聲明：該文章由作者（ksbugs）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

周五的那篇《算了，我也來聊聊紅芯？》可能還是我解釋的不到位，很多人和我交流的時候，還是在深挖到底什么是SDP，以及關于紅芯瀏覽器及紅芯隱盾的各種問題，索性接著上次聊的我這次細化的講講紅芯的SDP。

一直以來都覺得搞軟件的特NB，為什么這樣講呢？因為搞軟件的可以定義安全、定義存儲、定義網(wǎng)絡、定義……

感覺和技術有關，軟件什么都能定義亦或者還要重新定義，而今天我們要講的SDP也被軟件定義了，定義的是邊界。

什么是SDP？

SDP的全稱是Software Defined Perimeter，軟件定義邊界，它是由云安全聯(lián)盟（CSA）提出的一個概念。

不喜歡說那么多高深莫測的話，拋開“專業(yè)術語”來看，其實可以把SDP比作一個軟件做出來的網(wǎng)關來理解，就是用可控的邏輯組件替代物理設備，通過軟件對訪問者進行設備認證及身份認證，通過認證后授信的訪問者才可以對于應用基礎設施的訪問。

SDP主要分成兩部分：即主機和控制器（Controller）。

主機有兩個任務，即創(chuàng)建或者接受鏈接，創(chuàng)建連接的主機叫（IH）、接受連接的主機命名（AH）。

控制器的任務則是對主機進行認證和下發(fā)策略，主機和控制器之間通過一個安全的控制信道進行交互。

紅芯隱盾的SDP？

我上篇文章提過，紅芯面對的客戶是政府和事業(yè)單位，比如醫(yī)療系統(tǒng)、公安系統(tǒng)、政務辦公系統(tǒng)、敏感數(shù)據(jù)比較多的體系，這些體系的內(nèi)部系統(tǒng)，大部分都是自有的“小機房”私有化部署的。

前些年也沒有什么特定的標準化，各級單位或企業(yè)雖然按照一個需求標準，但是都是通過從當?shù)貙ふ摇胺丈獭眮碜觯思夹g參差不齊以外，運維、安全這些也是很難跟的上的。

雖然是私有化部署，但是很多都存在遠程訪問的需求，所以大部分網(wǎng)站的鏈接方式，是客戶端與服務端直連的模式，以IP或者域名直接訪問的，因為這樣的需求，導致服務端實際還是暴露在公網(wǎng)中。

由于技術的參差不齊，運維、安全跟不上，再加上使用者的安全意識薄弱，因漏洞、或因用戶使用弱口令密碼被黑的事件確實也屢見不鮮。

而SDP正是在解決這個痛點，關于紅芯隱盾的工作原理，我讓產(chǎn)品小妹手繪了一個邏輯圖：

首先紅芯瀏覽器會通過“多因子認證”的方式對客戶端進行認證，通過認證后請求私有DNS獲取到訪問IP，再向網(wǎng)關發(fā)起請求，網(wǎng)關授信確認用戶身份后，再放行對OA、Mail以及其它操作系統(tǒng)的訪問。

所以我在上篇文章提到，紅芯隱盾的邏輯簡單來說其實就是把瀏覽器作為一個入口點，控制臺負責下發(fā)訪問規(guī)則，設定黑白名，建立私有DNS劃分出私有網(wǎng)絡，外部設備沒有連接DNS就沒有辦法訪問數(shù)據(jù)，以此劃分邊界。

SDP的優(yōu)勢？

之前提了劣勢，存在即合理嘛，所以今天還是一本正經(jīng)的說說優(yōu)勢。

隱藏敏感系統(tǒng)，減少攻擊面。

這點是不可否認的，SDP確實從某種意義上，將敏感業(yè)務系統(tǒng)“藏”了起來，提高了黑客攻擊成本和門檻，所以我說穿條褲衩總比裸奔來的好。

減輕DDoS攻擊

必須授信才可以訪問及觸達，未授權用戶或設備的TCP鏈接會被控制器和AH拒絕掉，所以從某種意義上可以減輕DDoS攻擊，但是絕對不是徹底防止，黑客還是可以用其它方式D垮服務器。

訪問控制更靈活

相比VPN或者跳板機，SDP的策略是基于用戶，而不是基于IP地址，在授信訪問之前可根據(jù)用戶屬性對用戶賬戶及設備創(chuàng)建訪問策略，訪問控制要靈活很多。

溯源便捷

基于用戶及訪問設備進行授信，遇到問題可以通過AH日志和IH的流量進行溯源

相對成本低

沒什么可解釋的，軟件一體化的方案去PK硬件設施方案，無論時間成本還是金錢成本都會低。

紅芯該從哪方面改進？

提問題也順便解決問題吧，是非的事情不想過多理會，拋開“造假事件”來看，紅芯瀏覽器使用Chrome/49 來解決XP的兼容，一方面是耍了個小聰明想去解決一些問題，另外一方面也反襯出團隊技術比較弱或者預算不足的問題，當然這是一件很不負責任的行為。

兼容最好的辦法還是學學國內(nèi)主流瀏覽器以Trident+Webkit或Trident+Blink雙內(nèi)核的方式來解決問題。

從Chrome/49 到今天的Chrome/ 68，各種高中低危漏洞算下來不下200個，組合利用起來黑客可以通過幾百種姿勢通過對業(yè)務進行攻擊，漏洞利用的攻擊成本低到我誘導某用戶訪問我發(fā)給他的指定的一個頁面，即可獲取到他相關敏感的信息。

從目前來看，如果不去解決這個問題，SDP機制雖好，但幫客戶關上門的同時，也幫助黑客打開了一扇窗啊。

再加上我上一篇文章提及過的，統(tǒng)一控制臺(www.redcore.cn)暴露在互聯(lián)網(wǎng)上，如果不做好措施，那么其它所有的努力都是為黑客提供了便利和工具。

就像嘶吼小伙伴公眾號里寫的那樣：

管理員真的是帶著包含200多個Chrome漏洞的瀏覽器裸奔在互聯(lián)網(wǎng)上?。?/p>

寫在后面

不因為一些問題一棒子打死，再次聲明SDP對我列舉的這些自部署私有敏感系統(tǒng)的客戶來講，確實是一個低成本的解決方案，這套方案也并不是紅芯的國內(nèi)首創(chuàng)，其實國內(nèi)很多包括綠盟在內(nèi)的安全公司，也都在提供相應的解決方案。

創(chuàng)業(yè)不易，我這有什么就毫不避諱說什么的性格，可能是某些人眼界中比較蠢的那種，但是如果把這臭毛病改了，我還是我嗎？

這是個哲學問題。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/