周五的那篇《算了，我也來聊聊紅芯？》可能還是我解釋的不到位，很多人和我交流的時(shí)候，還是在深挖到底什么是SDP，以及關(guān)于紅芯瀏覽器及紅芯隱盾的各種問題，索性接著上次聊的我這次細(xì)化的講講紅芯的SDP。

一直以來都覺得搞軟件的特NB，為什么這樣講呢？因?yàn)楦丬浖目梢远x安全、定義存儲(chǔ)、定義網(wǎng)絡(luò)、定義……

感覺和技術(shù)有關(guān)，軟件什么都能定義亦或者還要重新定義，而今天我們要講的SDP也被軟件定義了，定義的是邊界。

什么是SDP？

SDP的全稱是Software Defined Perimeter，軟件定義邊界，它是由云安全聯(lián)盟（CSA）提出的一個(gè)概念。

不喜歡說那么多高深莫測的話，拋開“專業(yè)術(shù)語”來看，其實(shí)可以把SDP比作一個(gè)軟件做出來的網(wǎng)關(guān)來理解，就是用可控的邏輯組件替代物理設(shè)備，通過軟件對(duì)訪問者進(jìn)行設(shè)備認(rèn)證及身份認(rèn)證，通過認(rèn)證后授信的訪問者才可以對(duì)于應(yīng)用基礎(chǔ)設(shè)施的訪問。

SDP主要分成兩部分：即主機(jī)和控制器（Controller）。

主機(jī)有兩個(gè)任務(wù)，即創(chuàng)建或者接受鏈接，創(chuàng)建連接的主機(jī)叫（IH）、接受連接的主機(jī)命名（AH）。

控制器的任務(wù)則是對(duì)主機(jī)進(jìn)行認(rèn)證和下發(fā)策略，主機(jī)和控制器之間通過一個(gè)安全的控制信道進(jìn)行交互。

紅芯隱盾的SDP？

我上篇文章提過，紅芯面對(duì)的客戶是政府和事業(yè)單位，比如醫(yī)療系統(tǒng)、公安系統(tǒng)、政務(wù)辦公系統(tǒng)、敏感數(shù)據(jù)比較多的體系，這些體系的內(nèi)部系統(tǒng)，大部分都是自有的“小機(jī)房”私有化部署的。

前些年也沒有什么特定的標(biāo)準(zhǔn)化，各級(jí)單位或企業(yè)雖然按照一個(gè)需求標(biāo)準(zhǔn)，但是都是通過從當(dāng)?shù)貙ふ摇胺?wù)商”來做，除了技術(shù)參差不齊以外，運(yùn)維、安全這些也是很難跟的上的。

雖然是私有化部署，但是很多都存在遠(yuǎn)程訪問的需求，所以大部分網(wǎng)站的鏈接方式，是客戶端與服務(wù)端直連的模式，以IP或者域名直接訪問的，因?yàn)檫@樣的需求，導(dǎo)致服務(wù)端實(shí)際還是暴露在公網(wǎng)中。

由于技術(shù)的參差不齊，運(yùn)維、安全跟不上，再加上使用者的安全意識(shí)薄弱，因漏洞、或因用戶使用弱口令密碼被黑的事件確實(shí)也屢見不鮮。

而SDP正是在解決這個(gè)痛點(diǎn)，關(guān)于紅芯隱盾的工作原理，我讓產(chǎn)品小妹手繪了一個(gè)邏輯圖：

首先紅芯瀏覽器會(huì)通過“多因子認(rèn)證”的方式對(duì)客戶端進(jìn)行認(rèn)證，通過認(rèn)證后請(qǐng)求私有DNS獲取到訪問IP，再向網(wǎng)關(guān)發(fā)起請(qǐng)求，網(wǎng)關(guān)授信確認(rèn)用戶身份后，再放行對(duì)OA、Mail以及其它操作系統(tǒng)的訪問。

