SDP安全技术对4A安全管理能力补充探讨

范楷

1 4A系统功能简述

4A系统中文名称为统一安全管理平台。该解决方案是将账号（Account）、认证（Authentication）、授权（Authorization）、审计（Audit）定义为网络安全的四大组成部分。

企业单位使用的4A系统，建立了一个信息系统内的账号的全生命周期管理体系，并且将用户及运维人员使用的多种设备及资产也一并纳入管理范围，实现了以身份为中心的全面管控。

2 SDP对4A安全管理能力互补的探讨

2.1 4A系统的安全管理能力。

账号管理：4A 平台提供统一集中的帐号管理，能够实现被管理资源帐号的创建、删除和同步等帐号等全生命周期管理。还可以实现子从账号管理，管理员可建立主账号到从账号的对应关系，实现账号分层管理。

认证管理：4A 平台可以根据用户应用的实际需要，为用户提供不同强度的认证方式，不仅可以实现用户认证的统一管理，并且能够为用户提供统一的认证门户，实现企业信息资源访问的SSO（单点登录）对接。

授权管理：4A 平台可以对用户的资源访问权限进行集中控制。管理员将业务系统资源账号按需分配给用户，实现对应用系统、主机及网络设备账号的最小权限分配原则。

审计管理：4A 平台将用户的所有的登录访问、操作信息及命令等日志集中记录管理和分析，这样可以对用户行为进行监控，以便于事后的安全事故责任的认定，方便未来堵住安全漏洞。

2.2 SDP安全模型的优点

2.2.1 架构优点-控制面与数据面分离

用户接入访问时不再直接连接到应用服务器，而是首先从IH用户访问入口发送信息到安全控制中心去进行验证。安全控制中心验证用户权限合法之后才对应开放IH和AH之间的连接通道，并由AH代理进行其后端的业务系统访问。

2.2.2 场景优点-解决云化服务安全边界模糊的问题

SDP的天然优势是可以实现边界移动到和应用系统容器的边缘，进行贴近化的防护，这是传统安全硬件系统无法企及的优势点。在如今云计算，移动互联网等技术大量应用的环境下，SDP软件定义边界将模糊的边界从防火墙处直接推进到客户端和应用端，真正实现了从端-端的安全防护。

2.2.3 技术优点1-SPA技术实现被访问对象隐身

SDP使用了SPA（单包授权）机制进行安全防护，所有对外TCP端口全部关闭，仅保留指定UDP端口接收报文，只有合法的用户发出的正确报文才能通过初步认证，并由安全控制中心根据约定规则和AH可行安全代理建立连接，进行后续访问动作。

2.2.4 技术优点2-动态访问管控评估

通过属性来感知用户的访问上下文行为，并动态调整用户信任级别。这些属性可以包括用户身份，终端类型，设备属性，接入方式、位置、时间等。并启用动态的防护策略，例如可以实现：当用户访问的属性出现变化时，根据系统的评分规则，可让用户保留低敏系统的访问，但要访问高敏业务时需进行二次认证或者进行阻断。

2.3 4A和SDP配合结合方式探讨

4A系统和SDP系统，各自有着以上能力优点。但是，现在使用4A或系统的单位，如尚未开始实施基于零信任身份认证改造，常会停留在以下状态：（1）静态规则和部分单点登录对接;（2）采用某些认证技术，实现设备合规性和登录信息的单一验证;（3）相对薄弱的网络设施，身份有泄露风险。

技术能力更强一些的一些单位则会做某些安全策略升級。例如：采取混合身份和优化的访问策略，限制了不合法用户对数据、应用程序和网络的访问。设备入网需要进行注册，或将网络进行分割形成各个不同的功能域，在边界做防护加强等。

可以看到技术能力较强的单位的升级改造理念，其实也是零信任的一种摸索方向。下面将SDP作为一个能力补充工具来做结合方式以及能力提升的探讨。

2.3.1 端侧做访问代理进行结合的方式

4A系统一般会放置于内网环境，因此可以将SDP作为不区分内外网的统一访问入口。从外网访问时，用户首先登录访问SDP平台，并由SDP平台接入4A系统，4A系统和SDP平台做单点对接，可以从SDP平台方便的进入4A平台进行访问，这种方式对于B/S形态的4A系统较为友好，同时也支持C/S形态的4A系统访问。在不需要对原有4A系统进行太多改动的情况下，将4A系统的认证服务器严密的保护到SDP的防护之下。

2.3.2 和4A原有的端侧软件集成SDK改造的方式

对于有端的C/S形态的4A系统，SDP可以和原有4A端侧进行SDK（软件开发工具包）集成，将SDP平台至于4A之前，在SDP完成认证之前拒绝从端侧的任何对4A服务器及后面的业务系统的所有访问请求。完成SDP请求，确认为合法用户后，再根据其权限开放指定端口允许进行访问4A系统。此改造方式对于终端用户较为友好，特别是SDK集成时同时做了SSO的对接后，终端用户的登录感知几乎和改造之前没有变化，降低推广成本。

2.3.3 SDP的应用级日志分析能力和4A原有集中审计能力结合

SDP系统本身具备收集其上挂载系统的访问数据，并进行审计的能力，该数据主要来源于第7层应用层的数据，相比于其他的日志收集来说可进行更加细粒度以及不同维度的分析，例如可以得出用户访问热度，账号访问登录错误次数等分析结果。而4A系统本身则具有更加强大的日志分析能力和更多层级的数据来进行对比，因此SDP系统通过预设接口，将收集的应用层日志提供给4A系统，并由4A系统进行综合分析，对系统安全审计也会形成能力补充。

3 总结与展望

我们看到，如果将SDP和4A系统做有机结合，可以在登录防护，抗DooS攻击，还有安全审计等方面形成能力互补。未来的4A可能不仅结合零信任理念和能力，还有会结合AI等新技术，将访问用户的管理做到更加细致和安全。

参考文献：

[1]严彬元. 4A统一安全管控平台深化应用探讨. 行业与应用安全.2017.12

[2]秦益飞、张英涛、张晓东. 零信任落地路径研究. 信息安全与通信保密.2021.01

[3]刘凡、钟荣锋. 4A 技术在企业信息安全方面的应用研究. 长江信息通信.2021.01