这两年,为了让大家能够顺畅地远程上班,公司都操碎了心。
用视频会议加强沟通,用SaaS化/云化的应用改变访问习惯,用桌面云把办公电脑“搬回家”,总之你能想到黑科技,都用上了…
可是无论怎么折腾,对绝大多数企业用户来说,远程访问公司内网,都是刚需。
以前,应对这类需求,VPN是最常见的模式。
可是你知道吗,VPN从诞生到现在已经有30多年的历史了,这门技术多年来,基本上没啥大变化,翻来覆去都是那些东西,核心要义就靠隧道和加密。
这两年,VPN这个前浪,正在被SDP后浪超越,越来越多的人开始看好基于SDP的零信任模式。
VPN vs SDP,到底谁更好?
要说SDP后浪推前浪,VPN是不服气的,于是双方决定来个PK,看看到底谁在裸泳。
我们先来看第一轮↓
在VPN的惯性思维里,有个明确的「边界」概念,就像我们长期以来,区分内网、外网、DMZ,或者划分不同级别的安全域,然后在边界上会架设隔离装置、安全网关,比如防火墙。
此时,VPN一般都是通过隧道的模式,与边界网关建立连接,实现从外网到内网的访问。基于“隧道”和“加密”,在不安全的开放网络上,构造一个相对安全的访问路径。
而在SDP的脑海里,并没有“边界”这样的硬框框,非常符合当下企业的IT基础架构形态。
内网有业务、公有云上有业务,还有一大把SaaS化的应用要访问,同时,业务使用者的位置,也是飘忽不定的,今天在家,明天坐班,后天出差…
边界在哪儿?无从定义。
SDP讲究的就是“软件定义边界”,根据实际业务需求来自由划定边界,“处处有边界,处处无边界”。这样,保证有权限的人,在任何位置都可以访问任何业务。
所以,第一轮比下来,SDP更符合新形势下的业务特点,无处不在的访问需求,无所不在的业务位置。而VPN则先输一场。
我们再来看第二轮PK↓
VPN学名“虚拟专用网络”,名字听着很安全,实际上还有些考虑不周。
拿典型的L2TP或者IPsec VPN来说,虽然有隧道、有加密,可以防止敏感数据在公网上被嗅探。
可是VPN用户一旦拨入内网,即便针对VPN地址池做些ACL控制,用户获得的仍然是网络级的粗粒度权限,能搞很多事,一旦账号失陷,就可能对内网造成威胁。
同时,VPN很难做到服务隐藏,容易把关键业务服务器的位置(地址/端口),暴露在攻击者的面前。
SDP架构的安全性就高多了,它采用服务隐身设计,被保护的业务服务只允许被认为合法的报文访问,丢弃“非法”报文。
在具体实现上,它不再沿用传统VPN的CHAP/PAP认证,而是采用了全新的SPA单包认证机制。
SPA单包认证是一种先认证后连接的机制,通常基于UDP来承载,没有监听端口,客户端直接向SDP控制器扔“敲门砖”,这个砖一般是“共享密钥+随机数”。
如果不是正确的砖头,不管你扔多少砖敲门,都不会有人鸟你。
只有敲门敲对了(验签成功),控制器才会通知SDP网关,打开相应的校验端口,接受该用户的终端状态和用户身份校验。
经过SPA、终端状态和用户身份校验,用户才能根据授权,获得指定业务的访问权限。
所以,通过第二轮的比拼,SDP的暴露面更小,对服务的保护更周全,再次碾压VPN。
继续看第三轮,终极PK↓
传统VPN缺乏对用户认证成功后的监测机制,一旦认证成功,就会畅通无阻,万一遇到哪个“失控玩家”,往往搞出大动静。
而SDP基于零信任理念,一般会配合MSG微隔离技术,给予访客最小授权,认证通过获得访问权限以后,想搞出大动静也很难,也不会有什么横移的机会。
同时,SDP还会秉承零信任“永不信任、始终验证”的原则,时刻留意访问者的安全状态。
一旦发现“不正经”行为,就立刻吊销对方的访问权限。
看到这里,你就明白了吧,作为后浪,SDP自带零信任光环,它不是一个人在战斗,充分利用集体的力量,形成一套严密的防控体系。
不错过一个想干正事的人,也不放过一个想干坏事的人。
最终,三轮战罢,SDP完胜,彻底将VPN击倒!
所以,VPN为什么会败?除了协议本身的局限性,更多的是被时代趋势打败了,而SDP把握住了时代密码,成为构建下一代访问管理技术的基石。
既然基于SDP的零信任方案这么好,怎么才能快速升级呢?
零信任是个系统工程,想要推倒重来,对企业来讲,无论资金投入还是部署工作量,都是不小的负担。
如何多快好省建成SDP零信任?
怎么搞最方便?要是能在原有架构上升级,再好不过了。
我这么一查,还真有这样的方案↓
到底有多简单?
只需一台山石网科防火墙,通过其内置零信任控制器,就可极速部署SDP。
已经拥有山石网科防火墙的客户,直接升级软件,瞬间就能搞定。
而且,如果原来客户使用防火墙来做SSL VPN网关,那么SSL VPN客户端可以沿用,自动升级成双模式客户端,支持SSL VPN和SDP接入。
这样,对终端用户来说,可以保持一致性体验,而运维人员也免去了诸多实施麻烦。
什么?你还没有山石的防火墙?
