在過去十多年，SSL VPN已成為眾多企業的IT基礎設施。近期利用SSL VPN設備發起的APT攻擊事件并非孤案。我們都知道在真實攻防對抗的大背景下，去年VPN設備就被爆出嚴重漏洞，近期的APT事件僅是該類設備安全問題的延續。

這一起APT事件，凸顯了幾方面問題：

01

網絡安全行業本身面臨的“供給側改革”問題

曾經這個名詞伴隨2014-2015創業大潮被多次提及，而近期披露的APT攻擊事件，在當下推動國產化的背景下，顯得更為迫切。安全能力應當是IT系統的內生能力，安全產品更應如此。

基于“構建可控的互聯世界”的愿景，聯軟科技在2016年提出了“可信數字網絡架構TDNA”(Trusted Digital Network Architecture)的理念，并在該理念下研發出了全新一代企業級安全保護平臺ESPP，集網絡準入控制、終端安全管理、BYOD設備管理、云主機安全管理、數據防泄密等系統于一體，通過一個平臺，統一框架，數據集中，實現更強更智能的安全保護，減輕安全管理負擔，降低采購和維護成本，致力于將安全能力融入客戶業務，打造內置安全能力。

02

利用SSL VPN作為跳板的APT攻擊，暴露了傳統IT架構的脆弱性

1.VPN的遠程接入方案，看似安全，但等同于內部網絡暴露在互聯網。當這臺暴露在互聯網的設備被控制，企業網絡的大門隨即就被打開。

2.在單點完成接入、認證和授權的模式，需要設備是安全的，還要確保部署配置的安全，運行維護的安全，這其實是很高的要求，超越了大多數企業級客戶的能力，導致容易出現管理后臺對外開放，登錄賬號弱口令。這種低級錯誤，為APT組織留下大量設備作為研究對象。

3.VPN是建立連接，再去驗證，一旦驗證通過就持續可信。而以零信任網絡為典型的新安全架構顛覆這種認知，強調設備、人、資源都不可信，需要持續驗證。

03

本次事件也契合RSAC2020的主題“Human Element”，不安全的產品是人為的，不安全的配置（管理后臺開放、弱口令），也是人為造成的。企業安全治理的核心要素，始終是要恪守安全基本準則，減少暴露面，避免給人犯錯的機會。

此次VPN暴露出來的安全事件也凸顯了在傳統網絡邊界近乎消失的時代，VPN 問題頻出，盡顯老態，需要更新的技術適應新時代信息技術的發展。

Gartner預計到2023年，60%的企業將逐步淘汰大部分VPN，支持零信任網絡訪問。

聯軟科技從2017年已經開始研究零信任架構，結合自身豐富的網絡安全管理和終端安全管理實踐經驗，開發了聯軟UniSDP安界軟件定義邊界系統。聯軟SDP系統主要基于可信身份、可信終端、可信網絡、可信服務四個層面實踐零信任網絡架構，為企業內網安全和云安全打造統一、安全和高效的訪問入口。

其中聯軟的可信終端能為用戶提供安全沙箱功能，這個在實踐零信任理念的數據安全中跨出了一大步，聯軟的APN網關也具有技術專利，整個架構始終堅持用戶導向，保持了足夠的靈活性和開放性。

聯軟SDP系統在消除企業安全連接中對VPN的依賴性有明顯效果，在安全性上比VPN具備先天的優勢，主要體現在以下幾個方面：

聯軟SDP優勢亮點

1) SDP架構中的單包授權（SPA）機制使得SDP控制器和網關對阻止DDoS攻擊更有彈性。SPA協議與傳統的TCP握手連接機制相比可花費更少的資源，使服務器能夠大規模處理、丟棄惡意的網絡請求數據包。

2) SDP的訪問控制是基于Need to Know模型，在技術實現上確保每個用戶必須先驗證每個設備和身份，然后才能授予對網絡的訪問權限。能夠大大減少企業IT的攻擊面，隱藏系統和應用程序漏洞，保護用戶接口不被未授權用戶訪問，因此也無法利用任何漏洞。

3) SDP可以與IAM集成，實施自動化策略，動態的根據用戶的身份和權限控制用戶或服務能夠訪問的IT系統資源。

由于SDP安全的設計理念，成熟的安全技術架構，在解決VPN存在的問題、以及多云訪問下統一入口、統一身份認證、安全審計等方面都有傳統解決訪問無可比擬的優勢，同時在第三方安全訪問、促進IT系統集成上也越來越顯示出巨大的優勢。