮更大的作用，歡迎大家一起留言共同探討零信任架構的新趨勢。