所以我在上篇文章提到，紅芯隱盾的邏輯簡單來說其實(shí)就是把瀏覽器作為一個(gè)入口點(diǎn)，控制臺(tái)負(fù)責(zé)下發(fā)訪問規(guī)則，設(shè)定黑白名，建立私有DNS劃分出私有網(wǎng)絡(luò)，外部設(shè)備沒有連接DNS就沒有辦法訪問數(shù)據(jù)，以此劃分邊界。

SDP的優(yōu)勢？

之前提了劣勢，存在即合理嘛，所以今天還是一本正經(jīng)的說說優(yōu)勢。

隱藏敏感系統(tǒng)，減少攻擊面。

這點(diǎn)是不可否認(rèn)的，SDP確實(shí)從某種意義上，將敏感業(yè)務(wù)系統(tǒng)“藏”了起來，提高了黑客攻擊成本和門檻，所以我說穿條褲衩總比裸奔來的好。

減輕DDoS攻擊

必須授信才可以訪問及觸達(dá)，未授權(quán)用戶或設(shè)備的TCP鏈接會(huì)被控制器和AH拒絕掉，所以從某種意義上可以減輕DDoS攻擊，但是絕對(duì)不是徹底防止，黑客還是可以用其它方式D垮服務(wù)器。

訪問控制更靈活

相比VPN或者跳板機(jī)，SDP的策略是基于用戶，而不是基于IP地址，在授信訪問之前可根據(jù)用戶屬性對(duì)用戶賬戶及設(shè)備創(chuàng)建訪問策略，訪問控制要靈活很多。

溯源便捷

基于用戶及訪問設(shè)備進(jìn)行授信，遇到問題可以通過AH日志和IH的流量進(jìn)行溯源

相對(duì)成本低

沒什么可解釋的，軟件一體化的方案去PK硬件設(shè)施方案，無論時(shí)間成本還是金錢成本都會(huì)低。

紅芯該從哪方面改進(jìn)？

提問題也順便解決問題吧，是非的事情不想過多理會(huì)，拋開“造假事件”來看，紅芯瀏覽器使用Chrome/49 來解決XP的兼容，一方面是耍了個(gè)小聰明想去解決一些問題，另外一方面也反襯出團(tuán)隊(duì)技術(shù)比較弱或者預(yù)算不足的問題，當(dāng)然這是一件很不負(fù)責(zé)任的行為。

兼容最好的辦法還是學(xué)學(xué)國內(nèi)主流瀏覽器以Trident+Webkit或Trident+Blink雙內(nèi)核的方式來解決問題。

從Chrome/49 到今天的Chrome/ 68，各種高中低危漏洞算下來不下200個(gè)，組合利用起來黑客可以通過幾百種姿勢通過對(duì)業(yè)務(wù)進(jìn)行攻擊，漏洞利用的攻擊成本低到我誘導(dǎo)某用戶訪問我發(fā)給他的指定的一個(gè)頁面，即可獲取到他相關(guān)敏感的信息。

從目前來看，如果不去解決這個(gè)問題，SDP機(jī)制雖好，但幫客戶關(guān)上門的同時(shí)，也幫助黑客打開了一扇窗啊。

再加上我上一篇文章提及過的，統(tǒng)一控制臺(tái)(www.redcore.cn)暴露在互聯(lián)網(wǎng)上，如果不做好措施，那么其它所有的努力都是為黑客提供了便利和工具。

就像嘶吼小伙伴公眾號(hào)里寫的那樣：

管理員真的是帶著包含200多個(gè)Chrome漏洞的瀏覽器裸奔在互聯(lián)網(wǎng)上??！

寫在后面

不因?yàn)橐恍﹩栴}一棒子打死，再次聲明SDP對(duì)我列舉的這些自部署私有敏感系統(tǒng)的客戶來講，確實(shí)是一個(gè)低成本的解決方案，這套方案也并不是紅芯的國內(nèi)首創(chuàng)，其實(shí)國內(nèi)很多包括綠盟在內(nèi)的安全公司，也都在提供相應(yīng)的解決方案。

創(chuàng)業(yè)不易，我這有什么就毫不避諱說什么的性格，可能是某些人眼界中比較蠢的那種，但是如果把這臭毛病改了，我還是我嗎？

這是個(gè)哲學(xué)問題。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場：https://www.ijiandao.com/