摘自：懂企業的品高云

一、零信任架構

零信任架構是一種網絡安全模型，它基于“永不信任，始終驗證”的原則，強調持續的監控和評估。在零信任模型中，無論請求來自何處，確保只有驗證過的實體才能訪問相應的資源，從而減少安全風險并提高整體的網絡安全性。

NIST和CSA定義了零信任的三大關鍵技術：身份與訪問管理(IAM，Identity and Access Management)、軟件定義邊界(SDP，Software Defined Perimeters)、和微隔離(MSG，Micro-Segmentation)。簡單來說，身份與訪問管理(IAM)用于主體對客體的訪問授權、軟件定義邊界(SDP)用于實現南北向安全(用戶與服務器間的安全)，微隔離(MSG)用于實現東西向安全(服務器與服務器間的安全)。

1.1 零信任架構現狀與優勢

當前，零信任架構正迅速成為企業網絡安全設計的核心。隨著遠程工作和云計算的普及，傳統的基于邊界的安全措施已不足以應對復雜的網絡威脅。零信任架構的優勢在于其靈活性和適應性，能夠跨不同環境(包括多云和混合云環境)提供一致的安全策略。這種以身份為核心的訪問控制機制，實時檢測和響應威脅、自動化執行安全策略確保了只有經過嚴格驗證的用戶和設備才能訪問受保護的資源，從而顯著提高企業對高級持續性威脅的防御能力。

1.2 零信任架構核心概念 

二、堅不可摧的SDP

SDP(Software Defined Perimeter，軟件定義邊界)是國際云安全聯盟CSA于2013年提出的基于零信任(Zero Trust)理念的新一代網絡安全模型。它通過軟件來重新定義和控制網絡邊界，而不是依賴于傳統的物理網絡邊界。SDP的核心理念是將網絡訪問控制從網絡層面轉移到身份層面，實現更細粒度的安全控制。

2.1 SDP從未被攻破

在網絡安全領域，軟件定義邊界(SDP)以其堅不可摧的安全性而著稱。如下表所示，這些歷史性的安全測試和挑戰活動，無不證明了這一點。SDP不僅是一個技術解決方案，更是一種對網絡安全的堅定承諾。隨著網絡威脅的不斷演變，SDP的這一紀錄顯得尤為寶貴，為尋求最高安全標準的企業和組織提供了信心和保障。

2.2 SDP核心原理

軟件定義邊界(SDP)是建立一個高度安全、細粒度控制的網絡訪問環境，其設計包含以下幾個關鍵方面：

三、BingoIAM SDP技術實現

3.1、基于Rust全棧自研

SDP核心服務作為網絡流量的入口，承擔著至關重要的角色。它必須同時運行在操作系統的內核態和用戶態。對性能、穩定性和安全性有著極高的標準。在這樣的背景下，選擇恰當的技術棧顯得尤為關鍵。傳統技術如Java和Golang因垃圾回收(GC)問題而受限，而C/C++雖性能卓越，卻因內存安全問題使得開發、測試與運維成本居高不下。經過深思熟慮，BingoIAM最終決定采用Rust這一新興的系統編程語言，全面自主研發SDP全棧解決方案。

Rust是除了C語言外，第二個進入到Linux內核開發的編程語言，證明了其在系統編程領域的可靠性和效率，其核心優勢包括：

目前國內外在SDP領域的開源技術幾乎沒有，尤其是基于Rust的實現，沒有任何現成的技術資料可供參考。BingoIAM團隊憑借對SDP核心需求的深刻理解，以及對Rust語言核心特性的全面掌握，從零開始，實現了SDP從內核態到用戶態，從設備端代理到服務端網關的全棧自研。

3.2、深入內核

基于內核eBPF(Extended Berkeley Packet Filter)與XDP(eXpress Data Path)，結合Rust語言的開發技術，為網絡性能優化和安全增強提供了強大的工具，為構建高性能、高安全性的系統回調函數提供了堅實的基礎。

在內核層面進行開發：

eBPF+XDP技術應用：通過結合eBPF的內核編碼能力和XDP的快速網絡數據處理特性，我們打造了高效的網絡內核擴展，eBPF+XDP還適用于如網絡調優、安全增強、監控和追蹤等各種場景。