没关系,买买买,一台防火墙,边界防护All in One,超值。
用户可以根据网络规模大小,选上一台山石A系列iNGFW防火墙,安全隔离、路由NAT、访问控制、应用识别、URL过滤、情报联动、入侵防御、病毒检测、VPN加密、SDP零信任接入,一站式搞定!
同时,山石网科这种极致的“All in One”设计,有助于打造更安全的SDP:终端用户匹配零信任策略后,还要经受IPS/AV/URL等应用层安全考验。
只有如此,零信任的核心理念“永不信任,持续验证”,才不会仅仅成为噱头。
不过,听说有这么多功能All in One,很多人也吓到了。
毕竟大家当年都吃过某些UTM的亏,觉得这类所谓全能型产品“样样通”,必然“样样松”,流量一大,用户一多,肯定趴窝。
这种担心大可不必,与那些用x86工控机造墙的同行不一样,山石历来有自研安全硬件的传统,这次更是秘密研发了一款代号为「HillStone Mars」的“硬件加速引擎”。
“Mars”专注于流量卸载,把CPU解放出来处理综合安全业务。有了它的加持,山石防火墙1U的小小身板,就释放出大能量!
以山石A7600型号为例,集成20个万兆+4个100G,小包性能高达140Gbps,大包性能320Gbps,秒杀业内所有1U设备,妥妥性能天花板。
依靠超强的处理能力打底,山石防火墙就有实力交付更多功能。这一次,它又成为了构建零信任架构的基石。
那么,有了这个“基石”,具体怎么部署呢?
山石SDP零信任部署实战
在实战中,主要需要三个组件:零信任网关、零信任控制器、零信任客户端。
就像前面所说,已有山石防火墙的,可以瞬间平滑升级,没有的,只需加购一台即可让网络焕然一新。
具体实现流程也很简单,一起来看看吧↓
①终端发起SPA请求;②完成SPA,推送网关列表;③连接网关,发送身份和终端信息;④联动IAM平台进行终端标签动态匹配;⑤用户获取应用资源列表,发起业务访问;⑥访问应用资源。
那么,山石网科这套用防火墙构建的零信任方案,有啥独特之处呢?
除了我们前面所讲的“SDPvsVPN”的PK优势,山石还藏了不少新亮点。
首先,零信任讲究“永不信任,持续验证”,对每个访问者进行“头发丝”般的细粒度管控,这依赖于丰富详尽的终端标签,进行全面的身份和终端状态识别。
这些标签,再配合五元组、应用ID、状态、时间等等,会在防火墙上生成独立的动态零信任策略。
所有策略可以提供以应用为单位的最小授权,并在用户退出、超时或者状态异常时,按需动态调整。
如此复杂精细的策略,如果企业用户量很大,一人一组策略,会不会把防火墙撑爆了?
没问题,山石防火墙支持百万级的策略容量,满足海量用户、海量业务的精准控制,动态规则自动添加。
同时,山石还提供策略管理平台,对规则进行分析、检查、审计,规则再多也不慌。
如果遇到更大规模的“全域”零信任访问需求,山石还提供分布式部署和统一编排,一个SMP管理平台,纳管多台零信任网关。
这种架构,不仅接入规模更大,冗余性更强,终端用户还可以根据链路质量,灵活选路,自动寻找最佳接入点,提升访问体验。
针对更复杂的混合接入场景,则可以按需部署不同规格、形态的山石防火墙作为零信任网关。
金融政府有国产化要求的边界,部署K系列国产化防火墙;大型数据中心、大集团边界,则可使用X系列高性能防火墙;中小园区、分支,选用A系列作为网关;而在云计算、虚拟化场景下,可以直接使用云·界vFW。
为何选择山石网科?
有人也许会问,市面上推零信任、ZTNA之类方案的很多,基于SDP搞东搞西的也不少,为啥偏偏要选山石?
这是个好问题,让我禁不住想起一个情结:这么多年在我眼里,国内安全圈,山石防火墙就是YYDS。
山石这套零信任解决方案,就是以其招牌产品防火墙为底座来构建的,山石墙在业内以“能打”著称,无论是超大规模的园区网/企业网出口,还是大型数据中心“南北”、“东西”流量防控,都有它战斗的身影。
这次华丽升级,对大量山石老客户来说,堪称福利,轻松实现产品「物尽其用」,而对志在重构零信任体系的新客户来讲,山石防火墙的All in One能力,同样可以成为最好的基石。
再往深里说,山石网科其实是在下一盘边界安全的大棋,SDP零信任只是棋局中的一步。
山石网科的目标,是在没有“传统边界”的新IT架构上,筑起无处不在、随需而动的新防线。
而山石的底气,来自于四个方面:➊硬核技术底座➋HCMA安全理念➌边界安全产品矩阵➍边界安全场景化解决方案。
传统物理环境、云环境、工业环境、国产化环境…,敢犯我边界者,虽远必诛!
①全域适应:适配各种传统IT和新IT环境,边界无处不在,防护无处不在;②基于零信任的管控;③云端情报协同、SaaS化安全能力交付;④协同安全运维&运营。
从底座到理念,再到产品和方案,山石网科将边界安全从单点防御进化到全面协同、全域适应时代。
所以,你还怀念故纸堆里的VPN吗?携手山石网科,迈向零信任架构,重新定义边界安全吧
责任编辑: