在過去十多年，SSL VPN已成為眾多企業(yè)的IT基礎設施。近期利用SSL VPN設備發(fā)起的APT攻擊事件并非孤案。我們都知道在真實攻防對抗的大背景下，去年VPN設備就被爆出嚴重漏洞，近期的APT事件僅是該類設備安全問題的延續(xù)。

這一起APT事件，凸顯了幾方面問題：

一、網絡安全行業(yè)本身面臨的“供給側改革”問題

曾經這個名詞伴隨2014-2015創(chuàng)業(yè)大潮被多次提及，而近期披露的APT攻擊事件，在當下推動國產化的背景下，顯得更為迫切。安全能力應當是IT系統(tǒng)的內生能力，安全產品更應如此。

基于“構建可控的互聯(lián)世界”的愿景，聯(lián)軟科技在2016年提出了“可信數(shù)字網絡架構TDNA”(Trusted Digital Network Architecture)的理念，并在該理念下研發(fā)出了全新一代企業(yè)級安全保護平臺ESPP，集網絡準入控制、終端安全管理、BYOD設備管理、云主機安全管理、數(shù)據防泄密等系統(tǒng)于一體，通過一個平臺，統(tǒng)一框架，數(shù)據集中，實現(xiàn)更強更智能的安全保護，減輕安全管理負擔，降低采購和維護成本，致力于將安全能力融入客戶業(yè)務，打造內置安全能力。

二、利用SSL VPN作為跳板的APT攻擊，暴露了傳統(tǒng)IT架構的脆弱性

1.VPN的遠程接入方案，看似安全，但等同于內部網絡暴露在互聯(lián)網。當這臺暴露在互聯(lián)網的設備被控制，企業(yè)網絡的大門隨即就被打開。

2.在單點完成接入、認證和授權的模式，需要設備是安全的，還要確保部署配置的安全，運行維護的安全，這其實是很高的要求，超越了大多數(shù)企業(yè)級客戶的能力，導致容易出現(xiàn)管理后臺對外開放，登錄賬號弱口令。這種低級錯誤，為APT組織留下大量設備作為研究對象。

3.VPN是建立連接，再去驗證，一旦驗證通過就持續(xù)可信。而以零信任網絡為典型的新安全架構顛覆這種認知，強調設備、人、資源都不可信，需要持續(xù)驗證。

三、本次事件也契合RSAC2020的主題“Human Element”，不安全的產品是人為的，不安全的配置（管理后臺開放、弱口令），也是人為造成的。企業(yè)安全治理的核心要素，始終是要恪守安全基本準則，減少暴露面，避免給人犯錯的機會。

此次VPN暴露出來的安全事件也凸顯了在傳統(tǒng)網絡邊界近乎消失的時代，VPN 問題頻出，盡顯老態(tài)，需要更新的技術適應新時代信息技術的發(fā)展。

Gartner預計到2023年，60%的企業(yè)將逐步淘汰大部分VPN，支持零信任網絡訪問。

聯(lián)軟科技從2017年已經開始研究零信任架構，結合自身豐富的網絡安全管理和終端安全管理實踐經驗，開發(fā)了聯(lián)軟UniSDP安界軟件定義邊界系統(tǒng)。聯(lián)軟SDP系統(tǒng)主要基于可信身份、可信終端、可信網絡、可信服務四個層面實踐零信任網絡架構，為企業(yè)內網安全和云安全打造統(tǒng)一、安全和高效的訪問入口。

其中聯(lián)軟的可信終端能為用戶提供安全沙箱功能，這個在實踐零信任理念的數(shù)據安全中跨出了一大步，聯(lián)軟的APN網關也具有技術專利，整個架構始終堅持用戶導向，保持了足夠的靈活性和開放性。

聯(lián)軟SDP系統(tǒng)在消除企業(yè)安全連接中對VPN的依賴性有明顯效果，在安全性上比VPN具備先天的優(yōu)勢，主要體現(xiàn)在以下幾個方面：

聯(lián)軟SDP優(yōu)勢亮點

1) SDP架構中的單包授權（SPA）機制使得SDP控制器和網關對阻止DDoS攻擊更有彈性。SPA協(xié)議與傳統(tǒng)的TCP握手連接機制相比可花費更少的資源，使服務器能夠大規(guī)模處理、丟棄惡意的網絡請求數(shù)據包。

2) SDP的訪問控制是基于Need to Know模型，在技術實現(xiàn)上確保每個用戶必須先驗證每個設備和身份，然后才能授予對網絡的訪問權限。能夠大大減少企業(yè)IT的攻擊面，隱藏系統(tǒng)和應用程序漏洞，保護用戶接口不被未授權用戶訪問，因此也無法利用任何漏洞。

3) SDP可以與IAM集成，實施自動化策略，動態(tài)的根據用戶的身份和權限控制用戶或服務能夠訪問的IT系統(tǒng)資源。

由于SDP安全的設計理念，成熟的安全技術架構，在解決VPN存在的問題、以及多云訪問下統(tǒng)一入口、統(tǒng)一身份認證、安全審計等方面都有傳統(tǒng)解決訪問無可比擬的優(yōu)勢，同時在第三方安全訪問、促進IT系統(tǒng)集成上也越來越顯示出巨大的優(yōu)勢。