TCP握手的鑒權機制：在TCP握手前實現驗證機制，對客戶端IP地址和端口進行認證鑒權，這一步驟決定是否允許建立網絡連接。

IP白名單的訪問控制：基于eBPF+XDP的內核擴展，我們將驗證通過的IP端口記錄于eBPF Map白名單中。這種機制僅允許合法的訪問請求，從而確保業務資源安全性和完整性。

目前主流eBPF內核代碼都是基于C語言進行開發，BingoIAM團隊為了技術棧的統一和更好的可維護性，經過對eBPF原理的深入理解和工程實踐，最終選擇了使用Rust來編寫eBPF代碼，實現從內核態到用戶態開發語言的統一。

3.3、網絡隱身對抗DDoS風暴

網絡隱身

零信任網關利用網絡隱身技術，在接收到TCP數據包時，自動丟棄未經授權的請求，不向客戶端返回任何數據包，即可使客戶端無法探測到端口的開放狀態，確保網關對未授權用戶和潛在攻擊者不可見且無法訪問;而當客戶端請求攜帶有效憑證時，網關才會響應并允許授權訪問。這種方法確保了只有經過驗證和授權的流量才能到達目標服務，從而體現其隱身能力、提高業務數據的安全性。

第三代SPA單包授權

SPA單包授權是一種網絡認證技術，通過單個含有終端身份信息的數據包發送至網關SPA端口，進行“敲門”操作，網關驗證身份后，對終端IP地址的白名單“開門”，允許其訪問零信任網關的TCP端口，不再丟棄來自該IP的數據包，實現用戶身份驗證和授權，簡化了認證流程，提高了安全性和效率，集成零信任安全技術模型，實現基于身份的策略實施。

3.4、mTLS對抗第三方攻擊

自適應mTLS安全隧道

自適應mTLS安全隧道是一種先進的網絡安全技術，它利用TLS協議在計算機網絡中建立加密通信通道，確保數據傳輸的安全性和完整性。這種隧道能夠根據網絡狀況、安全威脅和用戶需求動態調整其加密策略和性能。

我們的SDP網關不僅支持標準的mTLS證書，還兼容國密標準。這一靈活性在mTLS握手的Client Hello階段尤為關鍵，客戶端在此階段聲明其支持的密碼套件，網關則相應地選擇合適的證書和協議完成握手。

銅鎖安全增強

螞蟻金服銅鎖密碼庫(Tongsuo)是螞蟻集團自主研發的密碼學解決方案，是開放原子開源基金會的開源項目，它不僅代表了金融級的安全標準，還體現了國家級開源基金會的權威性。它集成了包括多方安全計算(MPC)、同態加密(HE)在內的前沿技術，簡化了隱私算法的應用。基于OpenSSL優化，Tongsuo提供了高性能的密碼學運算能力，支持大規模數據處理。符合國家密碼法要求，經過嚴格審查，Tongsuo確保了算法的安全性和可靠性，降低了企業進入隱私計算的門檻。螞蟻金服銅鎖密碼庫不僅為金融行業提供了高標準的安全解決方案，也為更廣泛的領域提供了數據安全和隱私保護的強大支持。

BingoIAM零信任解決方案深刻理解國密算法的重要性，采用銅鎖密碼庫來全面支持國密算法的實施。客戶端通過單包認證后，訪問零信任網關時，采用國密雙證書，通過TLCP協議進行數據加密傳輸，保證數據的傳輸過程中不產生泄露風險，TLCP是中國國家標準制定的傳輸層密碼協議，包括SM2、SM3、SM4等。零信任網關通過對接BingoIAM獲取客戶端的授權數據，在客戶端與網關進行TLCP握手時，識別制定客戶端是否有權限訪問制定的服務。通過使用國密SM3進行數據包簽名和SM4進行加密，BingoIAM不僅增強了數據的防篡改和防泄露能力，也更好地適應了信創環境的要求。

3.5、IAM+SDP+端應用一體化訪權管控

BingoIAM和SDP網關共同構建了一個強大的安全架構。IAM平臺負責身份認證和訪問授權，確保只有經過驗證和授權的用戶才能訪問資源。而零信任SDP網關則在網絡層面實施細粒度的訪問控制，根據IAM的授權結果動態調整訪問權限。這種協同工作機制實現了從身份到網絡的全面安全控制，保障了資源的安全性和合規性，同時支持了靈活的訪問策略，以適應不斷變化的業務需求。

零信任終端：提供統一認證的Android、PC、iOS零信任安全終端，支持將企業各類型應用發布至終端，構造零信任終端應用市場門戶，并提供企業級通訊錄，促進員工高效溝通與協作。

新一代SDP安全邊界：通過使用第三代SPA技術，有效防止TCP SYN DDO、惡意嗅探、網絡掃描等攻擊，同時，最小化按需開放流量訪問窗口，建立更嚴格、更安全的零信任身份邊界。

統一身份治理中心：提供八大模塊、1000+功能的企業級身份管理中心，集中管理企業數字身份，提供認證、訪問、授權、審計、安全防護等全方位身份治理能力。

四、一體化零信任BingoIAM重塑邊界

4.1、基礎架構說明

在零信任IAM的框架下，SDP和IAM零信任客戶端共同構成了一個動態的安全訪問環境。用戶在嘗試訪問資源時，IAM零信任客戶端首先進行身份驗證和權限評估，然后通過SDP建立安全的訪問路徑。在整個訪問過程中，IAM持續監控用戶行為，并根據實時反饋動態調整訪問權限，確保資源的訪問是種符合零信任的原則。

BingoIAM：零信任安全架構的核心，它通過精細化的訪問控制策略，確保只有經過驗證和授權的用戶才能訪問特定的資源。在零信任模型中，IAM的作用不僅僅是用戶身份的認證，更重要的是對用戶訪問權限的持續評估和動態調整。

IAM零信任客戶端：作為IAM的延伸，部署在用戶的設備上，負責執行安全策略，監控用戶行為，并與IAM服務器進行實時通信。通過集成多因素認證、設備合規性檢查、環境感知等安全措施，為用戶的每一次訪問請求提供上下文感知的認證和授權。

零信任控制器：核心管理組件，保護網絡邊界，通過隱身技術和早期握手驗證減少威脅，攔截未授權訪問，保證通信加密。并負責身份驗證、會話管理和實時策略下發，確保系統組件和流程的高效集成。

業務網關：作為安全策略的執行點，控制和監控進出業務系統的所有網絡流量，確保只有經過驗證和授權的訪問被允許，同時提供加密通信和日志記錄以增強安全性和合規性。

4.2、基礎流程說明 

1. 加載基礎憑證：由于認證服務(SSO)與零信任控制器均在零信任網關安全邊界的保護內，不可直接訪問。因此，在客戶端啟動時需加載基礎憑證作為客戶端初始身份，該身份憑證受安全策略管控，只能用于訪問認證服務與零信任控制器，用于完成初始登錄與憑證換發。

2. 用戶登錄：前端通過客戶端基礎憑證的身份訪問認證服務進行用戶登錄，成功登錄后獲取到SSO頒發的訪問令牌。

3. 注冊設備：前端獲取到客戶端設備信息，生成設備的唯一標識，攜帶第2步得到的訪問令牌請求認證服務，上報設備信息進行設備注冊，后續由IT管理員或自動審批機制對該設備進行準入審批。

4. 換發憑證：通過客戶端初始加載的基礎憑證、SSO頒發的訪問令牌、設備本身的標識，請求零信任控制器換發用戶憑證，標識唯一的用戶身份。

5. 業務訪問：使用第4步獲取的用戶憑證訪問安全邊界內的經授權的應用服務。

4.3、部署架構說明

企業網絡環境的復雜性源于業務需求的多樣性(業務擴展、分支機構、并購與合作)、技術演進的快速性(云計算、物聯網、移動計算、微服務架構)以及安全挑戰(全球化、遠程工作、數據泄露、網絡攻擊)的不斷變化。在這樣的背景下，零信任SDP架構應適配包括多網架構、云邊協同、地區網絡隔離、總部與分支機構連接、數據中心、服務網格以及無線網絡在內的多種網絡場景。

為應對當今企業面臨的復雜網絡環境，滿足不同規模和需求的企業網絡部署。零信任BingoIAM架構提供了高效擴展模型，簡化網絡管理，同時提供必要的安全性和靈活性。

單控制器模型：在此模型中，控制器與業務網關集成于一體，提供完整的SDP功能。它適用于小型企業或資源受限的環境，如初創公司或小型辦事處，它們需要快速部署SDP解決方案而無需大量投資。這種架構簡化了網絡的運維管理，通過集中化的策略控制，提高了對網絡安全態勢的響應速度和處理效率。

單網關模型：此模型包含一個控制器和一個獨立的業務網關，適合中小型企業使用。適用于企業需要更精細控制訪問權限的場景，例如，一個中型企業希望在保持成本效益的同時，為企業提供定制化的安全訪問策略。

多網關模型：通過一個控制器管理多個業務網關，旨在為不同安全等級、網絡流量的業務應用提供訪問控制。適用于大型企業或擁有多個業務單元的組織，它們需要對不同級別的業務數據實施分層安全保護。保持對特定區域或類型的流量進行定制化的安全控制，增強了網絡的靈活性和細粒度訪問管理。

多網域模型：包含多個可同步的控制器和業務網關，用于管理單個企業內不同的網絡業務域。適用于跨地域經營的大型企業，需要在各個分支機構間同步安全策略并統一管理。在不同地理位置部署多個控制中心，這種架構不僅提升了網絡服務的冗余和容錯能力，還能夠根據地域特性和需求，實現更快速的本地化管理和服務，優化了用戶體驗和網絡性能。

多中心模型：包含多個控制器和業務網關，每個控制器可以管理一個或多個網關，它們之間相互隔離。適用于需要高度隔離保護的多環境企業，如金融機構或政府機構，它們在不同的網絡中心運行著敏感數據。適合大型企業或需要地理分布控制點的組織，增強了可擴展性和高可用性。

云邊端模型：針對云邊端協同的場景，允許用戶在辦公終端通過加密隧道安全地訪問邊緣節點和公私混合云內的業務資源。適用于零售或制造行業，需要在云和邊緣計算環境中實現數據的快速處理和安全訪問。確保不同網絡區域之間數據傳輸的安全性和隔離性。SDP的策略執行和訪問控制功能，為多網域環境提供了強大的安全保障，有效防止潛在的網絡攻擊和數據泄露。

多云模型：針對多云環境，用戶可以在辦公終端通過加密隧道訪問不同云服務提供商的業務資源。適用于科技和媒體公司，它們利用多云策略來優化性能、成本和安全性，同時需要確保數據的一致性和保護。支持企業通過互聯網實現語音、視頻和數據通信，無論員工身在何處，都能保持高效的協作和溝通。SDP的靈活性和可靠性，為跨國、跨地公司提供了無縫的通信解決方案，促進了企業內部業務的順暢運作。

五、總結與展望

在當前復雜多變的網絡安全環境中，SDP(軟件定義邊界)技術以其獨特的身份驅動安全防護、細粒度訪問控制策略和對零信任模型的支持，正成為身份管理和網絡安全領域的新寵。BingoIAM的零信任解決方案通過集成SDP能力，不僅提升了企業資源的保護水平，加強了訪問控制，還簡化了網絡架構，降低了成本。

展望未來，隨著網絡安全威脅的不斷演變，BingoIAM將繼續深化SDP技術的應用，加強與零信任模型的融合，提升系統的靈活性和響應能力。同時，BingoIAM也將不斷優化其零信任架構，為企業提供更為安全、靈活和可靠的網絡環境。

連接合并復用：為減少安全隧道建立的時間消耗，支持多個請求通過單一的長期連接并行傳輸，從而提高效率和減少延遲。

弱網訪問優化：提供無連接的通道和請求機制，能夠在網絡條件不佳時提供更穩定的連接和更快的傳輸速度。

持續監控響應：實時監控用戶和設備的行為，及時應對和恢復安全事件，降低安全漏洞的風險。

智能化/自動化：利用人工智能和機器學習技術，實現自動化的安全決策和威脅檢測，提升安全操作效率。

我們將持續探索身份安全的革新成果，期待BingoIAM在信創領域創造更多的價值

敬請 期 待

更多BingoIAM的相關信息，將在近期的產品發布會上一一揭曉，掃描下方二維碼馬上預約吧!